Troj/Dropper.Agent.ED. Muestra aviso de alerta falso
Nombre: Troj/Dropper.Agent.ED
Nombre NOD32: Win32/TrojanDropper.Agent.ED
Tipo: Caballo de Troya
Alias: Agent.ED, Trojan-Dropper.Win32.Agent.ed, Adware/Findspy, Win32/TrojanDropper.Agent.ED
Plataforma: Windows 32-bit
Tamaño: 48 KB (PecBundle y PECompact)
Caballo de Troya escrito en C y comprimido con las herramientas PecBundle y PECompact.
Cuando se ejecuta crea un mutex con el siguiente nombre:
BaloonMutex
Este objeto es monitoreado continuamente por el troyano, de tal modo de mantener una sola copia activa de si mismo, en la memoria del sistema.
El troyano también libera en la carpeta de Windows, el siguiente archivo de sonido de 6,400 bytes (no es un archivo malicioso, sino realmente un .WAV):
c:\windows\balloon.wav
También crea un archivo .CHM de 10,716 bytes (los archivos CHM son HTMLs compilados). Cuando este archivo es abierto, intentará mostrar una página web maliciosa en el equipo infectado.
Cuando se activa, el troyano muestra en la barra del sistema, cada cierta cantidad de minutos, una ventana de información (un globo de texto), simulando ser un aviso de seguridad de Windows, con el siguiente texto:
Your computer might be at risk
- Your virus protection status is bad
- Spyware Activity Detected
Click this baloon to fix this problem
El mensaje de advertencia es falso, con la intención de hacer creer al usuario que está desprotegido o tiene un problema de seguridad, para que haga clic en el globo.
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado.
Reparación Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos
Borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
