« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Gonori , Troyano, Abre puerta trasera  (Leído 1355 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
Gonori , Troyano, Abre puerta trasera
« en: 05 de Mayo de 2005, 07:44:40 pm »
Gonori   Troyano, Abre puerta trasera
 
Trojan.W32/Gonori contiene el popular juego 'el buscaminas', pero cuando se sale del juego, deposita en el sistema una puerta trasera
Descarga instrucciones desde determinados sitios de Internet y modifica varias claves del registro de Windows.  
 
Nombre completo: Trojan.W32/Gonori    
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Troj/Gonori-A (Sophos)

Crea el fichero "system" en el directorio %System%.

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Para ejecutarse automáticamente cada vez que se abre un fichero ejecutable en el equipo infectado, modifica el valor indicado en la siguiente clave del registro de Windows:
Clave: HKCR\exefile\Shell\open\command
Valor, cambia de: "%1" %* a: %System%\System "%1" %*

El troyano crea la siguiente entrada en el registro de Windows:
Clave: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions
Valor: NoSplash   1

También crea una serie de entradas para su propio uso bajo la clave del registro de Windows:
Clave: HKCU\Software\Microsoft\Mole

Limpieza:
Desactive restaurar sistema
Actualice su antivirus y páselo en modo a prueba de fallos
Borre los ficheros infectados

Edite el registro:
Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable
Para evitar que el troyano se active automáticamente cada vez que se abra un fichero ejecutable, elimine la parte de valor indicada de la siguiente clave del registro de Windows:

Clave: HKCR\exefile\Shell\open\command
Valor, elimine: %System%\System dejando sólo: "%1" %*

Elimine el valor indicado de la siguiente clave del registro de Windows:

Clave: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions
Valor: NoSplash   1

Elimine los valores contenidos en la siguiente clave del registro de Windows:

Clave: HKCU\Software\Microsoft\Mole

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4971
En línea

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15869
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Gonori , Troyano, Abre puerta trasera
« Respuesta #1 en: 05 de Mayo de 2005, 08:39:11 pm »
Gracias Danae

un saludo
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.