TrojanDownloader.PurityScan.E. Descarga malwaresNombre: TrojanDownloader.PurityScan.E
Nombre NOD32: Win32/TrojanDownloader.PurityScan.E
Tipo: Caballo de Troya
Alias: PurityScan.E, Adware.Purityscan, Adware/PurityScan, Adware-ClickSpring, Adware-PurityScan, Adware-ValueAd, Adware-ValueAd.dldr, BuddyLinks, Downloader.Purityscan.E, Downloader-IQ, Dropper.PurityScan.B, Mendware, MidAddle, Tickets, TR/Dldr.PurityS.E.2, TR/Spy.Hpt.D.2, Troj/Dloader-BX, Troj/Mendwar-A, Troj/PurScan-E, Troj/PurScan-M, Troj/PurScan-N, Troj/PurScan-S, TROJ_DLOADER.F, TROJ_MENDWAR.A, TROJ_SMALL.ET, Trojan.DL.PurityScan.B, Trojan.Downloader.PuritScan.AE, Trojan.Downloader.Purity.E, Trojan.Downloader.Purityscan.E, Trojan.Dropper.Purityscan.B, Trojan.PurityAd, Trojan-Downloader.Win32.Mendwar, TrojanDownloader.Win32.PurityScan.e, Trojan-Downloader.Win32.PurityScan.e, Trojan-Downloader.Win32.PurityScan.E, TrojanDownloader:Win32/PurityScan.E, Trojan-Dropper.Win32.PurityScan.b, W32/Agent.HE@dl, W32/Backdoor.JY, W32/Clspring.A, W32/PurityScan.AH, W32/PurityScan.AW, W32/PurityScan.AX, W32/PurityScan.AY, W32/PurityScan.BB, W32/Purityscan.E@dl, W32/PurityScan.L, W32/Purityscan.R@dl, Win32.Clspring, Win32.Clspring!generic, Win32.Clspring.A, Win32.Clspring.AA, Win32.Clspring.AB, Win32.Clspring.AC, Win32.Clspring.AD, Win32.Clspring.AE, Win32.Clspring.AF, Win32.Clspring.AG, Win32.Clspring.AH, Win32.Clspring.AI, Win32.Clspring.AJ, Win32.Clspring.AK, Win32.Clspring.AL, Win32.Clspring.AM, Win32.Clspring.AN, Win32.Clspring.AO, Win32.Clspring.AP, Win32.Clspring.AQ, Win32.Clspring.AR, Win32.Clspring.AS, Win32.Clspring.AT, Win32.Clspring.AU, Win32.Clspring.AV, Win32.Clspring.AW, Win32.Clspring.AX, Win32.Clspring.AY, Win32.Clspring.AZ, Win32.Clspring.B, Win32.Clspring.BA, Win32.Clspring.BB, Win32.Clspring.BC, Win32.Clspring.BD, Win32.Clspring.BE, Win32.Clspring.BF, Win32.Clspring.BG, Win32.Clspring.BH, Win32.Clspring.BI, Win32.Clspring.BJ, Win32.Clspring.BK, Win32.Clspring.BL, Win32.Clspring.BM, Win32.Clspring.BN, Win32.Clspring.BO, Win32.Clspring.BP, Win32.Clspring.BQ, Win32.Clspring.BR, Win32.Clspring.BS, Win32.Clspring.BT, Win32.Clspring.BU, Win32.Clspring.BV, Win32.Clspring.BW, Win32.Clspring.BX, Win32.Clspring.BY, Win32.Clspring.BZ, Win32.Clspring.C, Win32.Clspring.CA, Win32.Clspring.CB, Win32.Clspring.D, Win32.Clspring.E, Win32.Clspring.F, Win32.Clspring.G, Win32.Clspring.H, Win32.Clspring.I, Win32.Clspring.J, Win32.Clspring.K, Win32.Clspring.L, Win32.Clspring.M, Win32.Clspring.N, Win32.Clspring.O, Win32.Clspring.P, Win32.Clspring.Q, Win32.Clspring.R, Win32.Clspring.S, Win32.Clspring.T, Win32.Clspring.U, Win32.Clspring.V, Win32.Clspring.W, Win32.Clspring.X, Win32.Clspring.Y, Win32.Clspring.Z, Win32/ClickSpring.81408!Trojan, Win32/ClickSpring.D!Trojan, Win32/Clickspring.J!Trojan, Win32/ClickSpring.K!Trojan, Win32/ClickSpring.L!Trojan, Win32/ClickSpring.M!Trojan, Win32/ClickSpring.O!Trojan, Win32/Clspring.G!Trojan, Win32/Clspring.H!Trojan, Win32/Clspring.P!Trojan, Win32/Clspring.Variant!Trojan, Win32/CSpring!Trojan, Win32/Mendwar!Downloader, Win32/TrojanDownloader.PurityScan.E, Win32:PurityScan-C, Win32:Trojan-gen
Fecha: varias
Plataforma: Windows 32-bit
Tamaño: varios
Caballo de Troya que descarga y ejecuta otros malwares.
Cuando se ejecuta, intenta conectarse a diferentes servidores para actualizarse a si mismo a una versión más reciente.
Algunos de los dominios a los que intenta conectarse:
66.150.193.[rango]
campaigns.outerinfo.com
cu.clickspring.net
legend.psdtools.com
nf.clickspring.net
pisces.clickspring.net
www.clickspring.net En cada equipo infectado, el troyano crea un identificador único (ID), formado con valores específicos que incluyen número serial del disco duro y del sistema operativo. Este ID lo utiliza para conectarse a un servidor remoto.
El troyano crea un archivo con extensión .EXE y nombre al azar, en algunas de las siguientes ubicaciones:
C:\Documents and Settings\[usuario]\Application Data\
C:\Documents and Settings\[usuario]\Datos de programa\
C:\Documents and Settings\All Users\Application Data\
C:\Documents and Settings\All Users\Datos de programa\
C:\WINDOWS\All Users\Application Data\
C:\WINDOWS\Application Data\
C:\Windows\System\
C:\Windows\System32\
También modifica el registro de Windows para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[valor] = [camino completo y nombre del ejecutable]
Donde [valor] es un nombre al azar.
También puede crear la siguiente entrada:
HKCU\Software\[nombre al azar]
El troyano intenta descargar un script de uno de los dominios mostrados antes. El script contiene instrucciones para realizar acciones como las siguientes:
Actualizarse a si mismo por una nueva versión
Agregar nuevos procesos y servicios
Agregar objetos BHO al Internet Explorer
Crear iconos y modificar asociaciones de cualquier archivo
Crear y leer cookies
Descargar otros archivos desde Internet
Ejecutar archivos
Modificar el registro del sistema (agregar o quitar valores)
Mostrar ventanas emergentes con publicidad
Algunas variantes pueden obtener y enviar a un servidor remoto, información del sistema infectado, incluyendo tipo de sistema operativo, idioma, versiones de Service Pack instalados, etc.
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
5. Haga clic en la carpeta "Software" y busque y borre toda carpeta que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/purityscan-e.htm
