Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 06 de Marzo de 2006, 08:38:24 pm

Título: Domangel. Examina dominios para secuestrarlos
Publicado por: Danae en 06 de Marzo de 2006, 08:38:24 pm
Domangel. Examina dominios para secuestrarlos
Nombre: Domangel
Nombre NOD32: Win32/Domangel
Tipo: Caballo de Troya
Alias: Domangel, Trojan.Domangel.A, Trojan.Domangel.B, Trojan.Domangel.C
Plataforma: Windows 32-bit
Tamaño: varios

Caballo de Troya que examina el estado de una lista de dominios previamente seleccionados, a los efectos de que quien controla al troyano, pueda registrarlos al expirar estos, en aquellos casos que no lo haya hecho aún el propietario legítimo. Se conoce que algunos de estos propietarios son extorsionados luego para obtener dinero a cambio de la devolución de los dominios.

El troyano debe ser ejecutado e instalado por el usuario. Para ello, el mismo despliega una ventana de licencia en alemán, solicitando la aceptación para su instalación.

Los dos botones mostrados contienen las siguientes leyendas:
[  Ich stimme zu  ]
[  Ich stimme nicht zu  ]

Si el usuario pulsa en [Ich stimme nicht zu], entonces el troyano no se ejecutará.

Si en cambio pulsa en el botón [Ich stimme zu], el troyano realizará las siguientes acciones:

Creará los siguientes archivos en el sistema:

c:\windows\Remove.exe
c:\windows\system32\help.exe
c:\windows\system32\lizenz.txt
c:\windows\system32\uninstall.lnk

El archivo LIZENZ.TXT contiene el texto de la licencia en texto plano, UNINSTALL.LNK es un acceso directo a HELP.EXE con el parámetro "/Uninstall" (la desinstalación de todos modos no borra todas las entradas en el registro realizadas por el troyano).

El archivo de desinstalación tiene atributos de oculto, y no se muestra al usuario. REMOVE.EXE en cambio, es una copia del propio troyano.

También crea los siguientes archivos, donde almacena datos para su funcionamiento:

ddata
pdata
lddata

Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System = "c:\windows\system32\help.exe"

Modificando el registro, también altera múltiples configuraciones del Internet Explorer, que afectan funciones como las de búsqueda y otras.

Algunas versiones del troyano pueden crear además la siguiente entrada en el registro:

HKCU\Software\System

Otras versiones más antiguas, agregan enlaces a los siguientes sitios:


www .aktuelle-news .info
www .applewoods-regensburg .de

El troyano intenta descargar el archivo GETGEWINNSPIEL.HTM, conectándose regularmente a las siguientes direcciones IP:

213 .203 .209 .126
213 .203 .209 .125
213 .203 .209 .124
213 .203 .209 .123
213 .203 .209 .122
213 .203 .209 .121
213 .203 .209 .120
213 .203 .209 .119
213 .203 .209 .118
213 .203 .209 .117
213 .203 .209 .116
213 .203 .209 .115
213 .203 .209 .114

También envía a esas direcciones, la información obtenida en el equipo infectado.

El rango de IP mencionadas, están registradas a nombre de "Universal Boards GmbH & Co KG" de Alemania.

El archivo GETGEWINNSPIEL.HTM es un archivo encriptado.

La información recibida contiene los datos que el troyano desencripta y almacena en los archivos "ddata", "pdata" y "lddata" mencionados antes.

Con estos datos el troyano intenta obtener información sobre determinados dominios de Internet.

De ese modo, pretende averiguar el estado actual de los dominios consultados. Cómo los servidores dedicados a esto en Internet (WhoIs Service Providers), solo aceptan unas pocas consultas de una misma IP, mientras más equipos infectados con este troyano existan, más consultas podrá hacer.

La información obtenida es enviada a los servidores antes mencionados, donde se almacenan en una base de datos.

El troyano también abre el puerto 6666, permitiendo el acceso al equipo de cualquier usuario remoto, sin necesidad de autenticación.

Los siguientes son algunos de los comandos soportados desde ese acceso:

size
get
quit

Para no ejecutarse más de una vez en memoria, el troyano genera el siguiente mutex:

UNIQUENAMEHERE


Reparación Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos,
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.

Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\System
3. Haga clic en la carpeta "System" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Restaurar la configuración por defecto del Internet Explorer:
1. Seleccione Herramientas, Opciones de Internet en el IE.
2. Seleccione la lengüeta "Programas".
3. Haga clic en "Restablecer configuración Web..."
4. Haga clic en "Aceptar".

Restaurar "Zonas de seguridad" al nivel predeterminado.
1. Seleccione en el Panel de control, el icono "Opciones de Internet".
2. Pinche en la lengüeta "Seguridad", y luego en "Internet".
3. Haga clic en el botón "Nivel predeterminado", y luego en el botón "Aplicar"
4. Reitere el paso "3" en "Intranet local", "Sitios de confianza" y "Sitios restringidos".
5. Haga clic en "Aceptar".

NOTA: Se recomienda luego, configurar el Internet Explorer como se explica en el siguiente artículo:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".

Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".

Cambiar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Haga clic en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Haga clic en el botón "Reiniciar" (Reset).
6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.

Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos

Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.

Información adicional cambio de contraseñas
En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.

Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.

Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/domangel.htm