Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 05 de Mayo de 2005, 07:44:40 pm

Título: Gonori , Troyano, Abre puerta trasera
Publicado por: Danae en 05 de Mayo de 2005, 07:44:40 pm

Gonori   Troyano, Abre puerta trasera
 
Trojan.W32/Gonori contiene el popular juego 'el buscaminas', pero cuando se sale del juego, deposita en el sistema una puerta trasera
Descarga instrucciones desde determinados sitios de Internet y modifica varias claves del registro de Windows.  
 
Nombre completo: Trojan.W32/Gonori    
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Troj/Gonori-A (Sophos)

Crea el fichero "system" en el directorio %System%.

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Para ejecutarse automáticamente cada vez que se abre un fichero ejecutable en el equipo infectado, modifica el valor indicado en la siguiente clave del registro de Windows:
Clave: HKCR\exefile\Shell\open\command
Valor, cambia de: "%1" %* a: %System%\System "%1" %*

El troyano crea la siguiente entrada en el registro de Windows:
Clave: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions
Valor: NoSplash   1

También crea una serie de entradas para su propio uso bajo la clave del registro de Windows:
Clave: HKCU\Software\Microsoft\Mole

Limpieza:
Desactive restaurar sistema
Actualice su antivirus y páselo en modo a prueba de fallos
Borre los ficheros infectados

Edite el registro:
Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable
Para evitar que el troyano se active automáticamente cada vez que se abra un fichero ejecutable, elimine la parte de valor indicada de la siguiente clave del registro de Windows:

Clave: HKCR\exefile\Shell\open\command
Valor, elimine: %System%\System dejando sólo: "%1" %*

Elimine el valor indicado de la siguiente clave del registro de Windows:

Clave: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions
Valor: NoSplash   1

Elimine los valores contenidos en la siguiente clave del registro de Windows:

Clave: HKCU\Software\Microsoft\Mole

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4971

Título: Gonori , Troyano, Abre puerta trasera
Publicado por: destroyer en 05 de Mayo de 2005, 08:39:11 pm

Gracias Danae

un saludo