Troj/Down.Admincash.A. Infecta a EXPLORER.EXE Nombre: Troj/Down.Admincash.A
Tipo: Caballo de Troya
Alias: Admincash, Downloader.Admincash
Plataforma: Windows 32-bit
Tamaño: 8,200 bytes
Caballo de Troya que infecta al archivo EXPLORER.EXE (el Explorador de Windows), baja al mínimo la seguridad de Windows, y descarga y ejecuta adwares y dialers (discadores) de Internet.
Crea las siguientes copias de si mismo en la carpeta del sistema de Windows:
c:\windows\system32\soft.exe
c:\windows\system32\[nombre al azar].exe
El troyano infecta EXPLORER.EXE y lo copia como EXPLORER.NEW en la carpeta de Windows.
Luego, crea también un archivo WININIT.INI que contiene las instrucciones para cambiar el verdadero EXPLORER.EXE por EXPLORER.NEW, al reiniciarse Windows:
c:\windows\explorer.new
c:\windows\wininit.ini
WININIT.INI tiene las instrucciones para cambiar el verdadero EXPLORER.EXE por EXPLORER.NEW, una versión infectada de este componente.
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
También modifica el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\run
Web Service = "c:\windows\system32\[nombre al azar].exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run
Web Service = "c:\windows\system32\[nombre al azar].exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = "c:\windows\system32\soft.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
run = "c:\windows\system32\soft.exe"
Crea las siguientes entradas en el registro, para instalarse, y para desactivar o bajar la configuración de seguridad de Windows:
HKCU\Software\Microsoft\Active Setup
\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKLM\SOFTWARE\Microsoft\Active Setup
\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKCU\Software\Microsoft
\Windows NT\CurrentVersion\SystemRestore
DisableSR = "0x00000001"
HKLM\SOFTWARE\Microsoft
\Windows NT\CurrentVersion\SystemRestore
DisableSR = "0x00000001"
HKCU\Software\Policies
\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = "0x00000001"
HKLM\SOFTWARE\Policies
\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = "0x00000001"
HKCU\Software\Policies
\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall = "0x00000001"
HKLM\SOFTWARE\Policies
\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall = "0x00000001"
HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "0x00000001"
AUOptions = "0x00000001"
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "0x00000001"
AUOptions = "0x00000001"
HKCU\Software\Microsoft\Security Center
FirewallDisableNotify = "0x00000001"
UpdatesDisableNotify = "0x00000001"
AntiVirusDisableNotify = "0x00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = "0x00000001"
UpdatesDisableNotify = "0x00000001"
AntiVirusDisableNotify = "0x00000001"
Finalmente, se conecta a Internet para descargar y ejecutar diversos adwares y dialers del siguiente sitio de Internet:
www .admin2cash .biz
El troyano crea los siguientes mutex para no ejecutar más de una copia de si mismo en memoria al mismo tiempo:
BeavisMutex
ButtheadMutex
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Windows
3. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
run = "c:\windows\system32\soft.exe"
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Windows
5. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
run = "c:\windows\system32\soft.exe"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Web Service = "c:\windows\system32\[nombre al azar].exe"
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Web Service = "c:\windows\system32\[nombre al azar].exe"
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Policies
\Microsoft
\WindowsFirewall
\DomainProfile
11. Haga clic en la carpeta "DomainProfile" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
EnableFirewall = "0x00000001"
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Policies
\Microsoft
\WindowsFirewall
\StandardProfile
13. Haga clic en la carpeta "StandardProfile" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
EnableFirewall = "0x00000001"
14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Policies
\Microsoft
\WindowsFirewall
\DomainProfile
15. Haga clic en la carpeta "DomainProfile" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
EnableFirewall = "0x00000001"
16. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Policies
\Microsoft
\WindowsFirewall
\StandardProfile
17. Haga clic en la carpeta "StandardProfile" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
EnableFirewall = "0x00000001"
18. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\SystemRestore
19. Haga clic en la carpeta "SystemRestore" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
DisableSR = "0x00000001"
20. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\SystemRestore
21. Haga clic en la carpeta "SystemRestore" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
DisableSR = "0x00000001"
22. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Policies
\Microsoft
\Windows
\WindowsUpdate
\AU
23. Haga clic en la carpeta "AU" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
NoAutoUpdate = "0x00000001"
AUOptions = "0x00000001"
24. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Policies
\Microsoft
\Windows
\WindowsUpdate
\AU
25. Haga clic en la carpeta "AU" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
NoAutoUpdate = "0x00000001"
AUOptions = "0x00000001"
26. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Security Center
27. Haga clic en la carpeta "Security Center" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
FirewallDisableNotify = "0x00000001"
UpdatesDisableNotify = "0x00000001"
AntiVirusDisableNotify = "0x00000001"
28. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Security Center
29. Haga clic en la carpeta "Security Center" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
FirewallDisableNotify = "0x00000001"
UpdatesDisableNotify = "0x00000001"
AntiVirusDisableNotify = "0x00000001"
30. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Active Setup
\Installed Components
\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
31. Haga clic en la carpeta "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}" y bórrela.
32. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Active Setup
\Installed Components
\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
33. Haga clic en la carpeta "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}" y bórrela.
34. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
35. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/down-admincash-a.htm
