Troj/Spy.Qukart.S. Roba información, permite acceso Nombre: Troj/Spy.Qukart.S
Nombre NOD32: Win32/Spy.Qukart.S
Tipo: Caballo de Troya
Alias: Qukart.S, Backdoor.Berbew.N, Backdoor.HangUp.1.3, BackDoor.HangUp.13, TR/Spy.Qukart.S.4, Troj/Padodo-Gen, Trojan.Spy.Qukart-10, Trojan-Spy.Win32.Qukart.s, Win32/Spy.Qukart.S
Plataforma: Windows 32-bit
Tamaño: 67,616 bytes
Caballo de Troya que roba las contraseñas almacenadas en el caché de contraseñas de Windows. También abre un acceso por puerta trasera (backdoor), que permite a un atacante remoto tomar el control del equipo infectado, comprometiendo la seguridad del sistema.
Instala un capturador de teclado (keylogger), que captura todo lo ingresado en formularios de páginas web, y abre un servidor proxy clandestino en un puerto al azar. Este último, puede ser utilizado por un usuario remoto para cubrir su propio rastro al navegar por Internet.
Modifica el registro para disminuir la configuración de seguridad de las zonas de Internet, local, etc., en el Internet Explorer.
Cuando se ejecuta, borra el archivo original del propio troyano, y luego crea los siguientes archivos:
c:\boot.sys
c:\windows\system32\????????.exe
c:\windows\system32\????????.dll
c:\windows\system32\????????32.dll
c:\windows\system32\drivers\ndisrd.sys
Donde "????????" son de 5 a 8 caracteres al azar.
NDISRD.SYS es un archivo no malicioso, utilizado por el troyano para sus acciones.
También crea numerosos archivos HTML en la carpeta de temporales de Windows:
TEMP\????????.html
TEMP\????????.html
TEMP\????????.html
Donde "????????" son de 5 a 8 caracteres al azar.
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
Luego, el troyano puede abrir el Internet Explorer para mostrar dichos archivos.
Para autoejecutarse, el troyano modifica las siguientes claves del registro:
HKCR\CLSID
\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
(Predeterminado) = "????????.dll"
ThreadingModel = "Apartment"
HKCR\CLSID
\{FA036593-9D63-4219-FFBA-EFD0D828B737}\InProcServer32
(Predeterminado) = "????????.dll"
ThreadingModel = "Apartment"
HKLM\Software\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738}"
?????? = "{7D3D8457-D853-43D1-069A-CD62C9EB6465}"
Donde "????????" son 6 o más caracteres al azar.
Básicamente, la librería .DLL del troyano se identifica como clase con un valor específico, de 128 bits, el denominado Class ID (la clave CLSID en el registro de Windows).
Luego, se apunta la subclave "InprocServer32" a dicha librería para ponerla en funcionamiento cuando se ejecuta un evento determinado. El valor "ThreadingModel" con el dato "Apartment", indica que el objeto solo puede ejecutar un solo hilo.
Finalmente se suplanta el valor correspondiente al "Monitor de sitios Web" del Internet Explorer (Web Event Logger), que entre otras cosas carga la página de Inicio del Explorer, por una llamada a la Class ID creada por el troyano.
Como resultado, de acuerdo a ciertos eventos, el troyano será activado.
También crea o modifica las siguientes entradas del registro (las relacionadas con " Internet Settings\Zones", para disminuir el nivel de seguridad de las zonas de Internet):
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\0
1601 = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\1
1601 = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\2
1601 = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\3
1601 = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\4
1601 = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings
GlobalUserOffline = "0"
HKCU\Software\Microsoft\Windows
KKQHOOK = "0x18"
HKLM\SYSTEM\CurrentControlSet\Services\ndisrd
La información robada (contraseñas, capturas de teclado, etc.), es enviada al siguiente sitio de Internet:
tat-neftbank .ru
El troyano utiliza técnicas de rootkit para ocultar sus propios procesos y archivos.
Por naturaleza, un rootkit es una herramienta que permite acceder a un sistema como un usuario con todos los permisos (root). En este caso, se utiliza esta técnica para ocultar las actividades del troyano, además de habilitar puertas de entradas ocultas, que permiten a un intruso obtener el control total de los equipos infectados.
Reparación AntivirusPara borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
Editar el registro1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
3. Pinche en la carpeta "CLSID" y borre las siguientes entradas:
{79FEACFF-FFCE-815E-A900-316290B5B738}
{FA036593-9D63-4219-FFBA-EFD0D828B737}
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
5. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
KKQHOOK = "0x18"
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\Zones
7. Pinche en el signo "+" de la carpeta "Zones", y en cada subcarpeta que se despliegue (0, 1, 2, 3, 4), busque en la ventana de la derecha el valor "1601" y asegúrese que sean todos cero, menos en la carpeta "4" donde debe ser "1".
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
9. Borre el siguiente valor:
GlobalUserOffline
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\ShellServiceObjectDelayLoad
11. Pinche en la carpeta "ShellServiceObjectDelayLoad" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738}"
?????? = "{7D3D8457-D853-43D1-069A-CD62C9EB6465}"
Donde "??????" son caracteres al azar.
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
13. Pinche en la carpeta "Services" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
ndisrd
14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\BrowseNewProcess
15. Borre la carpeta "BrowseNewProcess"
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/troj-spy-qukart-s.htm
