Troj/Down.PurityScan.E. Descarga y ejecuta archivosNombre: Troj/Down.PurityScan.E
Nombre NOD32: Win32/TrojanDownloader.PurityScan.E
Tipo: Caballo de Troya
Alias: PurityScan, PurityScan.E, Adware-ClickSpring, Adware-PurityScan, Adware-ValueAd, Adware-ValueAd.dldr, BuddyLinks, Downloader-IQ, Mendware, MidAddle, Troj/Dloader-BX, Troj/Mendwar-A, Troj/PurScan-E, Troj/PurScan-M, Troj/PurScan-N, Troj/PurScan-S, TROJ_MENDWAR.A, TROJ_SMALL.ET, Trojan-Downloader.Win32.Mendwar, TrojanDownloader.Win32.PurityScan.e, Trojan-Downloader.Win32.PurityScan.e, W32/Agent.HE@dl, W32/Backdoor.JY, W32/Clspring.A, W32/PurityScan.AW, W32/PurityScan.AX, W32/PurityScan.AY, W32/PurityScan.BB, W32/Purityscan.E@dl, W32/Purityscan.R@dl, Win32.Clspring, Win32.Clspring.A, Win32.Clspring.B, Win32.Clspring.C, Win32.Clspring.D, Win32.Clspring.E, Win32.Clspring.F, Win32.Clspring.G, Win32.Clspring.H, Win32.Clspring.I, Win32.Clspring.J, Win32.Clspring.K, Win32.Clspring.L, Win32.Clspring.M, Win32.Clspring.N, Win32.Clspring.O, Win32.Clspring.P, Win32.Clspring.Q, Win32/ClickSpring.81408!Trojan, Win32/ClickSpring.D!Trojan, Win32/Clickspring.J!Trojan, Win32/ClickSpring.K!Trojan, Win32/ClickSpring.L!Trojan, Win32/ClickSpring.M!Trojan, Win32/ClickSpring.O!Trojan, Win32/Clspring.G!Trojan, Win32/Clspring.H!Trojan, Win32/Clspring.P!Trojan, Win32/Clspring.Variant!Trojan, Win32/CSpring!Trojan, Win32/Mendwar!Downloader, Win32/TrojanDownloader.PurityScan.E
Plataforma: Windows 32-bit
Tamaño: varios
Caballo de Troya que descarga y ejecuta otros troyanos de Internet.
Cuando se conecta a Internet, intenta conectarse a un servidor predeterminado para descargar una versión actualizada de si mismo, por lo que cada versión puede ser diferente a la aquí descripta en forma genérica.
Algunos de los dominios a los que intenta conectarse:
66.150.193.???
campaigns.outerinfo.com
cu.clickspring.net
legend.psdtools.com
nf.clickspring.net
pisces.clickspring.net
www.clickspring.net Donde "???" es un rango de direcciones IP.
El troyano crea una marca que lo identifica, y que se basa en valores del sistema infectado (número de serie del disco duro, ID de producto de Windows, etc.). Este identificador es utilizado para conectarse a un servidor remoto.
Las diferentes variantes del troyano, se copian en determinadas carpetas del sistema.
Ejemplos:
C:\Documents and Settings
\[usuario]\Application Data\????.exe
C:\Documents and Settings
\[usuario]\Datos de programa\????.exe
C:\Windows\System\????.exe
C:\Windows\System32\????.exe
C:\Winnt\System32\????.exe
Donde "????" son caracteres alfabéticos al azar.
Modifica el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[valor] = [nombre del archivo]
Donde [valor] puede ser "Mendware App" o caracteres al azar, y [nombre de archivo] es uno de los archivos vistos antes en "Ejemplos".
También puede crear la siguiente entrada:
HKCU\Software\[nombre]
Donde [nombre] son caracteres al azar.
El troyano intenta descargar un script de alguno de los servidores remotos a los que se conecta. Este script le proporciona las instrucciones para su siguiente tarea. Estas instrucciones le permiten realizar cualquiera de las siguientes acciones:
Agregar y/o borrar claves del registro
Descargar archivos adicionales
Ejecutar archivos
Agregar objetos BHO al Internet Explorer (DLL inyectados en el mismo proceso del Explorer)
Agregar servicios y procesos al sistema
Modificar iconos y asociaciones de cualquier tipo de archivos
Mostrar ventanas emergentes de publicidad
Crear y leer cookies
Algunas variantes pueden enviar información del sistema infectado a un servidor remoto.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Tome nota de los archivos detectados como infectados, y luego bórrelos.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre el [valor] cuyo [nombre de archivo] coincida con alguno de los detectados en el punto [3] de "Antivirus":
[valor] = [nombre del archivo]
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales de Windows1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos
Borrar archivos temporales de Internet1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional, Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/down-purityscan-e.htm
