Tema: Toyano Trj/Rizalof.DC

[Atlántida]

     hola , tengo este troyano q estaba ubicado antes en windows   y en otra dos carpetas  , q ahora no me acuerdo ,(con el nombre de exmodul.exe y un numero delante ) de donde lo eliminé manualmente pero ahora  estoy observando q tb está en otra ubicación, copiado del informe de panda   { Virus detectado: Trj/Rizalof.DC                             05/06/06 02:02:08       Desinfectado          Ubicación: http://up.medbod.com/up/modul32.exe?jaal-1_6335_1798 }        q por mas q lo busco y le paso el antivirus   no lo encuentro y ;  el panda solo lo desinfecta cuando comienzaa reiniciar el pc o cuando se esta está conectado a internet , noto ademas q el panda en ese momento come recursos como nunca habia visto antes . Otra cosa ,me es imposible quitarlo a modo de fallos , no funciona el panda ¿¿ Alguna sugerencia sobre en q carpeta puede estar ??

[MClaud]

Nombre común:  Rizalof.DC
Nombre técnico:  Trj/Rizalof.DC
Peligrosidad:   Troyano de peligrosidad Baja
Alias: Rizalof.DC 
Tipo:  Troyano

Efectos: Rizalof.DC utiliza el ordenador afectado como plataforma para enviar spam. Para ello, realiza el siguiente proceso:

Se conecta a una página web para descargarse un archivo de texto que contiene el siguiente listado de URLs:
http://seek11.lootseek<bloqueado>?lin=100&db=spyg2ah
http://seek11.lootseek<bloqueado>?lin=100&db=hdd_us
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gaa
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gab
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gac
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gad
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gae
http://seek11.lootseek<bloqueado>?lin=100&db=spyg2ag
http://seek11.lootseek<bloqueado>?lin=100&db=spyg3aa
http://seek11.lootseek<bloqueado>?lin=100&db=spyg3ab
http://seek11.lootseek<bloqueado>?lin=100&db=spyg3ac
http://seek11.lootseek<bloqueado>?lin=100&db=spygav
http://seek11.lootseek<bloqueado>?lin=100&db=spygaw
http://seek11.lootseek<bloqueado>?lin=100&db=spygax
http://seek11.lootseek<bloqueado>?lin=100&db=spygay
http://seek5.lootseek<bloqueado>?lin=100&db=gaa
http://seek5.lootseek<bloqueado>?lin=100&db=gab
http://seek5.lootseek<bloqueado>?lin=100&db=gac
http://seek5.lootseek<bloqueado>?lin=100&db=gad
http://seek5.lootseek<bloqueado>?lin=100&db=gae
http://seek5.lootseek<bloqueado>?lin=100&db=spygaa
http://seek5.lootseek<bloqueado>?lin=100&db=spygab
http://seek5.lootseek<bloqueado>?lin=100&db=spygac
http://seek5.lootseek<bloqueado>?lin=100&db=spygad
http://seek5.lootseek<bloqueado>?lin=100&db=spygae
http://seek5.lootseek<bloqueado>?lin=100&db=spygaf
http://seek5.lootseek<bloqueado>?lin=100&db=spygag
http://seek5.lootseek<bloqueado>?lin=100&db=spygah
http://seek5.lootseek<bloqueado>?lin=100&db=spygai
http://seek5.lootseek<bloqueado>?lin=100&db=spygaj
http://seek5.lootseek<bloqueado>?lin=100&db=spygak
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2aa
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2ab
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2ac
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2ad
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2ae
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2af
http://seek7.lootseek<bloqueado>?lin=100&db=spygal
http://seek7.lootseek<bloqueado>?lin=100&db=spygam
http://seek7.lootseek<bloqueado>?lin=100&db=spygan
http://seek7.lootseek<bloqueado>?lin=100&db=spygao
http://seek7.lootseek<bloqueado>?lin=100&db=spygap
http://seek7.lootseek<bloqueado>?lin=100&db=spygaq
http://seek7.lootseek<bloqueado>?lin=100&db=spygar
http://seek7.lootseek<bloqueado>?lin=100&db=spygas
http://seek7.lootseek<bloqueado>?lin=100&db=spygat
http://seek7.lootseek<bloqueado>?lin=100&db=spygau
http://seekj.lootseek<bloqueado>/s3.2.txt

Desde estas páginas web se descarga pares de nombres y direcciones de correo electrónico, que utilizará como remitentes o destinatarios del spam.
Para contactar con los servidores SMTP de estas direcciones, Rizalof.DC utiliza una consulta DNS al registro MX del ordenador.
Después, envía mensajes de spam a dichas direcciones.
 
Plataformas que infecta:  Windows NT/2000/XP/2003
Fecha de aparición: 2 de de 2006 a las 0:00 horas
¿Está en circulación?:  1
Utilidad de reparación: 0

Descripción breve:
Rizalof.DC es un backdoor que utiliza el ordenador afectado como plataforma para enviar spam.

Para ello, se conecta a una página web para descargarse un archivo de texto que contiene un siguiente listado de URLs, desde donde se descarga pares de nombres y direcciones de correo electrónico, que utilizará como remitentes o destinatarios del spam.

Rizalof.DC llega al ordenador descargado por el backdoor detectado como Lootseek.DD.
 
Síntomas visibles:
Rizalof.DC es difícil de reconocer una vez ha afectado el ordenador, ya que no muestra mensajes o avisos que alerten sobre su presencia.

¿Cómo saber si tengo Rizalof.DC? 
Para verificar con exactitud si Rizalof.DC ha afectado su ordenador, dispone de las siguientes opciones:

Chequear el ordenador con Panda ActiveScan, la herramienta gratuita de análisis online de Panda Software, que detectará rápidamente todos los posibles virus.
Realizar un análisis completo del ordenador con su antivirus, después de verificar que está actualizado.
 
¿Cómo eliminar a Rizalof.DC?
Después, si durante el proceso de análisis, Panda ActiveScan o su antivirus detectan a Rizalof.DC, el antivirus le dará automáticamente la opción de eliminarlo: hágalo, siguiendo las instrucciones del programa.

Notas adicionales:
Una vez haya eliminado este malware siguiendo los pasos indicados, si su ordenador tiene Windows Millenium, pulse aquí para conocer cómo eliminarlo de la carpeta _Restore.
Una vez haya eliminado este malware siguiendo los pasos indicados, si su ordenador tiene Windows XP, pulse aquí para conocer cómo eliminarlo de la carpeta _Restore.
 
¿Cómo protegerme de Rizalof.DC?
Para mantenerse protegido, tenga en cuenta los siguientes consejos:

Las tecnologías TruPreventTM de Panda Software detectaron y bloquearon a Rizalof.DC desde su aparición, sin necesidad de conocerlo previamente.
Instale un buen antivirus en su ordenador. Pulse aquí para conseguir el antivirus de Panda más adaptado a sus necesidades.
Mantenga su antivirus actualizado. Si admite actualizaciones automáticas, configúrelas para que funcionen siempre así.
Tenga activada la protección permanente de su antivirus en todo momento.

 

[jm1]

Hola.

Este troyano me lo detecto panda en mi ordenador. Me aparecia el mensaje de que se habia bloqueado, pero al reiniciar el ordenador indicaba que lo habia bloqueado de nuevo.Despues de varios escaneos me mando a la carpeta de cuarentena tres archivos exmodulexe con un numero delante diiferente. Los he eliminado de cuarentena y de momento no he tenido más alertas.
1- Puedo tener la certeza de que està totalmente eliminado?
2- Con el administrador de tareas se puede saber si hay un troyano utilizando mi ordenador?
3- Tengo inastalado el panda antivirus platinium 2006 con actualización automática. Ahora me queda en cuarentena el archivo SMSS.EXE localizado en   
    c:/WINDOWS/SYSTEM  Puedo eliminar este archivo sin provocar alguna anomalia en los demas programas del ordenador?

Gracias por vuestra ayuda.

Saludos.