W32/Shodi.D. Infecta archivos EXE, libera troyanoNombre: W32/Shodi.D
Nombre Nod32: Win32/HLLP.Shodi.D
Tipo: Virus
Alias: Shodi.D, Win32/HLLP.Shodi.D, W32/Shodi-F, Win32.HLLP.Shodi.d, W32/Shodi.worm.f
Plataforma: Windows 32-bit
Virus que se agrega al principio de todos los archivos con extensión .EXE, a excepción de algunos del sistema del propio Windows.
Además, intenta infectar específicamente a los siguientes archivos de la carpeta de Windows:
Scandskw.exe
Winmine.exe
Sol.exe
Pbrush.exe
Notepad.exe
También crea un hilo de ejecución con el que busca e infecta otros archivos .EXE del sistema, incluyendo aquellos ubicados en cualquier recurso de red compartido.
El virus libera también el troyano de administración remota Troj/Remadm.C. Este troyano libera dentro de la carpeta del sistema de Windows, los siguientes archivos:
VIRT.exe
USR_Shohdi_Photo_USR.exe
El virus también puede liberar un archivo JPG en la carpeta del sistema, con el siguiente nombre:
USR_Shohdi_Photo_USR.jpg
Reparación NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Deshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusActualice sus antivirus con las últimas definiciones
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\Windows\System32\AdmDll.dll
c:\Windows\System32\MyVirt.exe
c:\Windows\System32\USR_Shohdi_Photo_USR.exe
c:\Windows\System32\USR_Shohdi_Photo_USR.jpg
c:\Windows\System32\VIRT.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Virt.exe
MyVirt.exe
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\radmin
5. Pinche en la carpeta "radmin" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema
Más información:
http://www.vsantivirus.com/shodi-d.htmTroj/Remadm.C. Permite administración remotaNombre: Troj/Remadm.C
Tipo: Caballo de Troya
Alias: Remadm.C, Troj/Remadm.C, Troj/Remadm-C, Win32.HLLP.Shodi.d
Plataforma: Windows 32-bit
Se trata de una versión personalizada de un dropper utilizado para instalar un servidor shareware, que puede ser usado para la administración remota del equipo que lo ejecute.
Lo libera el virus W32/Shodi.D o puede ser descargado mediante engaños o desde redes P2P disfrazado de alguna utilidad.
Puede acceder a un servidor web remoto para notificar su presencia a un usuario remoto, el cuál podrá tomar el control del equipo infectado.
Cuando se ejecuta, se copia a si mismo en la carpeta del sistema de Windows, con el siguiente nombre:
Virt.exe
Intenta liberar los siguientes archivos en la misma carpeta:
AdmDll.dll
MyVirt.exe
Ambos archivos son aplicaciones legítimas.
El troyano crea las siguientes entradas en el registro para su ejecución en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Virt.exe = c:\windows\system32\Virt.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MyVirt.exe = c:\windows\system32\MyVirt.exe /port:7351 /pass:?????
Donde "?????" es la contraseña utilizada.
El troyano crea también la siguiente entrada para almacenar su configuración:
HKLM\SYSTEM\radmin
Reparación NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Deshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\Windows\System32\AdmDll.dll
c:\Windows\System32\MyVirt.exe
c:\Windows\System32\USR_Shohdi_Photo_USR.exe
c:\Windows\System32\USR_Shohdi_Photo_USR.jpg
c:\Windows\System32\VIRT.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Virt.exe
MyVirt.exe
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\radmin
5. Pinche en la carpeta "radmin" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/troj-remadm-c.htmTroj/Down.Small.I. Descarga y ejecuta adwaresNombre: Troj/Down.Small.I
Nombre Nod32: Win32/Small.I
Tipo: Caballo de Troya
Alias: Small.I, Win32.Siboco.A, Adware-OMI, Win32/Siboco.A.Trojan, Win32/Small.I, Troj/Small-X, Trojan.Win32.Small.i
Plataforma: Windows 32-bit
Tamaño: 61,440 bytes
Caballo de Troya del tipo Downloader (puede descargar y ejecutar otro malware).
Consiste en un ejecutable instalador, generalmente llamado SETUP.EXE, que puede ser descargado como parte de una nueva aplicación o utilidad.
Cuando se ejecuta, se copia en la siguiente ubicación y con el siguiente nombre:
c:\windows\system32\msmc.exe
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
msmc = c:\windows\system32\msmc.exe
Cuando MSMC.EXE se ejecuta, el mismo libera dos DLL con nombres al azar, generados a partir del nombre asignado a la computadora infectada, y los copia en la carpeta TEMP.
El ejecutable utiliza uno de los DLL para engancharse al proceso EXPLORER.EXE de Windows, e inyectar el DLL principal en él. Esto logra evadir la detección de algunos cortafuegos por ejemplo.
Luego, este componente intentará conectarse al siguiente sitio:
www.omi-update.netEl troyano obtiene una lista de archivos a descargar de dicho dominio, y los procede a descargar. Puede utilizar este mismo método para actualizar su propio código.
Los archivos descargados (otros DLL y ejecutables), están relacionados con varios tipos de adware, la mayoría de los cuáles es utilizado para alterar las principales características del Internet Explorer (página de inicio, opciones de búsqueda, etc.
limpiezaNOTA: Eliminar este parásito, puede ocasionar que algunos de los programas que lo instalan, dejen de funcionar o no funcionen correctamente.
AntivirusPara borrar manualmente el parásito, primero actualice sus antivirus con las últimas definiciones,
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar los archivos creados por el parásito* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), el siguiente nombre de archivo:
MSMC.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), el siguiente nombre de archivo:
MSMC.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Haga clic en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre" busque y borre todas las entradas relacionadas con el siguiente nombre:
msmc
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
