Troj/PWS.Ldpinch.NAR. Roba contraseñas e información Nombre: Troj/PWS.Ldpinch.NAR
Nombre Nod32: Win32/PSW.LdPinch.NAR
Tipo: Caballo de Troya robador de contraseñas
Alias: Trojan.PSW.LdPinch.ht, Trojan-PSW.Win32.LdPinch.ht, Backdoor.Damrai.A, Damrai.A, Win32/PSW.LdPinch.NAR
Plataforma: Windows 32-bit
Tamaño: variable
Este troyano intenta robar contraseñas de la computadora infectada, las que son enviadas luego al autor.
Cuando se ejecuta, intenta deshabilitar los procesos cuyos nombres tengan las siguientes cadenas (pertenecen a un conocido antivirus y un cortafuegos):
kavsvc
outpostfirewall
Se copia en el directorio de Windows:
c:\windows\csrss.exe
c:\windows\syslg.dll
c:\windows\[nombre usado por el ejecutable]
El troyano ejecuta varios hilos en forma simultánea. Uno de ellos monitorea e intenta matar los procesos cuyos nombres sean los siguientes:
apvdwin.exe
avpcc.exe
defwatch.exe
nod32kui.exe
outpost.exe
pavsrv51.exe
vsmon.exe
zapro.exe
Agrega en el menú de "Favoritos", accesos directos a los siguientes sitios:
carotid.ru
xakepy.ru
El troyano puede agregarse a si mismo en la lista de excepciones del cortafuegos de Windows XP SP2. De ese modo, podrá acceder a Internet sin informar al usuario.
El troyano ejecuta un servidor FTP en el puerto TCP/2121, el cuál requiere nombre de usuario y contraseña para ser accedido en forma remota.
Si un atacante remoto ingresa los datos correctos, podrá tener a través de ese servidor, acceso a todas las unidades de disco del sistema infectado.
El troyano también inicia un servidor proxy en el puerto TCP/2355, que puede ser utilizado por spammers para usar el equipo infectado como lanzadera de correo basura.
Abre una puerta trasera en el puerto TCP/2050, que brinda una consola de comandos de acceso remoto (shell remoto).
Notifica al autor los datos del equipo infectado, conectándose al sitio "webnomey.net" mediante una URL especial que contiene la dirección IP, y los puertos del proxy, del ftp y del shell.
Examina la configuración de las siguientes aplicaciones, y roba información como direcciones electrónicas, web, ftp, nombres de usuarios y contraseñas:
&RQ
Becky
CuteFTP
Edialer
Far Manager
ICQ
Internet Explorer
Miranda ICQ
Mozilla
Opera
Outlook
Outlook Express
The Bat!
Total Commander
Trillian
WS_FTP
También puede robar la información (usuario, contraseñas, etc.) de los accesos telefónicos.
No posee rutinas de propagación, y suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros.
Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusPara borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/pws-ldpinch-nar.htm
