Troj/Phel.A. Se ejecuta automáticamente en XP SP2 Nombre: Troj/Phel.A
Tipo: Caballo de Troya
Alias: Phel, Trojan.Phel.A
Plataforma: Windows XP
Caballo de Troya que se distribuye en un archivo HTML, intentando infectar equipos bajo Windows XP con Service Pack 2.
Utiliza una vulnerabilidad que permite eludir la restricción de seguridad para archivos de ayuda mediante una vulnerabilidad en el objeto "Help ActiveX Control".
Más información:
Internet Explorer SP2: Ejecución automática de código
http://www.vsantivirus.com/vul-iesp2-261204.htmCuando se ejecuta, descarga y ejecuta otros archivos de Internet. Los equipos infectados pueden quedar inestables y su rendimiento decaer notoriamente.
Cuando se abre el archivo HTML que contiene el código del troyano, se despliegan dos ventanas del Internet Explorer, y podría mostrarse un mensaje de error previniendo su ejecución.
Si la ejecución es exitosa, el troyano descarga un archivo del siguiente dominio y lo ejecuta como un JavaScript:
searchproject.net
El script descarga más código del mismo sitio utilizando el objeto "ADODB.Connection", y lo graba como MY.HTA en las siguientes carpetas:
C:\Documents and Settings\All Users\Kaynnista-valikko\Ohjelmat\Kaynnistys
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
C:\Documents and Settings\All Users\Menu Demarrer\Programmes\Demarrage
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar
C:\Documents and Settings\All Users\Menu Inicio\Programas\Inicio
C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
C:\Documents and Settings\All Users\Menuen Start\Programmer\Start
C:\Documents and Settings\All Users\Start Menu\Programlar\BASLANGIC
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart
C:\Documents and Settings\All Users\Start-menyn\Program\Autostart
C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\Autostart
Estas carpetas y su ubicación, están literalmente especificadas en el código del troyano. Dependiendo del idioma del sistema operativo, el archivo MY.HTA se ejecutará en cada reinicio de Windows.
Cuando ello ocurre, se descarga otro archivo del mismo dominio, el cuál es grabado en la siguiente ubicación y luego ejecutado:
c:\kb3248.exe
Se crean entonces los siguientes archivos:
c:\windows\system32\uwyrl.exe
c:\windows\system32\uwyrl.dll
También se crea la siguiente entrada para que el troyano se autoejecute en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
uwyrl = "c:\windows\system32\uwyrl.exe"
El troyano también descarga y ejecuta a otro troyano identificado como "Coreflood" del siguiente dominio:
down.spainglobaling.com
Más información sobre "Coreflood":
Troj/Backdoor.Coreflood. Infecta desde páginas Web
http://www.vsantivirus.com/back-coreflood.htmPara minimizar la acción de este troyano, se recomienda desactivar "Secuencias de comandos ActiveX" del Internet Explorer
Reparación NOTA: Tenga en cuenta que de acuerdo a los archivos maliciosos descargados y ejecutados por el virus, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Deshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\kb3248.exe
c:\windows\system32\uwyrl.exe
c:\windows\system32\uwyrl.dll
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
MY.HTA
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
* En Windows XP1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:
MY.HTA
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Haga clic en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
uwyrl
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/troj-phel-a.htm
