Troj/Back.Riler.C. Troyano de acceso remoto Nombre: Troj/Back.Riler.C
Nombre NOD32: Win32/Riler.C
Tipo: Caballo de Troya de acceso remoto
Alias: Riler.C, BackDoor-BCB, TR/Dldr.Weis.D.5, Troj/Riler-D, Trojan.Riler, Trojan.Win32.Riler.c, Win32/Riler.C, Win32:Trojan-gen
Plataforma: Windows 32-bit
Tamaño: variable
Caballo de Troya que abre una puerta trasera (backdoor), en los equipos infectados.
Este componente intenta conectarse con el siguiente sitio para recibir comandos de un usuario remoto (el sitio podría variar):
newsg.vicp.net
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system32\sporder.dll
c:\windows\system32\synusb.dll
c:\windows\system32\winmedl.dll
c:\windows\system32\winssi.exe
Donde SPORDER.DLL es un archivo del sistema que no contiene código malicioso, pero es usado por el troyano para su propio funcionamiento.
SYNUSB.DLL contiene código malicioso y es parte del troyano.
WINMEDL.DLL es un archivo de texto encriptado, que contiene la dirección a la que debe conectarse
WINSSI.EXE es el ejecutable propiamente dicho del troyano.
El troyano también crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SynUSB Manager = rundll32.exe SynUSB.dll,RunDll32
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DisplayLog = 1
HKLM\SYSTEM\CurrentControlSet\Services\WS2IFSL
WS2IFSL es un servicio creado por el troyano para llevar a cabo sus acciones.
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Reparación NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\sporder.dll
c:\windows\system32\synusb.dll
c:\windows\system32\winmedl.dll
c:\windows\system32\winssi.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Windows
3. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
DisplayLog = 1
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
SynUSB Manager = rundll32.exe SynUSB.dll,RunDll32
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\WS2IFSL
7. Haga clic en la carpeta "WS2IFSL" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/back-riler-c.htm
