Llega como archivo que exporta las funciones de otro malware/grayware/spyware.
Este malware modifica la configuración de zona de Internet Explorer.
Detalles de entrada
Llega como archivo que exporta las funciones de otro malware/grayware/spyware.
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CLASSES_ROOT\CLSID\{460B4F43-12E1-474C-9103-54855F10C1E2}\
InprocServer32
(default) = {malware path and filename}
Se registra como BHO para garantizar su ejecución automática cada vez que se utilice Internet Explorer mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{460B4F43-12E1-474C-9103-54855F10C1E2}
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\CLSID\{460B4F43-12E1-474C-9103-54855F10C1E2}
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\New Windows
Allow HTTPS = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnZoneCrossing = 0
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnHTTPSToHTTPRedirect = 0
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Este malware modifica la configuración de zona de Internet Explorer.
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como TSPY_NIMKEY.A
Step 3
Reiniciar en modo seguro
[ aprenda más ]
[ parte posteriora ]
Para reiniciar en modo seguro:
• Para usuarios de Windows 98 y ME
- Reinicie el equipo.
- Pulse la tecla CTRL hasta que aparezca el menú de inicio.
- Seleccione la opción Modo seguro y pulse Intro.
• Para usuarios de Windows NT (modo VGA)
- Haga clic en Inicio>Configuración>Panel de control.
- Haga doble clic en el icono Sistema.
- Haga clic en la pestaña Inicio o Apagado.
- Establezca 10 segundos en el campo Mostrar lista y haga clic en Aceptar para guardar el cambio.
- Apague el equipo y reinícielo.
- Seleccione el modo VGA en el menú de inicio.
• Para usuarios de Windows 2000
- Reinicie el equipo.
- Pulse la tecla F8 cuando vea la barra Iniciando Windows en la parte inferior de la pantalla.
- Seleccione la opción Modo seguro en el menú de opciones avanzadas de Windows y pulse Intro.
• Para usuarios de Windows XP
- Reinicie el equipo.
- Pulse la tecla F8 cuando haya finalizado la autoprueba de encendido (POST). Si no aparecen las opciones avanzadas de Windows, intente reiniciar y pulse F8 varias veces después de que aparezca de la pantalla de la autoprueba de encendido (POST).
- Seleccione la opción Modo seguro en el menú de opciones avanzadas de Windows y pulse Intro.
• Para usuarios de Windows Server 2003
- Reinicie el equipo.
- Pulse la tecla F8 cuando se haya iniciado Windows. Si no aparecen las opciones avanzadas de Windows, intente reiniciar y, a continuación, pulse F8 varias veces tras el inicio.
- En el menú de opciones avanzadas de Windows, utilice las teclas de flecha para seleccionar la opción Modo seguro y pulse Intro.
Step 4
Eliminar esta clave del Registro
[ aprenda más ]
[ parte posteriora ]
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CLASSES_ROOT\CLSID
- {460B4F43-12E1-474C-9103-54855F10C1E2}
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
- {460B4F43-12E1-474C-9103-54855F10C1E2}
Para eliminar las claves del Registro que este malware/grayware/spyware ha creado:
- Abra el Editor del Registro. Para ello, haga clic en Inicio>Ejecutar, escriba regedit en el cuadro de texto y pulse Intro.
- En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT>CLSID - También en el panel izquierdo, busque y elimine la clave:
{460B4F43-12E1-474C-9103-54855F10C1E2} - En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Browser Helper Objects - También en el panel izquierdo, busque y elimine la clave:
{460B4F43-12E1-474C-9103-54855F10C1E2} - Cierre el Editor del Registro.
Step 5
Eliminar este valor del Registro
[ aprenda más ]
[ parte posteriora ]
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- WarnOnHTTPSToHTTPRedirect = 0
Para eliminar el valor del Registro que este malware ha creado:
- Abra el Editor del Registro. Para ello, haga clic en Inicio>Ejecutar, escriba regedit en el cuadro de texto y pulse Intro.
- En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>New Windows - En el panel derecho, busque y elimine la entrada:
Allow HTTPS = 1 - En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Internet Settings - En el panel derecho, busque y elimine la entrada:
WarnOnZoneCrossing = 0 - En el panel derecho, busque y elimine la entrada:
WarnOnHTTPSToHTTPRedirect = 0 - Cierre el Editor del Registro.
Step 6
Buscar y eliminar el archivo detectado como TSPY_NIMKEY.A
[ aprenda más ]
[ parte posteriora ]
Asegúrese de que tiene activada la casilla
Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos ocultos.
Para buscar y eliminar el archivo de malware/grayware/spyware:
- Haga clic con el botón derecho en Inicio y haga clic en Buscar....
- En el cuadro de entrada Nombre, escriba los nombres de los archivos detectados anteriormente.
- En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
- Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
Step 7
Restablecer la configuración de seguridad de Internet
[ aprenda más ]
[ parte posteriora ]
Para restablecer la configuración de seguridad de Internet:
- Cierre todas las ventanas del explorador de Internet.
- Abra el Panel de control. Para ello:
• En Windows 98, ME, NT y 2000
Haga clic en Inicio>Configuración>Panel de control.
• En Windows XP y Server 2003
Haga clic en Inicio>Panel de control. - Haga doble clic en Opciones de Internet.
- En la ventana Propiedades de Internet, haga clic en la pestaña Seguridad.
- Por cada zona de contenido Web, haga clic en el botón Nivel predeterminado para establecer la configuración predeterminada de dicha zona.
- Haga clic en Aceptar.
