TROJ_SERVSTART.C
Windows 98, ME, NT, 2000, XP, Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System%\karld.exe
- %System%\karld.exe
- %System%\karld.exe
- %System%\karld.exe
- %System%\karld.exe
- %System%\karld.exe
- %SYSTEM%\karld.exe
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
Type = 10
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ImagePath = %System%\{malware filename}.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
DisplayName = 222
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Security
Security = {Hex Values}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
0 = Root\LEGACY_111\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
Count = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
NextInstance = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
malimalimali = waaaaaaaaaaaaaaaahhhhh
Modificar el archivo HOSTS
Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Reiniciar en modo seguro y eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
RESTOREStep 3
Descargar y aplicar este parche de seguridad No utilice estos productos hasta que se hayan instalado los parches adecuados. Trend Micro recomienda a los usuarios que descarguen los parches críticos en cuanto los proveedores los pongan a su disposición.
Step 4
Eliminar estas cadenas que el malware/grayware/spyware ha añadido al archivo HOSTS
Did this description help? Tell us how we did.