Pacex.Gen.

Roba informacin del equipo infectado

VSantivirus No 2564 Ao 11, jueves 11 de octubre de 2007

Pacex.Gen. Roba informacin del equipo infectado

http://www.vsantivirus.com/pacex-gen.htm Nombre: Pacex.Gen Nombre NOD32: Win32/Pacex.Gen Tipo: Caballo de Troya Alias: Pacex.Gen, MalwareScope.Worm.Viking.3, New Malware.w, novirus:Packed/NSPM, Packer.Malware.NSAnti.D, PSW.Generic2.ACTP, TR/Crypt.NSPM.Gen, Trojan.PWS.Lineage, Trojan-PSW.Win32.Nilage.ara, TSPY_AGENT.GJP, Win32/Pacex.Gen, Win32:Tibs-ADO[Trj] Fecha: 21/mar/07 Actualizado: 9/oct/07 Plataforma: Windows 32-bit Tamao: 120,369 bytes Caballo de Troya que intenta robar las contraseas asociadas a determinados juegos en lnea. El troyano monitorea las ventanas abiertas, y cuando identifica alguna asociada a una lista interna, captura todo lo que el usuario ingrese a travs del teclado en la computadora. Esta informacin es enviada luego a un servidor remoto. Algunos de los siguientes archivos pueden ser creados en el sistema infectado: adll.dll crasos.exe explorer.exe mhso0.dll svch0st.exe test(2).exe Algunos nombres ofrecen similitudes a los de ciertos archivos legtimos de Windows. Por ejemplo "svch0st.exe" incluye un nmero CERO en lugar de la letra "O". NOTA: SVCHOST.EXE (Generic Host Process for Win32 Services), es un archivo legtimo de Windows XP y 2000, utilizado para la ejecucin de servicios. La versin original se encuentra en la carpeta "System32" de Windows. En la lista de tareas puede aparecer varias veces, y ello es normal, ya que cada sesin corresponde a un servicio o grupos de servicios que necesitan instalarse de forma autnoma. Tambin crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows [nombre] = [camino y nombre del ejecutable] El troyano no se propaga por si mismo y puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaos de algn sitio malicioso, o de redes de intercambio de archivos P2P.

Un usuario malintencionado, tambin podra enviar el troyano a su vctima en un mensaje electrnico individual o masivamente por medio de spam a otros usuarios. Otros malwares tambin podran descargarlo y ejecutarlo en un sistema infectado. Reparacin manual NOTA: Esta descripcin se aplica a una variante especfica de un determinado malware. Pueden existir numerosas versiones, detectadas por ESET NOD32 con el mismo nombre, que no necesariamente realizarn los mismos cambios en el sistema que aqu se describen. Antivirus 1. Actualice su antivirus. En el caso de ESET NOD32, seleccione el Control Center, Mdulos de actualizacin, NOD32 Update y haga clic en el botn "Actualizar ahora". Compruebe que la versin de firmas de virus sea la misma que aparece en http://www.nod32.com.uy o en http://www.vsantivirus.com/nod32.htm 2. Reinicie Windows en modo a prueba de fallos, como se indica en este artculo: Cmo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

3. Borre los archivos temporales como se indica en el siguiente enlace: Cmo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm

4. Seleccione la opcin "Analizar y Desinfectar automticamente" en su antivirus. En el caso de ESET NOD32, seleccione Control Center, NOD32 Scanner, haga clic en el botn "NOD32 Scanner", seleccione la casilla "Local", y haga clic en el botn "Analizar y desinfectar". 5. En el caso de NOD32, haga clic en el botn "Desinfectar" cuando aparezca, o en el botn "Eliminar" cuando el botn "Desinfectar" no est activo. En cualquier otro caso, el antivirus le dar el mensaje "sin acciones" y la limpieza se efectuar al reiniciar. 6. Tome nota del nombre de los archivos desinfectados o eliminados. 7. Reinicie la computadora. 8. Vuelva a ejecutar la opcin "Analizar y Desinfectar automticamente". Editar el registro Nota: algunas de las ramas en el registro aqu mencionadas, pueden no estar presentes ya que ello depende de que versin de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 6 del tem "Antivirus". 4. Cierre el editor del registro. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir tambin los signos "%" antes y despus de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el men "Edicin", la opcin "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. Haga clic con el botn derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artculo, y repita todos los pasos anteriores: Cmo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet haga clic en "Eliminar archivos" 3. Marque la opcin "Eliminar todo el contenido sin conexin" 4. Haga clic en Aceptar, etc