Академический Документы
Профессиональный Документы
Культура Документы
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe
El troyano puede finalizar todos los procesos activos cuyos nombres contengan algunas de las siguientes cadenas, y siempre
que no estn en las carpetas \com\, \program files\, \system\, \windows\ o \winnt\:
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo_1.exe
logo1_.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
Luego de finalizarlos, borra los archivos relacionados con dichos procesos.
Tambin intenta finalizar los siguientes servicios, relacionados con antivirus y otros programas de seguridad:
AVGNTMGR
AvgTdi
BDFsDrv
hooksys
KLPF
KRegEx
KWatch3
NaiAvFilter1
NAVAP
nod32drv
PavProtect
TMFilter
VETFDDNT
Ejecuta como proceso oculto, una ventana del Internet Explorer (IEXPLORER.EXE), para utilizarlo en su conexin a Internet,
eludiendo la proteccin de algunos cortafuegos.
Se conecta con determinados sitios de Internet para descargar otros archivos, y para enviar informacin del equipo infectado.
Tambin recibe informacin desde dichos sitios.
El gusano busca todos los recursos de redes accesibles, e intenta conectarse como usuario administrador, utilizando las
siguientes contraseas:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
1
111
123
12345
123456789
654321
aaa
abc123
admin
admin123
asdf
asdfgh
letmein
love
monkey
mypass123
owner
password
password1
qwer
qwerty
root
test123
Si logra conectarse, crea el siguiente archivo:
C$\Ins.exe
NOTA: Las particiones y los volmenes raz se comparten como el nombre de letra de unidad seguido del signo "$". Por
ejemplo, las letras de unidad C y D se comparten como C$ y D$.
Luego ejecuta un servicio remoto con las siguientes caractersticas:
Nombre de servicio: DLAN
Nombre para mostrar: DLAN
Reparacin manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el
sistema no contemplados en esta descripcin genrica.
Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32, seleccione el Control Center, Mdulos de actualizacin, NOD32 Update
y haga clic en el botn "Actualizar ahora". Compruebe que la versin de firmas de virus sea la misma que aparece
enhttp://www.nod32.com.uy o en http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se indica en este artculo:
Cmo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el siguiente enlace:
Cmo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opcin "Analizar y Desinfectar automticamente" en su antivirus. En el caso de ESET NOD32, seleccione
Control Center, NOD32 Scanner, haga clic en el botn "NOD32 Scanner", seleccione la casilla "Local", y haga clic en el botn
"Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botn "Desinfectar" cuando aparezca, o en el botn "Eliminar" cuando el botn
"Desinfectar" no est activo. En cualquier otro caso, el antivirus le dar el mensaje "sin acciones" y la limpieza se efectuar al
reiniciar.
6. Tome nota del nombre de los archivos desinfectados o eliminados.
7. Reinicie la computadora.
Editar el registro
Nota: algunas de las ramas en el registro aqu mencionadas, pueden no estar presentes ya que ello depende de que versin de
Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\CLSID
\{C111980D-B372-44b4-8095-1B6060E8C647}
3. Haga clic en la carpeta "{C111980D-B372-44b4-8095-1B6060E8C647}" y brrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\ShellServiceObjectDelayLoad
5. Haga clic en la carpeta "ShellServiceObjectDelayLoad" y en la ventana de la izquierda busque y borre la siguiente entrada:
DL5 = "{C111980D-B372-44b4-8095-1B6060E8C647}"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Services
\nvmini
7. Haga clic sobre la carpeta "nvmini" y brrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\nvmini
9. Haga clic sobre la carpeta "nvmini" y brrela.
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_NVMINI
11. Haga clic sobre la carpeta "LEGACY_NVMINI" y brrela.
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet001
\Enum
\Root
\LEGACY_NVMINI
13. Haga clic sobre la carpeta "LEGACY_NVMINI" y brrela.
14. Cierre el editor del registro.
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Informacin adicional
Cambio de contraseas
En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas
las claves de acceso, as como toda otra informacin que comprometa la informacin relacionada con cualquier clase de
transaccin bancaria, incluidas sus tarjetas electrnicas y cuentas bancarias.