Virus Win32.Agent.emi
| ||||||
El troyano Win32.Agent.emi descarga otro programa desde Internet y lo ejecuta en el equipo capturado sin el conocimiento ni consentimiento del usuario. Se trata de un archivo Windows PE EXE. Tiene un tamaño de 38.400 bytes. Está escrito en C++.
Infección
Cuando se ejecuta, el troyano copia su cuerpo en el directorio de sistema de Windows como “Ir32_a.exe”: %System%\Ir32_a.exe El archivo original se borrará. Para asegurarse de que el troyano se ejecute de manera automática cada vez que se inicie el sistema, el troyano registra su archivo ejecutable al registro del sistema: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" = C:\WINDOWS\system32\userinit.exe,Ir32_a.exe
Daños
El troyano envía una petición al sitio del usuario remoto malicioso:
http://www.***blog5566.com/images/yukor.bmp
Como respuesta, se enviará un archivo con una lista de vínculos a descargar.
El archivo se guarda en la unidad C: directorio raíz: como “tmp.dat”:
C:\tmp.dat
Hasta la fecha, estos vínculos no funcionaban.
Los archivos descargados desde los vínculos incluidos en el archivo se guardan en el directorio Archivos temporales de Internet con sus nombres originales. Después de descargarse, están listos para ejecutarse.
Instrucciones de eliminación
Si su equipo no cuenta con un antivirus actualizado, o no dispone de una solución antivirus, siga las siguientes instrucciones para eliminar el programa malicioso:
- Elimine el archivo troyano original (su localización dependerá de la manera en que el programa haya penetrado el equipo capturado), si es que no se auto eliminó.
- Borre la copia del troyano:
%System%\Ir32_.exe
- Borre todos los archivos desde Temporary Internet Files.
- Revierta la siguiente llave del registro del sistema:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" = C:\WINDOWS\system32\userinit.exe,Ir32_a.exe a [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" = C:\WINDOWS\system32\userinit.exe
