Virus Trojan-Downloader.Win32.Agent.cpnc
|
Virus Trojan-Downloader.Win32.Agent.cpnc Este troyano descarga otro programa desde Internet y lo ejecuta en el equipo capturado sin el conocimiento ni consentimiento del usuario. Se trata de un archivo Windows PE DLL. Tiene un tamaño de 208.896 bytes. Está escrito en C++.
Infección
Cuando se ejecuta, el troyano crea su propia copia y la guarda con la extensión ".ocx" en la misma carpeta en la que se encuentra su cuerpo original.
Daños
El troyano determina la ruta a las carpetas con los archivos asociados con los procesos en ejecución en el equipo capturado. Si uno o más de los siguientes archivos se encuentra en estas carpetas:
- antiRK.dll
- safekrnl.dll
- safemon.dll
- AntiAdwa.dll
- antispy.dll
- SafeboxApi.dll
- safeext.dll
- AntiEng.dll
- check.dll
- KKClean.dll
- KakaMgr.dll
- kscanex.dll
- BWList.dll
- RsXML.dll
- RfwRule.dll
- AstShellEx.dll
- prremote.dll
- pr_remote.dll
- kav32res.dll
- npcLUStb.exe
- npcLUEng.dll
- LuccMUI.dll
- symlcnet.dll
- Iparmor4.dll
- SocketArmor.dll
- SRE*.EXE
Entonces el troyano terminará el proceso. El troyano también termina los procesos con los siguientes nombres:
- BitComet.exe
- bittorrent.exe
- BitSpirit.exe
- azureus.exe
- emule.exe
- Thunder5.exe
- Thunder.exe
- flashget.exe
- RfwMain.exe
- rfwsrv.exe
- runiep.exe
- avp.exe
- KPFW32.exe
- KPFW32X.exe
- KPFWSvc.exe
- PFWMain.exe
- ast.exe
- USBSAFE.exe
- Iparmor.exe
- safeboxTray.exe
- 360tray.exe
- 360Safe.exe
- 360rpt.exe
Después, el troyano crea un archivo llamado svchost.exe:
- svchost.exe
El troyano inyecta un código en el proceso creado que realizará las siguientes manipulaciones en el registro del sistema: Adopta los siguientes valores como parámetros:
- [HKLM\SOFTWARE\360Safe]
- "UdiskAccess" = "0"
- "ExecAccess" = "0"
- "IEProtAccess" = "0"
- "LeakAccess" = "0"
- "MonAccess" = "0"
- "SiteAccess" = "0"
Borra las siguientes llaves de registro:
- [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
- [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
- [HKLM\SOFTWARE\Kingsoft\AntiVirus\KavPFW]
- [HKLM\SOFTWARE\Kingsoft\AntiVirus\AntiSpam]
- [HKLM\SOFTWARE\Kingsoft\AntiVirus\KAC]
- [HKLM\SYSTEM\CurrentControlSet\Services\KWatch3]
- [HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc]
- [HKLM\SYSTEM\CurrentControlSet\Services\KNetWch]
- [HKLM\SYSTEM\CurrentControlSet\Services\KAVSafe]
- [HKLM\SYSTEM\CurrentControlSet\Services\KAVBootC]
- [HKLM\SYSTEM\CurrentControlSet\Services\KAVBase]
- [HKLM\SOFTWARE\Kingsoft\AntiVirus\Update]
- [HKLM\SOFTWARE\Kingsoft\AntiVirus\KMailMon]
- [HKLM\SOFTWARE\Kingsoft\AntiVirus\KAVReport]
- [HKLM\SOFTWARE\rising\KaKa]
- [HKLM\SOFTWARE\rising\KaKaToolBar]
- [HKLM\SOFTWARE\KasperskyLab]
- [HKLM\SYSTEM\CurrentControlSet\Services\klbg]
- [HKLM\SYSTEM\CurrentControlSet\Services\KLIF]
- [HKLM\SYSTEM\CurrentControlSet\Services\klim5]
- [HKLM\SYSTEM\CurrentControlSet\Services\AVP]
- [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations]
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy]
- [HKLM\SYSTEM\CurrentControlSet\Services\SafeBoxKrnl]
- [HKLM\SYSTEM\CurrentControlSet\Services\360procmon]
- [HKLM\SOFTWARE\360Safe]
Borra parámetros con los siguientes nombres desde la llave de inicio:
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
- "360Safetray"
- "360Safebox"
- "360Antiarp"
- "runeip"
- "Iparmor"
- "AVP"
Acto seguido, descarga un archivo desde la siguiente URL: http://www.ay*****nfo/kernel/usa.txt El archivo se guarda de la siguiente manera: %System%\acpi24.cnm El troyano lee las URLs desde este archivo desde el cual descarga otros archivos y los ejecuta. Estos archivos se guardan en la carpeta de sistema de Windows como "NetGuy.exe", donde es el número de serie del vínculo usado para descargar el archivo: %System%\NetGuy<serial number>.exe El troyano también crea servicios con los siguientes nombres: acpi24 acpi24Drv El troyano añade lo siguiente a la llave del sistema: [HKLM\SYSTEM\CurrentControlSet\Services\acpi24] "Description" = "passthrough" "DisplayName" = "acpi24" "ErrorControl" = "1" "ImagePath" = "%System%\acpi24.exe" "Start" = "2" "Type" = "16"
Instrucciones para la descontaminación
Si su equipo no cuenta con un antivirus actualizado, o no dispone de una solución antivirus, siga las siguientes instrucciones para eliminar el programa malicioso:
- Use el Administrador de Tareas para terminar el proceso del programa malicioso con el siguiente nombre:
svchost.exe
- Borre los siguientes servicios:
acpi24 acpi24Drv
- Borre el archivo troyano original (su localización dependerá de la forma en la que el programa penetró en el equipo capturado) y el archivo con el mismo nombre y la extensión “.ocx” localizado en la misma carpeta.
- Borre el siguiente archivo:
%System%\acpi24.cnm
- Borre los archivos que usan la siguiente máscara:
%System%\NetGuy.exe
- Borre el siguiente parámetro del registro del sistema (ver en inglés What is a system registry and how do I use it para saber más sobre cómo editar el registro).
- [HKLM\SYSTEM\CurrentControlSet\Services\acpi24]
- [HKLM\SYSTEM\CurrentControlSet\Services\acpi24Drv]
- Actualice las bases de datos de su antivirus y haga un análisis completo de su PC.