Virus Trojan-Downloader.Win32.Agent.cpnc

Virus Trojan-Downloader.Win32.Agent.cpnc Este troyano descarga otro programa desde Internet y lo ejecuta en el equipo capturado sin el conocimiento ni consentimiento del usuario. Se trata de un archivo Windows PE DLL. Tiene un tamaño de 208.896 bytes. Está escrito en C++.

Infección

Cuando se ejecuta, el troyano crea su propia copia y la guarda con la extensión ".ocx" en la misma carpeta en la que se encuentra su cuerpo original.

Daños

El troyano determina la ruta a las carpetas con los archivos asociados con los procesos en ejecución en el equipo capturado. Si uno o más de los siguientes archivos se encuentra en estas carpetas:

• antiRK.dll
• safekrnl.dll
• safemon.dll
• AntiAdwa.dll
• antispy.dll
• SafeboxApi.dll
• safeext.dll
• AntiEng.dll
• check.dll
• KKClean.dll
• KakaMgr.dll
• kscanex.dll
• BWList.dll
• RsXML.dll
• RfwRule.dll
• AstShellEx.dll
• prremote.dll
• pr_remote.dll
• kav32res.dll
• npcLUStb.exe
• npcLUEng.dll
• LuccMUI.dll
• symlcnet.dll
• Iparmor4.dll
• SocketArmor.dll
• SRE*.EXE

Entonces el troyano terminará el proceso. El troyano también termina los procesos con los siguientes nombres:

• BitComet.exe
• bittorrent.exe
• BitSpirit.exe
• azureus.exe
• emule.exe
• Thunder5.exe
• Thunder.exe
• flashget.exe
• RfwMain.exe
• rfwsrv.exe
• runiep.exe
• avp.exe
• KPFW32.exe
• KPFW32X.exe
• KPFWSvc.exe
• PFWMain.exe
• ast.exe
• USBSAFE.exe
• Iparmor.exe
• safeboxTray.exe
• 360tray.exe
• 360Safe.exe
• 360rpt.exe

Después, el troyano crea un archivo llamado svchost.exe:

• svchost.exe

El troyano inyecta un código en el proceso creado que realizará las siguientes manipulaciones en el registro del sistema: Adopta los siguientes valores como parámetros:

• [HKLM\SOFTWARE\360Safe]
• "UdiskAccess" = "0"
• "ExecAccess" = "0"
• "IEProtAccess" = "0"
• "LeakAccess" = "0"
• "MonAccess" = "0"
• "SiteAccess" = "0"

Borra las siguientes llaves de registro:

• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
• [HKLM\SOFTWARE\Kingsoft\AntiVirus\KavPFW]
• [HKLM\SOFTWARE\Kingsoft\AntiVirus\AntiSpam]
• [HKLM\SOFTWARE\Kingsoft\AntiVirus\KAC]
• [HKLM\SYSTEM\CurrentControlSet\Services\KWatch3]
• [HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc]
• [HKLM\SYSTEM\CurrentControlSet\Services\KNetWch]
• [HKLM\SYSTEM\CurrentControlSet\Services\KAVSafe]
• [HKLM\SYSTEM\CurrentControlSet\Services\KAVBootC]
• [HKLM\SYSTEM\CurrentControlSet\Services\KAVBase]
• [HKLM\SOFTWARE\Kingsoft\AntiVirus\Update]
• [HKLM\SOFTWARE\Kingsoft\AntiVirus\KMailMon]
• [HKLM\SOFTWARE\Kingsoft\AntiVirus\KAVReport]
• [HKLM\SOFTWARE\rising\KaKa]
• [HKLM\SOFTWARE\rising\KaKaToolBar]
• [HKLM\SOFTWARE\KasperskyLab]
• [HKLM\SYSTEM\CurrentControlSet\Services\klbg]
• [HKLM\SYSTEM\CurrentControlSet\Services\KLIF]
• [HKLM\SYSTEM\CurrentControlSet\Services\klim5]
• [HKLM\SYSTEM\CurrentControlSet\Services\AVP]
• [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations]
• [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy]
• [HKLM\SYSTEM\CurrentControlSet\Services\SafeBoxKrnl]
• [HKLM\SYSTEM\CurrentControlSet\Services\360procmon]
• [HKLM\SOFTWARE\360Safe]

Borra parámetros con los siguientes nombres desde la llave de inicio:

• [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• "360Safetray"
• "360Safebox"
• "360Antiarp"
• "runeip"
• "Iparmor"
• "AVP"

Acto seguido, descarga un archivo desde la siguiente URL: http://www.ay*****nfo/kernel/usa.txt El archivo se guarda de la siguiente manera: %System%\acpi24.cnm El troyano lee las URLs desde este archivo desde el cual descarga otros archivos y los ejecuta. Estos archivos se guardan en la carpeta de sistema de Windows como "NetGuy.exe", donde es el número de serie del vínculo usado para descargar el archivo: %System%\NetGuy<serial number>.exe El troyano también crea servicios con los siguientes nombres: acpi24 acpi24Drv El troyano añade lo siguiente a la llave del sistema: [HKLM\SYSTEM\CurrentControlSet\Services\acpi24] "Description" = "passthrough" "DisplayName" = "acpi24" "ErrorControl" = "1" "ImagePath" = "%System%\acpi24.exe" "Start" = "2" "Type" = "16"

Instrucciones para la descontaminación

Si su equipo no cuenta con un antivirus actualizado, o no dispone de una solución antivirus, siga las siguientes instrucciones para eliminar el programa malicioso:

1. Use el Administrador de Tareas para terminar el proceso del programa malicioso con el siguiente nombre:

svchost.exe

1. Borre los siguientes servicios:

acpi24 acpi24Drv

1. Borre el archivo troyano original (su localización dependerá de la forma en la que el programa penetró en el equipo capturado) y el archivo con el mismo nombre y la extensión “.ocx” localizado en la misma carpeta.
2. Borre el siguiente archivo:

%System%\acpi24.cnm

1. Borre los archivos que usan la siguiente máscara:

%System%\NetGuy.exe

1. Borre el siguiente parámetro del registro del sistema (ver en inglés What is a system registry and how do I use it para saber más sobre cómo editar el registro).

• [HKLM\SYSTEM\CurrentControlSet\Services\acpi24]
• [HKLM\SYSTEM\CurrentControlSet\Services\acpi24Drv]

1. Actualice las bases de datos de su antivirus y haga un análisis completo de su PC.

Fuentes

• http://www.forokeys.com/foro/problemas-informaticos/agent-24/?wap2