La venganza es un plato que se sirve helado
Hace 13 años.
viernes, 31 de octubre de 2008
Fuckin' Trojans!
Hay un troyano/backdoor que me esta rompiendo las bolas de sobremanera. Ya me "ataco" varias veces y no hay mucha informacion respecto al guachito este.
AdAware me lo detecto como W32.trojan.autoIT o algo asi... igualmente tiene, segun la firma del antivirus o anti-spyware que lo detecte, varios nombres. Lo importante es que este desgraciado crea un archivo csrcs.exe que lo mete en las carpetas del windows y en el registro. Ademas, se copia en todas las carpetas compartidas de la red con el nombre "rupobf.exe" (que, a pesar de tener un icono en forma de carpeta de windows, es no mas que un ejecutable... nice... cualquier hijo de vecino, preguntandose qué demonios es esa carpeta, hace doble click sobre la misma y paff! trojanos por doquier!) No solo se esconde bajo un icono, sino que ademas borrar los archivos del sistema no alcanza para eliminarlo. Aqui, el procedimiento que este maldito desgraciado sigue:
1) Crea el archivo csrcs.exe en la carpeta %System% de Windows. Ver mas info.
2) Crea entradas en el registro
3) Copia los archivos rupobf.exe y hkq en las carpetas compartidas de la red.
4) Desconfigura las opciones de visualicacion de las carpetas de windows, ocultando las extensiones de los archivos y los ocultos, de manera que el archivo rupobf.exe se ve sin la extension y esto sumado a que su icono es como el de una carpeta de windows, el guachin invita a todo ingenuo a hacer click sobre el para ver el contenido de dicha carpeta misteriosa. A su vez, el archivo hkq (o hqk, no recuerdo) esta oculto, por lo que no se ve.
5) Modifica entradas del registro, haciendo que la simple eliminacion de estos archivos sea insuficiente. El muy desgraciado agrega el valor csrcs en esta clave:
hklm/soft/mic/windowsnt/cv/winlogon shell=explorer.exe csrcs.exe
De manera que cada vez que se reinicia la maquina, se vuelve a ejecutar... clever...
6) Abre puertos y demas para transmitir informacion personal
Aparentemente, por lo que pude ver, esta mierda se copia en la maquina cuando se ejecuta un codec de video. Cada vez que me paso, estaba viendo algun video en la web.
Para quitarlo:
Tened cuidado al ejecutar estos pasos. Si no estan seguros, llamen a alguien que sepa del tema! No me hago responsable de posibles daños por ignorancia =)
1) Terminar desde el task manager el proceso que se esta ejecutando csrcs.exe
2) Reconfigurar la visualizacion de carpetas desde el explorador de windows/Herramientas/Opciones de la carpeta/Ver para que muestre los archivos ocultos y las extensiones.
3) Buscar y eliminar el archivo csrcs.exe en la carpeta %System% de Windows(OJO que tiene el nombre parecido a un archivo que SI es de windows, no se confundan! y escriban bien el nombre!)
4) Eliminar rupobf.exe de todas las carpetas compartidas y lo mismo con hkq
5) Eliminar cualquier entrada en el registro del csrcs (ojo con esto! si no saben como hacerlo, no metan la mano en el registro que pueden mandarse un cagadon! Y OJO con el nombre tambien... no se lo confundan con uno parecido)
6) Buscar la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
hacer doble click sobre "Shell" en el panel de la derecha para editar el valor y cuando se abra la ventana de edicion, borrar csrcs.exe.
Esta ventana solo deberia decir Explorer.exe (De nuevo, OJO con las modificaciones... si no estan seguros, llamen a alguien que la tenga mas clara).
Buscar la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
y borrar el valor csrcs en la ventana de la derecha.(De nuevo, OJO con las modificaciones... si no estan seguros, llamen a alguien que la tenga mas clara).
Creo que no me olvido de nada... de todas formas, cuando terminan de hacer esto, ejecuten adaware, previa acutalizacion (adaware lo detecta, pero no borra todo ni cambia la clave de "Shell" a como estaba, pero sirve para detectar si quedo algo)
Otro que lo detecta es Malwarebyte's Anti-malware.
PD: Los archivos rupobf y hkq no los encuentro en google... quiza se copien con otros nombres tambien. Fijense que los pueden detectar porque uno es un ejecutable con extension .exe y el icono es una carpeta y el otro carece directamente de extension y ambos se copian juntos.
AdAware me lo detecto como W32.trojan.autoIT o algo asi... igualmente tiene, segun la firma del antivirus o anti-spyware que lo detecte, varios nombres. Lo importante es que este desgraciado crea un archivo csrcs.exe que lo mete en las carpetas del windows y en el registro. Ademas, se copia en todas las carpetas compartidas de la red con el nombre "rupobf.exe" (que, a pesar de tener un icono en forma de carpeta de windows, es no mas que un ejecutable... nice... cualquier hijo de vecino, preguntandose qué demonios es esa carpeta, hace doble click sobre la misma y paff! trojanos por doquier!) No solo se esconde bajo un icono, sino que ademas borrar los archivos del sistema no alcanza para eliminarlo. Aqui, el procedimiento que este maldito desgraciado sigue:
1) Crea el archivo csrcs.exe en la carpeta %System% de Windows. Ver mas info.
2) Crea entradas en el registro
3) Copia los archivos rupobf.exe y hkq en las carpetas compartidas de la red.
4) Desconfigura las opciones de visualicacion de las carpetas de windows, ocultando las extensiones de los archivos y los ocultos, de manera que el archivo rupobf.exe se ve sin la extension y esto sumado a que su icono es como el de una carpeta de windows, el guachin invita a todo ingenuo a hacer click sobre el para ver el contenido de dicha carpeta misteriosa. A su vez, el archivo hkq (o hqk, no recuerdo) esta oculto, por lo que no se ve.
5) Modifica entradas del registro, haciendo que la simple eliminacion de estos archivos sea insuficiente. El muy desgraciado agrega el valor csrcs en esta clave:
hklm/soft/mic/windowsnt/cv/winlogon shell=explorer.exe csrcs.exe
De manera que cada vez que se reinicia la maquina, se vuelve a ejecutar... clever...
6) Abre puertos y demas para transmitir informacion personal
Aparentemente, por lo que pude ver, esta mierda se copia en la maquina cuando se ejecuta un codec de video. Cada vez que me paso, estaba viendo algun video en la web.
Para quitarlo:
Tened cuidado al ejecutar estos pasos. Si no estan seguros, llamen a alguien que sepa del tema! No me hago responsable de posibles daños por ignorancia =)
1) Terminar desde el task manager el proceso que se esta ejecutando csrcs.exe
2) Reconfigurar la visualizacion de carpetas desde el explorador de windows/Herramientas/Opciones de la carpeta/Ver para que muestre los archivos ocultos y las extensiones.
3) Buscar y eliminar el archivo csrcs.exe en la carpeta %System% de Windows(OJO que tiene el nombre parecido a un archivo que SI es de windows, no se confundan! y escriban bien el nombre!)
4) Eliminar rupobf.exe de todas las carpetas compartidas y lo mismo con hkq
5) Eliminar cualquier entrada en el registro del csrcs (ojo con esto! si no saben como hacerlo, no metan la mano en el registro que pueden mandarse un cagadon! Y OJO con el nombre tambien... no se lo confundan con uno parecido)
6) Buscar la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
hacer doble click sobre "Shell" en el panel de la derecha para editar el valor y cuando se abra la ventana de edicion, borrar csrcs.exe.
Esta ventana solo deberia decir Explorer.exe (De nuevo, OJO con las modificaciones... si no estan seguros, llamen a alguien que la tenga mas clara).
Buscar la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
y borrar el valor csrcs en la ventana de la derecha.(De nuevo, OJO con las modificaciones... si no estan seguros, llamen a alguien que la tenga mas clara).
Creo que no me olvido de nada... de todas formas, cuando terminan de hacer esto, ejecuten adaware, previa acutalizacion (adaware lo detecta, pero no borra todo ni cambia la clave de "Shell" a como estaba, pero sirve para detectar si quedo algo)
Otro que lo detecta es Malwarebyte's Anti-malware.
PD: Los archivos rupobf y hkq no los encuentro en google... quiza se copien con otros nombres tambien. Fijense que los pueden detectar porque uno es un ejecutable con extension .exe y el icono es una carpeta y el otro carece directamente de extension y ambos se copian juntos.
Suscribirse a:
Entradas (Atom)
