Datos
Nombre: pq.pif:Tamaño: 16k
Compreciòn UPX: No
Introducción:
A simple vista parece un virus común, pero en realidad no lo es, cosa que debí sospechar desde el primer momento, pues tanto el autorun como el archivo del virus como tal son distintos a los populares kavo, ;)
La eliminación de este virus es bastante fácil una vez que se sabe más o menos como trabaja. En realidad el virus lo que hace es reemplazar al archivo wuauclt.exe que se encuentra en C:\WINDOWS\system32 y C:\WINDOWS\system32\dllcache, haciéndose pasar por las actualizaciones automáticas de Windows. Una vez que se puede entrar al registro, vemos que este archivo se manda a cargar desde HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run (lugar poco o no usado hasta el momento por otros virus).
Este es el menor de los problemas, para los que sepan un poco solo les pondré dos imágenes.
Mensaje al tratar de abrir el archivo C:\WINDOWS\regedit.exe
Ejemplo de como bloquear una aplicaciònmediante el registro.
Como se puede ver es un virus bastante poco peculiar, tanto por su forma de actuar como por los métodos que utiliza para asegurar su estancia en la máquina conviertiendose en Debugger de algunas apicaciones comunes. (¿Por qué no tratará de debuggear al SAV también?)
Eliminación:
Para eliminarlo se debe empezar primero por borrar el archivo que se encuentra en C:\WINDOWS\System32\dllcache\wuauclt.exe, luego el de C:\WINDOWS\System32\wuauclt.exe y por último acudir al registro para eliminar todas las claves creadas, tanto la que se encarga de ejecutar el virus en cada nueva instancia de la máquina como las que vinculan los archivos del sistema con el virus. Al momento se podrá acceder a todos los archivos bloqueados por el virus y vivirán felices (al menos de este virus) por los siglos de los siglos.Nota: Para no perder archivos de Windows, sería buena idea volver a copiar el archivo wuauclt.exe (para algo debe servir, no todos los archivos de Windows son basura ¿no?, ;))
Los Pro:
A favor de este virus podemos decir que utiliza un sistema nuevo de inserción en el registro, algo verdaderamente poco común y que surtiría un muy buen efecto en las PC, además está la inmensa lista de aplicaciones a las que les impide el acceso y transfiere hacia el mismo el control.En Contra:
Aún deja acceso al registro si se logra renombrar el mismo y permite además acceso a la consola y al administrador de tareas, los que, al menos para este caso no fueron utilizados, pero nunca está demás quitar el acceso a estas herramientas.Todas las claves que infecta:
\360rpt.EXE]
\360safe.EXE]
\360safebox.EXE]
\360tray.EXE]
\ANTIARP.EXE]
\ArSwp.EXE]
\Ast.EXE]
\AutoRun.EXE]
\AutoRunKiller.EXE]
\AvMonitor.EXE]
\AVP.COM]
\AVP.EXE]
\CCenter.EXE]
\Frameworkservice.EXE]
\GFUpd.EXE]
\GuardField.EXE]
\HijackThis.EXE]
\IceSword.EXE]
\Iparmor.EXE]
\KASARP.EXE]
\KAVPFW.EXE]
\kavstart.EXE]
\kmailmon.EXE]
\KRegEx.EXE]
\KVMonxp.KXP]
\KVSrvXP.EXE]
\KVWSC.EXE]
\kwatch.EXE]
\Mmsk.EXE]
\msconfig.EXE]
\Navapsvc.EXE]
\nod32krn.EXE]
\Nod32kui.EXE]
\PFW.EXE]
\QQDoctor.EXE]
\RAV.EXE]
\RavStub.EXE]
\Regedit.EXE]
\rfwmain.EXE]
\rfwProxy.EXE]
\rfwsrv.EXE]
\rfwstub.EXE]
\RSTray.EXE]
\Runiep.EXE]
\safeboxTray.EXE]
\SREngLdr.EXE]
\TrojanDetector.EXE]
\Trojanwall.EXE]
\TrojDie.KXP]
\VPC32.EXE]
\VPTRAY.EXE]
\WOPTILITIES.EXE]
Como pueden ver este virus en particular afecta a más de un archivo y casi todos de cierta importancia, así que mejor sería eliminarlo en cuanto lo vean.
Nota: Hunter Console ya tiene una vacuna para dicho Virus.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario