Enciclopedia Virus - Ontinet.com

	acerca de
	contacto
	términos y condiciones
	glosario


	> buscador


	> búsqueda avanzada



	principal
	alertas
	listas de correo
	noticias
	bulos
	enciclopedia
	virus
	envío de muestras
	para webmasters


Herramientas contra: (c) Paolo Monti





	Enciclopedia Virus es una página de

VIRUS:

WIN32/TROJANDOWNLOADER.ZLOB.BOK

descripción

nombre:

Win32/TrojanDownloader.Zlob.BOK

aliases:

Win32/TrojanDownloader.Zlob.BOK, W32/TrojanDownloader.Zlob.BOK, TrojanDownloader.Zlob.BOK

tipo:

Troyano

fecha:

07/03/2008

gravedad general:

distribución:

daño:

destructivo:

origen:

Desconocido

nombre asignado por:

ESET


>	INFORMACION
	Troyano que se vale de conocidas vulnerabilidades para ejecutarse, y cambiar la configuración del Internet Explorer.

CARACTERISTICAS

Para ello modifica las siguientes claves del registro, según la información obtenida de un archivo que descarga de un sitio remoto vía Internet:

HKCU\Software\Microsoft\Internet Explorer
\Main\Start Page

HKCU\Software\Microsoft\Internet Explorer
\Main\Search Page

HKCU\Software\Microsoft\Internet Explorer
\Main\Search Bar

HKCU\Software\Microsoft\Internet Explorer
\SearchURL

HKCU\Software\Microsoft\Internet Explorer
\Search\SearchAssistant

También agrega nuevos valores a las siguientes entradas del registro:

HKCU\Software\Microsoft\Internet Explorer
\TypedURLs

Intenta agregar enlaces a determinados sitios web, en la carpeta de favoritos de Internet, la cuál localiza examinando la siguiente entrada del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders\Favorites

Cuando se ejecuta, crea los siguientes archivos:

[carpeta de usuario]\Application Data\Microsoft
\Crypto\rsa\
[SID]\1c96f5e3071d2fe1fd8725ea7dbf2576_d94f23d0-c3c6-
4280-a7c4-148368e4a6d9

[carpeta de usuario]\Application Data\Microsoft\Protect
\[SID]\425aa19b-9b80-40f8-abf7-c19903e19f7e

[carpeta de usuario]\Application Data\Microsoft\Protect
\[SID]\Preferred

[carpeta de usuario]\Application Data\Microsoft\Protect
\credhist

c:\windows\system32\dcomcfg.exe

c:\windows\system32\hp[caracteres al azar].tmp

c:\windows\system32\msvol.tlb

c:\windows\system32\ncompat.tlb

c:\windows\system32\simpole.tlb

c:\windows\system32\stdole3.tlb

Donde [SID] es un identificador de seguridad, un valor único que identifica a cada usuario, grupo, cuenta e inicio de sesión en una red, y [carpeta de usuario] es una de las siguientes:

* Windows XP, 2000 (español e inglés)

c:\documents and settings\all users\

c:\documents and settings\[nombre usuario]\

* Windows 95, 98, Me (español e inglés)

c:\windows\all users\

c:\windows\

c:\windows\profiles\[nombre usuario]\

Las siguientes entradas en el registro son creadas o modificadas:

HKCR\CLSID\{B0398ECA-0BCD-4645-8261-5E9DC70248D0}

HKCU\Software\Microsoft\Internet Explorer
\Main\Start Page

HKCU\Software\Microsoft\Internet Explorer\Search\

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\Browser Helper Objects
\{B0398ECA-0BCD-4645-8261-5E9DC70248D0}

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\explorer\run
[valor] = [ruta y nombre del archivo]

INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en las siguiente claves del registro:

HKCU\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices

6. Elimine la clave "{B0398ECA-0BCD-4645-8261-5E9DC70248D0}" en las siguientes claves del registro:

HKCR\CLSID\{B0398ECA-0BCD-4645-8261-5E9DC70248D0}

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\Browser Helper Objects
\{B0398ECA-0BCD-4645-8261-5E9DC70248D0}

7. Cierre el editor del Registro del sistema.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

* Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Haga clic en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Haga clic en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Haga clic en "Aceptar".

* Cambiar las páginas de búsqueda del Internet Explorer

1. Inicie el Internet Explorer.

2. Haga clic en el botón "Búsqueda" de la barra de herramientas.

3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".

4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).

5. Haga clic en el botón "Reiniciar" (Reset).

6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).

7. Elija un proveedor de búsquedas en el menú (Search Provider).

8. Seleccione "Aceptar" hasta salir de todas las opciones.

ALERTAS | NOTICIAS | ENCICLOPEDIA | PARA WEBMASTERS

términos y condiciones | ayuda | contacto | acerca de

> lista de correo...

Introduzca su email y reciba las últimas noticias sobre virus.

> alertas

Los más vistos:

Últimos 5 virus, con sus descripciones:

09-12 | Win32/Etap.E

09-12 | LockScreen.HW

09-12 | LockScreen.JN

14-05 | Spy.Swisyn.AC

14-05 | Win32/Witkinat.B

> ránking

5 virus más detectados por INTECO-CERT para PYMES y Ciudadanos:

36.20 %

29.80 %

6.60 %

3.50 %

2.50 %

facilitado por

> sabías que...

... el CIH, o Chernobyl, fue el primer virus capaz de afectar algo más que la información contenida en el disco duro de una computadora, dañando un componente de ciertas placas madre.