Enciclopedia Virus - Ontinet.com

	acerca de
	contacto
	términos y condiciones
	glosario


	> buscador


	> búsqueda avanzada



	principal
	alertas
	listas de correo
	noticias
	bulos
	enciclopedia
	virus
	envío de muestras
	para webmasters


Herramientas contra: (c) Paolo Monti





	Enciclopedia Virus es una página de

VIRUS:

WIN32/PSW.ONLINEGAMES.NNU

descripción

nombre:

Win32/PSW.OnLineGames.NNU

aliases:

TR/Vaklik.amf, W32/Onlinegames.gen-dll, Win32:AuCrypt, PSW.OnlineGames.AO,

tipo:

Troyano

fecha:

06/06/2008

gravedad general:

distribución:

daño:

tamaño:

164.765 Bytes

destructivo:

origen:

Desconocido

nombre asignado por:

ESET


>	INFORMACION
	Troyano que descarga archivos de Internet.

CARACTERISTICAS

Al ejecutarse crea los siguientes archivos:

c:\autorun.inf
c:\b2.exe
c:\Temp\vsi.dll
c:\windows\System32\fool0.dll
c:\windows\System32\fool1.dll
c:\windows\System32\fool2.dll
c:\windows\System32\ieso0.dll
c:\windows\System32\kxvo.exe

Crea las siguientes claves en el registro:

HKLM\SOFTWARE\Classes\CLSID
\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\VersionIndependentProgID
(Default) = "IEHlprObj.IEHlprObj"

HKLM\SOFTWARE\Classes\CLSID
\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\ProgID
(Default) = "IEHlprObj.IEHlprObj.1"

HKLM\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}

\InprocServer32
(Default) = "%System%\ieso0.dll"
ThreadingModel = "Apartment"

HKLM\SOFTWARE\Classes\CLSID
\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
(Default) = "IEHlprObj Class"

HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer
(Default) = "IEHlprObj.IEHlprObj.1"

HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj
(Default) = "IEHlprObj Class"

HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID
(Default) = "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"

HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
(Default) = "IEHlprObj Class"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
kxva = "c:\windows\System32\kxvo.exe"

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0x00000000

Se conecta al siguente sitio para descargar un archivo llamado "ll.rar":

http: //www . hg7890 . com/hg2/

INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectadosantes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

ALERTAS | NOTICIAS | ENCICLOPEDIA | PARA WEBMASTERS

términos y condiciones | ayuda | contacto | acerca de

> lista de correo...

Introduzca su email y reciba las últimas noticias sobre virus.

> alertas

Los más vistos:

Últimos 5 virus, con sus descripciones:

09-12 | Win32/Etap.E

09-12 | LockScreen.HW

09-12 | LockScreen.JN

14-05 | Spy.Swisyn.AC

14-05 | Win32/Witkinat.B

> ránking

5 virus más detectados por INTECO-CERT para PYMES y Ciudadanos:

36.20 %

29.80 %

6.60 %

3.50 %

2.50 %

facilitado por

> sabías que...

... pharming es una forma de ataque que involucra un servidor DNS, el cual es utilizado por piratas para redirigir varias direcciones Internet a otro servidor. En éste, están hospedadas páginas falsas muy similares a las auténticas. Su fin es el robo de información confidencial.