VB.NIU. Redirecciona sitios y cambia DNS

Compartir

Nombre: VB.NIU
Nombre NOD32: Win32/VB.NIU
Tipo: Caballo de Troya
Alias: VB.NIU, Trojan.Win32.Qhost.na, Trojan/Qhost.na, Win32/VB.NIU
Fecha: 9/ene/07
Actualizado: 11/ago/07
Plataforma: Windows 32-bit
Tamaño: 20,480 bytes

Este troyano intenta redireccionar los nombres de dominio de Internet, principalmente para interceptar las consultas a las páginas de búsqueda del Internet Explorer, así como su página de inicio.

Una vez que el troyano se ejecuta, puede agregar algunas entradas al archivo HOSTS (sin extensión), de Windows.

HOSTS. Es un archivo en formato texto, sin extensión, ubicado en windows\hosts o windows\system32\drivers\etc\hosts, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS.

Luego de la modificación, los siguientes sitios pueden ser redirigidos:
www. banamex. com
boveda. banamex. com. mx
www. bancanetempresarial. banamex. com. mx

Los siguientes archivos puedes ser creados en el sistema:

cftmon.exe
gasolineras.exe

Una de las últimas variantes del troyano, fue reportada al ser descargada por un correo electrónico enviado como spam, con las siguientes características (con errores ortográficos incluídos):

Asunto: Gasolineras que roab en Mexico

Texto:

Estudio a Nivel Nacional.
Profeco realizo un estudio a nivel nacional, y se
encontraron varias irregularidades en diversas
gasolineras, si deseas saber si en la gasolinera
que te abasteces te dan exactamente lo que pagas,
se publico un documento por el cual puedes buscar
por estado o ciudad.

Las gasolineras que aparecen en rojo tuvieron
anomalías grabes, las de naranja, algunas anomalías
y en verde, ninguna anomalía.

Se adjunta el documento. DESCARGAR AQUI

D.R.? Instituto Tecnológico y de Estudios Superiores
de Monterrey Ex-A-Tec


---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows





Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Descargar Antivirus NOD32 | Comprar Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 13-Aug-2007, a las 22:31 Vistas: 6852
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)