VIRUS:  WIN32/STARTPAGE.IX

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

VIRUS:  WIN32/STARTPAGE.IX

Compartir

DESCRIPCION

nombre: Win32/StartPage.IX
aliases: StartPage.IX, StartPage-DU, Trojan.Win32.StartPage.ix, Win32.Startpage.FZ, Win32/StartPage.IX, Troj/StartPage.IX
tipo: Troyano
fecha: 16/03/2005
gravedad general: Media
distribución: Media
daño: Medio
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION

Troyano que modifica las principales configuraciones del Internet Explorer, para que su página de inicio, de búsqueda, y otras asignadas por defecto, apunten a una dirección o direcciones predeterminadas. Los cambios realizados en el sistema, comprometen el rendimiento general de la navegación.

CARACTERISTICAS

Cuando se ejecuta, suele liberar archivos ".DLL" con nombres al azar en la carpeta del sistema de Windows:

C:\Windows\System32\[nombre al azar].DLL

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Suele crear una página de búsqueda en la carpeta de archivos temporales de Windows.

\TEMP\sp.html

La ubicación de la carpeta "TEMP" puede ser:

En Windows 9x/ME:

c:\windows\TEMP

En Windows NT, XP, 2000 y Server 2003:

c:\documents and settings\[usuario]\local settings\TEMP

Se integra al Internet Explorer como un objeto del tipo BHO, de modo que sus comunicaciones con el sitio que lo crea, no son interceptadas por el cortafuegos al ejecutarse como parte del propio navegador.

Se identifica en el registro con clases ID como las siguientes:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{????????-????-????-????-????????????}

HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
(Predeterminado) =
c:\windows\system32\[nombre al azar].dll

HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
ThreadingModel=Apartment

Donde {????????-????-????-????-????????????} es un valor al azar, similar al siguiente:

{C4B51C1A-A650-4D29-BCF8-5F860AE42DFD}

Se suele instalar a si mismo como un filtro MIME permanente, con lo que es posible desplegar una página de inicio que se asemeja a una página en blanco (about:blank). Para ello modifica las siguientes entradas:

HKCR\PROTOCOLS\Filter\text/html
CLSID={????????-????-????-????-????????????}

HKCR\PROTOCOLS\Filter\text/plain
CLSID={????????-????-????-????-????????????}

Además modifica las siguientes entradas para cambiar otros valores por defecto del sistema:

HKCU\Software\Microsoft\Internet Explorer\Main
HOMEOldSP = about:blank

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = about:blank

HKCU\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL = 1

HKCU\Software\Microsoft\Internet Explorer\Main
Use Search Asst = no

HKLM\Software\Microsoft\Internet Explorer\Main
HOMEOldSP = about:blank

HKLM\Software\Microsoft\Internet Explorer\Main
Start Page = about:blank

HKLM\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL = 1

HKLM\Software\Microsoft\Internet Explorer\Main
Use Search Asst = no

Alguna de las siguientes modificaciones también pueden ser realizadas, dependiendo de la versión del troyano:

HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar = file://TEMP\sp.html

HKCU\Software\Microsoft\Internet Explorer\Main
Search Page = file://TEMP\sp.html

HKCU\Software\Microsoft\Internet Explorer\Search
SearchAssistant = file://TEMP\sp.html

HKLM\Software\Microsoft\Internet Explorer\Main
Search Bar = file://TEMP\sp.html

HKLM\Software\Microsoft\Internet Explorer\Main
Search Page = file://TEMP\sp.html

HKLM\Software\Microsoft\Internet Explorer\Search
SearchAssistant = file://TEMP\sp.html

O también pueden crearse alguna de las siguientes entradas:

HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

HKCU\Software\Microsoft\Internet Explorer\Main
Search Page = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

HKCU\SOFTWARE\Microsoft\Internet Explorer\Search
SearchAssistant = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

HKLM\Software\Microsoft\Internet Explorer\Main
Search Bar = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

HKLM\Software\Microsoft\Internet Explorer\Main
Search Page = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
SearchAssistant = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

El contenido codificado del protocolo res:/ /, apunta a la ubicación del DLL descargado por el troyano, cuyo nombre puede variar.

Ejemplo:

res://C:\WINDOWS\System32\[nombre al azar].dll/sp.html

El troyano examina el contenido actual del archivo HOSTS del sistema, para determinar si específicamente algún dominio ha sido redirigido.

La lista de dominios consultados en el archivo HOSTS, varía en cada versión del troyano. La siguiente es una lista de los más conocidos:

ak47.be
count.cc
channels.at
google.com
ieautosearch
look-up.tv
msn.com
netscape.com
refer.cn
searchx.cc
windows-data.info
yahoo.com

Si detecta alguno de esos dominios redireccionados en el archivo HOSTS, modifica la entrada agregando un caracter de comentario (#), al comienzo de la correspondiente línea. Luego modifica los atributos de dicho archivo para que sea de solo lectura (+R).

Algunas variantes modifican directamente el código del archivo "WININET.DLL" de Windows con la intención de redirigir todas las llamadas que el sistema realiza a través de ese DLL al API hacia su propio DLL.

Otras variantes modifican el siguiente valor del registro, con la intención de mostrar la página propia "SP.HTML" en la barra de búsqueda del Internet Explorer:

HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar = res://TEMP\se.dll/sp.html

Otras versiones liberan el siguiente DLL en la carpeta TEMP:

\TEMP\se.dll

"SE.DLL" puede ser reconocido como otra variante de la misma familia del StartPage.

INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" el nombre detectado en el punto "3"

6. Tome nota y borre todas las carpetas {????????-????-????-????-????????????}, que coincidan con la encontrada en cada referencia al archivo anterior:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{????????-????-????-????-????????????}

HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
(Predeterminado)=
c:\windows\system32\[nombre al azar].dll

HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
ThreadingModel = Apartment

7. En el editor del registro, haga clic en "Mi PC" de la ventana izquierda. Seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" el nombre de la carpeta {????????-????-????-????-????????????} detectada en el punto 6.

8. Borre todas las carpetas encontradas.

9. Busque la siguiente clave:

HKCR\PROTOCOLS

10. Borre las siguientes carpetas:

text/html
text/plain

11. Busque la siguiente clave:

HKCU\Software\Microsoft\Internet Explorer\Main

12. Borre todas las entradas similares a las siguientes:

HOMEOldSP = about:blank
Search Bar = file://TEMP\sp.html
Search Page = file://TEMP\sp.html
Start Page = about:blank
Use Custom Search URL = 1
Use Search Asst= no

Search Bar = res://TEMP\se.dll/sp.html

Search Bar = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

Search Page = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

13. Busque la siguiente clave:

HKCU\Software\Microsoft\Internet Explorer\Search

14. Borre todas las entradas similares a las siguientes:

SearchAssistant = file://TEMP\sp.html

SearchAssistant = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

15. Busque la siguiente clave:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main

16. Borre todas las entradas similares a las siguientes:

HOMEOldSP = about:blank
Search Bar = file://TEMP\sp.html
Search Page = file://TEMP\sp.html
Start Page = about:blank
Use Custom Search URL = 1
Use Search Asst = no

Search Bar = res://TEMP\se.dll/sp.html

Search Bar = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

Search Page = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

17. Busque la siguiente clave:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search

18. Borre todas las entradas similares a las siguientes:

SearchAssistant = file://TEMP\sp.html

SearchAssistant = res://%43%3a%5c%57%49%4e%44%4f
%57%53%5c%53%79%73%74%65%6d%33%32%5c
%6b%6e%66%6f%62%61%2e%64%6c%6c/%73%70
%2e%68%74%6d%6c

19. Cierre el editor del Registro del sistema.


20. Recuperar el archivo "WININET.DLL"

* En Windows 98:

a) Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

b) Marque "Extraer un archivo del disco de instalación"

c) En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

WININET.DLL

d) Haga clic en "Iniciar".

e) En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

f) En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

g) Haga clic en "Aceptar".

h) Confirme la carpeta para copias de seguridad y haga clic nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

* En Windows Me:

a) Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

b) Haga clic en el botón "Extraer archivo"

c) En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

WININET.DLL

d) Haga clic en "Iniciar".

e) En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

f) En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

g) Haga clic en "Aceptar".

h) Confirme la carpeta para copias de seguridad y haga clic nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").

* En Windows XP:

a) Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

b) Haga clic en el botón "Expandir archivo"

c) En "Archivo para restaurar" escriba el nombre del archivo a restaurar:

WININET.DLL

d) En "Restaurar desde" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

e) En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM32" (sin las comillas).

f). Haga clic en "Expandir".

21. Cierre el Internet Explorer y cualquier otra ventana abierta

22. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):

regsvr32 /u [nombre al azar].DLL

Donde [nombre al azar].DLL es el nombre del archivo .DLL detectado en el punto 3.

23. Se podría abrir una ventana del Internet Explorer, ciérrela.

24. Cierre todas las ventanas y todos los programas abiertos.

25. Cierre todas las ventanas del Internet Explorer abiertas

26. Seleccione "Mi PC", "Panel de control".

27. Haga clic en el icono "Opciones de Internet".

28. Seleccione la lengüeta "Programas".

29. Haga clic en el botón "Restablecer configuración Web"

30. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

31. Haga clic en "Aceptar".

32. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".

32. Inicie el Internet Explorer.

33. Haga clic en el botón "Búsqueda" de la barra de herramientas.

34. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".

35. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).

36. Haga clic en el botón "Reiniciar" (Reset).

37. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).

38. Elija un proveedor de búsquedas en el menú (Search Provider).

39. Seleccione "Aceptar" hasta salir de todas las opciones.

40. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

41. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos" (NOTA: Tal vez deba cambiar las propiedades del archivo, eliminando el atributo "Solo lectura". Para ello, desde el Explorador de Windows busque dicho archivo, utilice botón derecho, Propiedades y desmarque "Sólo lectura").

42. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

43. Acepte guardar los cambios al salir del bloc de notas.

44. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.

45. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
Compartir
  #1  
Creado: 16-Mar-2005, a las 18:56 Vistas: 315
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus


Temas Similares
» VIRUS:  WIN32/AGOBOT.ATC 0
» VIRUS:  WIN32/MYTOB.BF 0
» VIRUS:  WIN32/MYTOB.BE 0
» VIRUS:  WIN32/MYTOB.BD 0
» VIRUS:  WIN32/MYTOB.BC 0
» VIRUS:  WIN32/MYTOB.V 0
» VIRUS:  WIN32/MYTOB.S 0
» VIRUS:  WIN32/STARTPAGE.NBS1.GEN 0
» VIRUS:  WIN32/VB.CT 0
» VIRUS:  WIN32/VB.NBN 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 04:27.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4