c:\windows\system32\winshost.exe
c:\windows\system32\wiashost.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

WINSHOST.EXE es una copia del troyano, y WIASHOST.EXE es un componente inyectado en el mismo proceso del EXPLORER.EXE.

Crea también las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = c:\windows\system32\winshost.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winshost.exe = c:\windows\system32\winshost.exe

El troyano intenta detener los siguientes procesos, pertenecientes a diferentes utilidades de seguridad:

atupdater.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avpupd.exe
avwupd32.exe
avxquar.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
nupgrade.exe
outpost.exe
update.exe
upgrader.exe

También intenta descargar y ejecutar archivos descargados de los siguientes sitios de Internet:

www .amanit .ru
www .anthonyflanagan .com
www .approved1stmortgage .com
www .argument .h12 .ru
www .arkebek .de
www .artek .org
www .asianfestival .nl
www .astergut .at
www .aviation-center .de
www .bbsh .org
www .besino .com
www .bestbuy .de
www .beta .mtw .ru
www .bga-gsm .ru
www .blessino .com
www .blueeyeinc .com
www .breaklight .be
www .brzesko .net .pl
www .catsystem .com .kg
www .cdnpartner .com .pl
www .ceskyhosting .cz
www .channeland .com
www .compsolutionstore .com
www .concept .kg
www .corpsite .com
www .couponcapital .net
www .DarrkSydebaby .com
www .dehut-westerhoven .nl
www .dhl .kg
www .dierollendedisco .de
www .discobaradventure .be
www .e-nfo .com
www .e-power .com .cn
www .ecobank .kg
www .elenalazar .com
www .epicbiz .com
www .europa .kg
www .everett .wednet .edu
www .externet .hu
www .forester .kg
www .fotocliparts .de
www .fotonw .org
www .freesites .com .br
www .funbunker .de
www .funworld .tv
share .gameser .com
www .gci-bln .de
www .gcnet .ru
www .giantrevenue .com
www .himpsi .org
www .i3dvr .com
www .ibigmart .net
www .idb-group .net
www .illusionoflife .net
www .infocuspromo .com
www .irinaswelt .de
www .jansenboiler .com
www .jasnet .pl
www .jcribeiro .com
www .jewelleryamberproducts .com
www .jimvann .com
www .jldr .ca
www .jordanramey .net
www .joy-musik-sound .de
www .justrepublicans .com
www .katel .kg
www .knicks .nl
www .koebers .pl
www .kogaionon .com
www .kplus .kg
www .kradtraining .de
www .kranenberg .de
www .kstrus .com .pl
www .ktsonline .de
www .lahelaino .com
www .lawform .com .au
www .leetexgroup .com
www .leshrak .de
www .logoseiten .de
www .magicbottle .com .tw
www .mcuserver .cz
www .mega-spass .com
www .mega .kg
www .mepbisu .de
www .mepmh .de
www .mtfdesign .com
www .mtransit .kg
www .neotech .kg
www .nikonfotoshare .com
www .novosti .kg
www .ok .kg
www .onepositiveplace .org
www .online .kg
www .orangesuburban .5u .com
www .otv .ch
www .pageantpage .com
www .pankration .com
www .para-agility .com
www .pdxracing .net
www .pfadfinder-leobersdorf .com
www .pipni .cz
www .pjwstk .edu .pl
www .polizeimotorrad .de
www .proway-consulting .com
www .pugetsoundyc .org
www .pyrlandia-boogie .pl
www .qphoto .co .za
www .raecoinc .com
www .realgps .com
www .realty .kg
www .redlightpictures .com
www .reliance-yachts .com
www .relocationflorida .com
www .rentalstation .com
www .rieraquadros .com .br
www .roaming .kg
www .sacohalle .be
www .scanex-medical .fi
www .scoping4success .com
www .sert .ru
www .sigi .lu
www .spadochron .pl
www .ssc .kg
www .ssmifc .ca
www .stadtmeyers .de
www .sterlingirb .com
www .sunassetholdings .com
www .szantomierz .art .pl
www .szosa .pl
www .tambourenvereine .ch
www .tarnow .opoka .org .pl
www .tc-muraene .com
www .theroyalregistry .com
www .transportation .gov .bh
www .zander-yachting .com

Reparación manual

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\winshost.exe
c:\windows\system32\wiashost.exe

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

winshost.exe

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

winshost.exe

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP y la conexión compartida de Windows 2000

* En Windows XP SP2

1. Abra el Panel de Control, haga doble clic en el icono "Centro de Seguridad"

2. Active el cortafuego de Windows (si este se encuentra desactivado).

3. Cierra la ventana del cortafuego, cierre el Centro de Seguridad, por ultimo cierre el panel de control.


* En Windows 2000 o Windows XP SP1

1. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente:

services.msc

2. Presione el botón Aceptar.

* En Windows 2000 en la columna nombre localice el servicio "Conexión compartida a Internet (ICS)" y haga doble clic en el.

* En Windows XP en la columna nombre localice el servicio "Conexión de seguridad a Internet (ICF) / Conexión compartida a Internet (ICS)" y haga doble clic en el.

3. En la opción "Tipo de inicio" seleccione en el menú desplegable "Automático".

4. Bajo la opción "Estado del servicio" presione el botón "Iniciar".

5. Haga clic en el botón "Aceptar".

6. Reinicie el equipo.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



[Actualización 31/5/2005]

El 31 de mayo de 2005 se detectó una variante de este troyano, propagado en forma de correo masivo. El hecho que se trate de un troyano similar al utilizado para liberar otras variantes del gusano Bagle, ha creado cierta confusión a la hora de nombrar a este malware. 

NOD32, que desde el primer momento lo detectó con su heurística avanzada, protegiendo a sus usuarios aún sin identificarlo con un nombre, lo incorporó más tarde a su base de datos como una variante del Win32/TrojanDownloader.Small.ZL (con el mismo nombre agregó las diferentes variantes que luego surgieron).

Para conservar la relación de nombres con las alertas publicadas por diferentes medios, en VSAntivirus decidimos conservar el nombre más usado hasta ese momento para este malware (Bagle.BO). Los usuarios de NOD32 con las actualizaciones al día, identificarán el mismo como Win32/TrojanDownloader.Small.ZL.

Más información:

W32/Bagle.BO. Se inyecta en el proceso Explorer
http://www.vsantivirus.com/bagle-bo.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com