c:\windows\system32\agpbrdg?.dll
c:\windows\system32\agpbrdg?.sys
c:\windows\system32\ksl48.bin

Donde "?" es un dígito al azar.

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows, y para cargar el componente rootkit como un servicio:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\agpbrdg?

HKLM\SYSTEM\ControlSet001\Services\LEGACY_AGPBRDG?

HKLM\SYSTEM\ControlSet001\Services\agpbrdg?

HKLM\SYSTEM\ControlSet003\Services\LEGACY_AGPBRDG?

HKLM\SYSTEM\ControlSet003\Services\agpbrdg?

HKLM\SYSTEM\CurrentControlSet\Services\LEGACY_AGPBRDG?

HKLM\SYSTEM\CurrentControlSet\Services\agpbrdg?

El troyano permanece en memoria y monitorea las ventanas del navegador abiertas por el usuario. Cuando éste accede a determinadas páginas, pertenecientes a instituciones bancarias, captura la salida del teclado, capturando datos críticos, como por ejemplo nombre de usuario, datos de tarjetas de créditos, números de cuentas bancarias, y todo lo que el usuario ingrese en cualquier formulario dentro de varios sitios.

La información capturada es almacenada en el siguiente archivo:

c:\windows\system32\ksl48.bin

El archivo puede ser enviado a alguno de los siguientes sitios:

unrealsuperstationwow .com
visualstyleup .com
visaverefied .com

También abre un proxy socks en el equipo infectado, que permite a un atacante remoto ejecutar comandos.

El troyano modifica el archivo HOSTS de Windows, para impedir que los siguientes sitios puedan ser accedidos (incluye actualizaciones de antivirus, etc.):

avp .com
avp .ch
avp .ru
awaps .net
customer .symantec .com
d-eu-1f .kaspersky-labs .com
d-eu-2f .kaspersky-labs .com
dispatch .mcafee .com
download .mcafee .com
downloads1 .kaspersky-labs .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
downloads-us1 .kaspersky-labs .com
downloads-us2 .kaspersky-labs .com
downloads-us3 .kaspersky-labs .com
d-ru-1f .kaspersky-labs .com
d-ru-2f .kaspersky-labs .com
d-us-1f .kaspersky-labs .com
engine .awaps .net
f-secure .com
ftp .avp .ch
ftp .downloads2 .kaspersky-labs .com
ftp .f-secure .com
ftp .kaspersky .ru
ftp .kasperskylab .ru
ftp .sophos .com
ids .kaspersky-labs .com
kaspersky .com
kaspersky .ru
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
networkassociates .com
phx .corporate-ir .net
rads .mcafee .com
securityresponse .symantec .com
service1 .symantec .com
sophos .com
spd .atdmt .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
updates1 .kaspersky-labs .com
updates1 .kaspersky-labs .com
updates2 .kaspersky-labs .com
updates3 .kaspersky-labs .com
updates3 .kaspersky-labs .com
updates4 .kaspersky-labs .com
updates5 .kaspersky-labs .com
us .mcafee .com
virustotal .com

El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.

Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.

Esta versión también fue propagada en un correo electrónico enviado como spam, y con las siguientes características:

De: VISA TechSupport

Asunto: TT_2846583-[YOUR DETAILS HAVE BEEN CHANGED!]

Texto del mensaje:

Dear Customer,
This message has been sent to you by Visa Security Program.
You've specified this e-mail as reachable with your credit
card online transaction (your credit card details are not
shown here for security reasons).
We notify you that your level of authorization has been
altered during your last transaction of AUD 107.40 together
with the service fee of AUD 24.00. (21 SEPT 2006)
You can check details in the attachment.
If you believe there was a mistake please report this to
Verified by Visa.
Protect your Visa card online with a personal password
Visa provides reassurance that only you can use your Visa
card online.
Learn more about the benefits of Verified by Visa
http: // www .visaeurope .com/personal/onlineshopping
/verifiedbyvisa/signup.jsp
techsupport@visa.com.au
Regards
VISA TechSupport

Reparación manual

Deshabilitar cualquier conexión a Internet o una red

Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.

5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
\Notify
\agpbrdg?

3. Haga clic en la carpeta "agpbrdg?" (donde "?" es un dígito al azar), y bórrela.

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Services
\LEGACY_AGPBRDG?

5. Haga clic en la carpeta "LEGACY_AGPBRDG?" (donde "?" es un dígito al azar), y bórrela.

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Services
\agpbrdg?

7. Haga clic en la carpeta "agpbrdg?" (donde "?" es un dígito al azar), y bórrela.

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet003
\Services
\LEGACY_AGPBRDG?

9. Haga clic en la carpeta "LEGACY_AGPBRDG?" (donde "?" es un dígito al azar), y bórrela.

10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet003
\Services
\agpbrdg?

11. Haga clic en la carpeta "agpbrdg?" (donde "?" es un dígito al azar), y bórrela.

12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\LEGACY_AGPBRDG?

13. Haga clic en la carpeta "LEGACY_AGPBRDG?" (donde "?" es un dígito al azar), y bórrela.

14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\agpbrdg?

15. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

16. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1   localhost

4. Acepte guardar los cambios al salir del bloc de notas.

5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.

6. Reinicie su computadora.


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com