Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Troj/Hostidel.B. Cambia páginas de inicio y de búsqueda
 
VSantivirus No. 1230 Año 8, Miércoles 19 de noviembre de 2003

Troj/Hostidel.B. Cambia páginas de inicio y de búsqueda
http://www.vsantivirus.com/troj-hostidel-b

Nombre: Troj/Hostidel.B
Tipo: Caballo de Troya
Alias: W32.Hostidel.Trojan.B
Fecha: 17/nov/03
Plataforma: Windows 32-bit
Tamaño: 35,328 bytes

Este troyano sobrescribe el archivo HOSTS de Windows, y cambia las páginas de inicio y de búsqueda del Internet Explorer, además de liberar otro troyano en el directorio System de Windows.

Cuando se ejecuta, crea los siguientes archivos:

c:\windows\svchost.exe
c:\windows\svchostc.exe
c:\windows\svchosts.exe
c:\windows\sysini.ini

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

Este ultimo es un archivo de texto con el siguiente contenido:

***Computer was successfully infected***

Genera las siguientes entradas en la carpeta de "Favoritos":

1st search system.url
Adipex Online.url
Adipex.url
ADULT MOVIES.url
adult personals.url
adult%20dvd.url
AMATEUR.url
ANAL SEX.url
ANIME.url
ASIAN.url
Big boobs.url
BLOWJOBS.url
Buy Phentermine.url
Cash Advance.url
Casino.url
Casinos.url
Chicks with dicks.url
College Girls.url
Consolidate Debt.url
Credit Card Debt.url
Debt Consolidation.url
Debt Management.url
Erotic Toons.url
escort.url
Fioricet Online.url
Fioricet.url
Free Hardcore.url
FREE SEX.url
hairy.url
hardcore porn.url
Hardcore Videos.url
Home Equity Loan.url
Home Equity Loans.url
hugecock.url
Lesbian sex.url
LIVE SEX.url
Mature Gallery.url
Microsoft Security System.url
Online Casino.url
Online Casinos.url
online dating.url
Online Gambling.url
ORAL.url
Order Phentermine.url
Penis Enlargement Pill.url
Phentermine.url
porn dvd.url
porn video.url
Refinance Mortgage.url
Refinance.url
Schoolgirls.url
SHEMALES.url
small tits.url
Soma.url
Teen sex.url
Tramadol.url
transexuals.url
Ultram.url
WEB CAMS.url
XXX Chat.url
XXX MPEG.url

La ubicación de la carpeta "Favoritos" es tomada de la siguiente clave del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders\Favorites

También crea los siguientes enlaces directos en el escritorio:

Find what you want.url
Your porno collection.url

El troyano busca el archive HOSTS en la siguiente ubicación:

c:\windows\system32\drivers\etc\hosts

El archivo HOSTS (sin extensión alguna), es usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe (en la ubicación mencionada, solo aparece en Windows NT, 2000 y XP), el sistema lo examina antes de hacer una consulta a un servidor DNS.

Borra todas las entradas que encuentre allí y las cambia por las siguientes:

127.0.0.1 localhost
63.246.157.35 homepage #1st search system
63.246.157.36 security.com #Microsoft Security System

También agrega estos valores al registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Online Service = c:\windows\svchost.exe...

HKLM\Software\Microsoft\Mserv
IDwin = 002000112003000000490033

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = http:/ /sex.free4porno.net/search2.html


Limpieza manual

Borrar Archivos temporales de Internet.

Primero, debe borrar los archivos temporales de Internet.

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet pinche en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Pinche en Aceptar, etc.


Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\svchost.exe
c:\windows\svchostc.exe
c:\windows\svchosts.exe
c:\windows\sysini.ini

IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SVCHOST.EXE, ya que es un archivo legítimo de Windows XP.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Borrar accesos directos y favoritos agregados por el virus

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), los nombres de la siguiente lista:

1st search system.url;
Adipex Online.url;
Adipex.url;
ADULT MOVIES.url;
adult personals.url;
adult%20dvd.url;
AMATEUR.url;
ANAL SEX.url;
ANIME.url;
ASIAN.url;
Big boobs.url;
BLOWJOBS.url;
Buy Phentermine.url;
Cash Advance.url;
Casino.url;
Casinos.url;
Chicks with dicks.url;
College Girls.url;
Consolidate Debt.url;
Credit Card Debt.url;
Debt Consolidation.url;
Debt Management.url;
Erotic Toons.url;
escort.url;
Fioricet Online.url;
Fioricet.url;
Free Hardcore.url;
FREE SEX.url;
hairy.url;
hardcore porn.url;
Hardcore Videos.url;
Home Equity Loan.url;
Home Equity Loans.url;
hugecock.url;
Lesbian sex.url;
LIVE SEX.url;
Mature Gallery.url;
Microsoft Security System.url;
Online Casino.url;
Online Casinos.url;
online dating.url;
Online Gambling.url;
ORAL.url;
Order Phentermine.url;
Penis Enlargement Pill.url;
Phentermine.url;
porn dvd.url;
porn video.url;
Refinance Mortgage.url;
Refinance.url;
Schoolgirls.url;
SHEMALES.url;
small tits.url;
Soma.url;
Teen sex.url;
Tramadol.url;
transexuals.url;
Ultram.url;
WEB CAMS.url;
XXX Chat.url;
XXX MPEG.url;
Find what you want.url;
Your porno collection.url;

4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione "Todos los archivos y carpetas"

3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), la misma lista mostrada antes para Windows 98, Me.

4. Verifique que en "Buscar en:" esté seleccionado "C:"

5. Pinche en "Más opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Búsqueda" y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro desde la ventana MS-DOS. Para ello escriba allí REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel derecho, borre la entrada con el siguiente nombre:

Online Service

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Mserv

5. Pinche en la carpeta "Mserv" y bórrela.


Restaurar archivo HOSTS (solo Windows NT, 2000 y XP)

1. Utilizando el Explorador de Windows, busque el siguiente archivo:

c:\windows\system32\drivers\etc\hosts

2. Si aparece, haga doble clic sobre el archivo HOSTS (no tiene extensión). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

4. Acepte guardar los cambios al salir del bloc de notas.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS