Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

     

Troj/Wintrash.A. Obliga a reinstalar Windows
 
VSantivirus No. 1445 Año 8, domingo 20 de junio de 2004

 Troj/Wintrash.A. Obliga a reinstalar Windows
http://www.vsantivirus.com/troj-wintrash-a.htm

Nombre: Troj/Wintrash.A
Tipo: Caballo de Troya
Alias: Wintrash, Trojan.Wintrash
Fecha: 17/jun/04
Plataforma: Windows 32-bit
Tamaño: 143 Kb

Troyano en forma de instalador (Gentee Installer), que libera archivos capaces de dañar severamente a Windows, lo que causa que el sistema se reinicie constantemente.

También deshabilita importantes claves del registro.

Cuando se ejecuta, muestra una pantalla negra, que no es otra cosa que un bitmap que oculta las actividades del troyano. Luego, hace que Windows se reinicie.

El troyano libera los siguientes archivos:

c:\windows\temp\chichie.cxe
c:\windows\temp\chidk.cxe
c:\windows\temp\winfd.cxe
c:\windows\system\msgsrv.cxe
c:\windows\xfwfm.cxe
\escritorio\Wincfd

Agrega los siguientes valores en el registro, para autoejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSGSRV = MSGSRV.CXE

HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run
MSGSRV = MSGSRV.CXE

También modifica las siguientes entradas:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001

HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001

Esto produce el mensaje "El administrador ha deshabilitado la edición del registro" cuando se intenta ejecutar REGEDIT.

Crea la siguiente entrada para hacer que los archivos con extensión .CXE sean ejecutables.

HKEY_CLASSES_ROOT\.cxe
(Predeterminado) = "exefile"

También crea una entrada para hacer que los archivos .EXE no sean ejecutables.

HKEY_CLASSES_ROOT\.exe
(Predeterminado) = "Htmlfi1e"

Y finalmente, crea las siguientes entradas para hacer que Windows se apague inmediatamente de reiniciarse:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoRun = dword:00000001

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoDrives = dword:00000001

Esto también impide que los iconos correspondientes a las unidades de disco duro estén asociadas a estas últimas (no se puede acceder a los discos desde Windows).

La información en los discos no es afectada, y aún seguirán siendo accesibles desde el DOS nativo de Windows 95, 98 y Me.


Limpieza manual

Los graves daños causados, obligan a la reinstalación del sistema.

Utilice inmediatamente después, un antivirus actualizado para borrar los archivos creados por el troyano.





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS