Home / Virus / Enciclopedia de virus
Trojan-Downloader.Win32.Agent.cpnc
Otras versiones: .ac, .emi, .uj
Detección agregada 12 sep 2009 21:12 GMT
Actualización lanzada 13 sep 2009 08:58 GMT
Descripción agregada 24 feb 2010
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Este troyano descarga otro programa desde Internet y lo ejecuta en el equipo capturado sin el conocimiento ni consentimiento del usuario. Se trata de un archivo Windows PE DLL. Tiene un tamaño de 208.896 bytes. Está escrito en C++.
Instalación
Cuando se ejecuta, el troyano crea su propia copia y la guarda con la extensión ".ocx" en la misma carpeta en la que se encuentra su cuerpo original.
Daños
A continuación, el troyano determina la ruta a las carpetas con los archivos asociados con los procesos en ejecución en el equipo capturado. Si uno o más de los siguientes archivos se encuentra en estas carpetas:
antiRK.dll
safekrnl.dll
safemon.dll
AntiAdwa.dll
antispy.dll
SafeboxApi.dll
safeext.dll
AntiEng.dll
check.dll
KKClean.dll
KakaMgr.dll
kscanex.dll
BWList.dll
RsXML.dll
RfwRule.dll
AstShellEx.dll
prremote.dll
pr_remote.dll
kav32res.dll
npcLUStb.exe
npcLUEng.dll
LuccMUI.dll
symlcnet.dll
Iparmor4.dll
SocketArmor.dll
SRE*.EXE
entonces el troyano terminará el proceso.
El troyano también termina los procesos con los siguientes nombres:
BitComet.exe
bittorrent.exe
BitSpirit.exe
azureus.exe
emule.exe
Thunder5.exe
Thunder.exe
flashget.exe
RfwMain.exe
rfwsrv.exe
runiep.exe
avp.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
PFWMain.exe
ast.exe
USBSAFE.exe
Iparmor.exe
safeboxTray.exe
360tray.exe
360Safe.exe
360rpt.exe
Después, el troyano crea un archivo llamado “svchost.exe”:
svchost.exe
El troyano inyecta un código en el proceso creado que realizará las siguientes manipulaciones en el registro del sistema:
Adopta los siguientes valores como parámetros:
[HKLM\SOFTWARE\360Safe]
"UdiskAccess" = "0"
"ExecAccess" = "0"
"IEProtAccess" = "0"
"LeakAccess" = "0"
"MonAccess" = "0"
"SiteAccess" = "0"
Borra las siguientes llaves de registro:
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\KavPFW]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\AntiSpam]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\KAC]
[HKLM\SYSTEM\CurrentControlSet\Services\KWatch3]
[HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc]
[HKLM\SYSTEM\CurrentControlSet\Services\KNetWch]
[HKLM\SYSTEM\CurrentControlSet\Services\KAVSafe]
[HKLM\SYSTEM\CurrentControlSet\Services\KAVBootC]
[HKLM\SYSTEM\CurrentControlSet\Services\KAVBase]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\Update]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\KMailMon]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\KAVReport]
[HKLM\SOFTWARE\rising\KaKa]
[HKLM\SOFTWARE\rising\KaKaToolBar]
[HKLM\SOFTWARE\KasperskyLab]
[HKLM\SYSTEM\CurrentControlSet\Services\klbg]
[HKLM\SYSTEM\CurrentControlSet\Services\KLIF]
[HKLM\SYSTEM\CurrentControlSet\Services\klim5]
[HKLM\SYSTEM\CurrentControlSet\Services\AVP]
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy]
[HKLM\SYSTEM\CurrentControlSet\Services\SafeBoxKrnl]
[HKLM\SYSTEM\CurrentControlSet\Services\360procmon]
[HKLM\SOFTWARE\360Safe]
Borra parámetros con los siguientes nombres desde la llave de inicio:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"360Safetray"
"360Safebox"
"360Antiarp"
"runeip"
"Iparmor"
"AVP"
Acto seguido, el troyano descarga un archivo desde la siguiente URL:
http://www.ay*****nfo/kernel/usa.txt
Hasta la fecha, este vínculo estaba inactivo.
El archivo se guarda de la siguiente manera:
%System%\acpi24.cnm
El troyano lee las URLs desde este archivo desde el cual descarga otros archivos y los ejecuta. Estos archivos se guardan en la carpeta de sistema de Windows como "NetGuy.exe", donde es el número de serie del vínculo usado para descargar el archivo:
%System%\NetGuy<serial number>.exe
El troyano también crea servicios con los siguientes nombres:
acpi24
acpi24Drv
El troyano añade lo siguiente a la llave del sistema:
[HKLM\SYSTEM\CurrentControlSet\Services\acpi24]
"Description" = "passthrough"
"DisplayName" = "acpi24"
"ErrorControl" = "1"
"ImagePath" = "%System%\acpi24.exe"
"Start" = "2"
"Type" = "16"
Instrucciones de eliminación
Si su equipo no cuenta con un antivirus actualizado, o no dispone de una solución antivirus, siga las siguientes instrucciones para eliminar el programa malicioso:
Use el Administrador de Tareas para terminar el proceso del programa malicioso con el siguiente nombre:
svchost.exe
Borre los siguientes servicios:
acpi24
acpi24Drv
Borre el archivo troyano original (su localización dependerá de la forma en la que el programa penetró en el equipo capturado) y el archivo con el mismo nombre y la extensión “.ocx” localizado en la misma carpeta.
Borre el siguiente archivo:
%System%\acpi24.cnm
Borre los archivos que usan la siguiente máscara:
%System%\NetGuy.exe
Borre el siguiente parámetro del registro del sistema (ver en inglés What is a system registry and how do I use it para saber más sobre cómo editar el registro).
[HKLM\SYSTEM\CurrentControlSet\Services\acpi24]
[HKLM\SYSTEM\CurrentControlSet\Services\acpi24Drv]
Actualice las bases de datos de su antivirus y haga un análisis completo de su equipo (descarga gratuita de una versión de prueba de Kaspersky Anti-Virus)