Trojan-Downloader.VBS.Small.df
¡Virus caballo de Troya!
¿Cómo eliminar este virus? Caballo de Troya (Caballo de Troya)
Un programa caballo de Troya completo generalmente consta de dos partes: una es el programa servidor y la otra es el programa controlador. "Ser atrapado por un caballo de Troya" significa que hay un programa de servidor de caballo de Troya instalado. Si su computadora tiene instalado un programa de servidor, alguien con el programa controlador puede controlar su computadora a través de la red y hacer lo que quiera. Varios archivos, programas y las cuentas y contraseñas utilizadas en su computadora ya no son seguros.
Los programas troyanos no pueden considerarse virus, pero cada vez más versiones nuevas de software antivirus han comenzado a detectar y eliminar algunos caballos de Troya, por lo que mucha gente llama a los programas troyanos virus piratas.
Cómo se inicia el caballo de Troya
1. Iniciar en Win.ini
En el campo [ventanas] de Win.ini está el comando de inicio " load" =" y "run=", en general, "=" va seguido de un espacio en blanco. Si hay un programa seguido, por ejemplo, se ve así:
run=c:\windows. \file.exe
p>load=c:\windows\file.exe
Cuidado, este archivo.exe probablemente sea un caballo de Troya.
2. Inicie en System.ini
System.ini se encuentra en el directorio de instalación de Windows y shell=Explorer.exe en su campo [arranque] es uno de los ocultos. cargas que les gustan a los troyanos. Por lo tanto, el enfoque habitual de los troyanos es cambiar lo que debería ser así: shell=Explorer.exefile.exe. Tenga en cuenta que file.exe aquí es el programa del servidor troyano.
Además, en el campo [386Enh] en System., preste atención para verificar "driver=path\program name" en esta sección. aquí también es posible Explotado por troyanos. Además, los tres campos [mic], [drivers] y [drivers32] en System.ini también se utilizan para cargar controladores, pero también son un buen lugar para agregar troyanos. Ahora debes saber que presta atención aquí.
3. Utilice el registro para cargar y ejecutar
Las ubicaciones de registro que se muestran a continuación son los lugares favoritos para que los troyanos se escondan y carguen. Compruebe rápidamente qué programas hay debajo.
4. Cargue y ejecute Autoexec.bat y Config.sys.
Tenga en cuenta que estos dos archivos en el directorio raíz de la unidad C también pueden iniciar troyanos. Sin embargo, este método de carga generalmente requiere que el usuario del control establezca una conexión con el servidor y luego cargue en el servidor el archivo con el mismo nombre al que se agregó el comando de inicio del troyano para sobrescribir los dos archivos, y este método no es muy encubierto. Es fácil de descubrir, por lo que es raro que se carguen programas troyanos en Autoexec.bat y Conpings, pero esto no debe tomarse a la ligera.
5. Inicie en Winstart.bat
Winstart.bat es un archivo por lotes que no es menos especial que Autoexec.bat, y también es un archivo por lotes que se puede cargar automáticamente. y ejecutado por documento de Windows. En la mayoría de los casos, se genera automáticamente para aplicaciones y Windows. Se genera automáticamente después de ejecutar Windows, ejecutar Win.com y agregar la mayoría de los controladores.
Inicie la ejecución (esto se puede hacer presionando el botón Puede encontrar). puede realizar presionando F8 y seleccionando el método de inicio para seguir gradualmente el proceso de inicio). Dado que las funciones de Autoexec.bat pueden ser reemplazadas por Witart.bat, el troyano se puede cargar y ejecutar como en Autoexec.bat, y el peligro proviene de esto.
6. Grupo de inicio
Aunque los troyanos no están muy ocultos si están ocultos en el grupo de inicio, de hecho es un buen lugar para la carga y ejecución automática, por lo que todavía hay troyanos. que le guste residir aquí. La carpeta correspondiente al grupo de inicio es C:\Windows\start menu\programs\startup, y su ubicación en el registro es: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Carpetas Inicio =" c:\windows\menú inicio\programas\inicio". ¡Preste atención para verificar el grupo de inicio con frecuencia!
7.*.INI
Es decir, el archivo de configuración de inicio de la aplicación El extremo de control utiliza las características de estos archivos para iniciar. el programa y creará la carga del archivo con el mismo nombre con el comando de inicio del troyano en el servidor para sobrescribir el archivo con el mismo nombre, de modo que se pueda lograr el propósito de iniciar el troyano.
Inicie el método solo una vez: en winint.ini (usado para más instalaciones).
8. Modificar asociaciones de archivos
Modificar asociaciones de archivos es un método común utilizado por los troyanos (principalmente troyanos nacionales, la mayoría de los troyanos extranjeros no tienen esta función), por ejemplo, en circunstancias normales. , Archivos TXT El método de apertura es el archivo Notepad.EXE, pero una vez que se ataca el troyano de asociación de archivos, el método de apertura del archivo txt se modificará para abrirlo con un programa troyano. Por ejemplo, el famoso troyano doméstico Binghe hace esto. "Binghe" se realiza modificando HKEY_CLASSES_ROOT\ El valor clave en txtfile\whell\open\command, abra "C:\WINDOWS\NOTEPAD.EXE con el Bloc de notas, como el famoso HKEY-CLASSES-ROOT\txt\shell\open nacional Valor de clave \commandT, cambie "C:\WINDOWS\NOTEPAD.EXE%l" a "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l". De esta manera, una vez que haga doble clic en el archivo TXT que utilizó originalmente. Bloc de notas para abrir el archivo, pero ahora se inicia El programa troyano, ¡qué cruel! Tenga en cuenta que no sólo los archivos TXT, sino también otros objetos como HTM, EXE, ZIP.COM, etc. son el objetivo de los troyanos. Tenga cuidado al tratar con este tipo de troyanos
, solo puede verificar la clave principal HKEY_C\shell\open\command con frecuencia para ver si el valor de su clave es normal
9.
Para realizar esta condición de activación, primero debe controlar el terminal y el servicio. El extremo ha establecido una conexión a través del troyano, y luego el usuario final de control utiliza la herramienta de software para empaquetar el archivo troyano con una aplicación. y luego lo carga en el servidor para sobrescribir el archivo fuente. De esta manera, incluso si se elimina el troyano, siempre que se ejecute la aplicación incluida con el troyano, el troyano se instalará si está vinculado a un determinado. aplicación, si está vinculada a un archivo del sistema, el troyano se iniciará cada vez que se inicie Windows
10. El método de conexión activo del tipo de puerto de rebote
Tenemos. Ya mencioné el troyano de tipo puerto de rebote porque es contrario al troyano general, su servidor (lado controlado) establece activamente una conexión con el cliente (lado controlador), y el puerto de escucha generalmente se abre en 80, por lo que. Es realmente difícil prevenirlo sin las herramientas adecuadas y una amplia experiencia. El representante típico de este tipo de troyano es el Internet Thief". Dado que estos troyanos todavía tienen que crear cambios clave-valor en el registro, no es difícil detectarlos. Al mismo tiempo, el último firewall Skynet (como hablamos en el tercer punto), por lo que, siempre que prestes atención, también podrás encontrarlo cuando el servidor Network Thief establezca una conexión activa.
WORM_NUGACHE.G (Wiking) y TROJ_CLAGGE.B Caballo de Troya (Caballo de Troya)
Solución:
WORM_NUGACHE.G (Wiking)
Fecha de lanzamiento del patrón de virus: 8 de diciembre de 2006
Solución:
Nota: para eliminar completamente todo el malware asociado, realice la solución limpia para TROJ_DLOADER.IBZ
<. p>Terminar el programa de malwareEste procedimiento finaliza el proceso de malware en ejecución
Abra el Administrador de tareas de Windows en Windows 98 y ME, presione
CTRL+ALT. +ELIMINAR En Windows NT, 2000, XP y Server 2003, presione
CTRL+SHIFT+ESC, luego haga clic en la pestaña Procesos
En la lista de programas en ejecución*, busque. el proceso:
MSTC.EXE
Seleccione el proceso de malware, luego presione el botón Finalizar tarea o Finalizar proceso, dependiendo de la versión de Windows en su computadora.
Para comprobar si el proceso de malware ha finalizado, cierre el Administrador de tareas y luego ábralo nuevamente
Cierre el Administrador de tareas
*NOTA: en computadoras que ejecutan Windows 98. y ME, es posible que el Administrador de tareas de Windows no muestre ciertos procesos. Puede utilizar un visor de procesos de terceros, como Process Explorer, para finalizar el proceso de malware.
En computadoras que ejecutan todas las plataformas Windows, si el proceso que está buscando. para no está en la lista que muestra el Administrador de tareas o el Explorador de procesos, continúe con el siguiente procedimiento de solución y observe las instrucciones adicionales. Si el proceso de malware está en la lista que muestra el Administrador de tareas o el Explorador de procesos, pero no puede finalizarlo, reinicie su computadora en modo seguro.
Edición del Registro
Este malware modifica el registro de la computadora. Es posible que los usuarios afectados por este malware necesiten modificar o eliminar claves o entradas de registro específicas. Para obtener información sobre la edición del registro, consulte los siguientes artículos de Microsoft:
CÓMO: realizar copias de seguridad, editar y restaurar el registro en Windows 95, Windows 98 y Windows ME
CÓMO PARA: Realizar una copia de seguridad, editar y restaurar el Registro en Windows NT 4.0
CÓMO: Realizar una copia de seguridad, editar y restaurar el Registro en Windows 2000
CÓMO: Realizar una copia de seguridad, editar y y restaurar el registro en Windows XP y Server 2003
Eliminar las entradas de inicio automático del registro
Eliminar las entradas de inicio automático del registro evita que el malware se ejecute al inicio.
Si no se encuentra la siguiente entrada de registro, es posible que el malware no se haya ejecutado en el momento de la detección. Si es así, continúe con el conjunto de soluciones siguiente.
Abra el Editor del registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y luego. presione Enter.
En el panel izquierdo, haga doble clic en lo siguiente:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion> Ejecutar
En el panel derecho, localice y elimine la entrada:
Microsoft Domain Controller = "%System%\mstc.exe"
(Nota: % System% es el sistema Windows carpeta del sistema, que suele ser C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT y 2000, y C:\Windows\System32 en Windows XP y Server 2003.)
Eliminar la clave agregada del Registro
Aún en el Editor del Registro, en el panel izquierdo, haga doble clic en lo siguiente:
HKEY_LOCAL_MACHINE>SOFTWARE
En el panel izquierdo, localice y elimine la siguiente clave:
GNU
Cierre el Editor del Registro
Instrucciones importantes de limpieza de Windows ME/XP
. p>
Los usuarios que ejecutan Windows ME y XP deben desactivar Restaurar sistema para permitir el escaneo completo de las computadoras infectadas.
Los usuarios que ejecutan otras versiones de Windows pueden continuar con los siguientes conjuntos de soluciones.
Ejecución de Trend Micro Antivirus
Si actualmente está ejecutando el modo seguro, reinicie su computadora normalmente antes de realizar la siguiente solución
Escanee su computadora con el antivirus Trend Micro y elimínela. archivos detectados como WORM_NUGACHE.G Para hacer esto, los clientes de Trend Micro deben descargar el archivo de patrón de virus más reciente y escanear su computadora. Otros usuarios de Internet pueden usar HouseCall, el escáner de virus en línea de Trend Micro
Aplicar parche <. /p>
Este malware aprovecha vulnerabilidades conocidas en Windows. Descargue e instale el parche de reparación proporcionado por Microsoft. Absténgase de utilizar este producto hasta que se haya instalado el parche adecuado. Trend Micro recomienda a los usuarios que descarguen los parches críticos cuando los proveedores los publiquen.
TROJ_CLAGGE.B Caballo de Troya
Fecha de lanzamiento del patrón de virus: 18 de septiembre de 2006
Solución:
Identificación del programa de malware
p>
Para eliminar este malware, primero identifique el programa malicioso.
Escanee su computadora con su producto antivirus Trend Micro.
TENGA EN CUENTA la ruta y el nombre de todos los archivos detectados. como TROJ_CLAGGE.B
Los clientes de Trend Micro deben descargar el archivo de patrón de virus más reciente antes de escanear su computadora. Otros usuarios pueden usar Housecall, el escáner de virus en línea de Trend Micro
Editar el. Registro
Este malware modifica el registro de la computadora. Es posible que los usuarios afectados por este malware deban modificar o eliminar claves o entradas de registro específicas. Para obtener información detallada sobre la edición del registro, consulte los siguientes artículos de Microsoft:
p>CÓMO: hacer una copia de seguridad, editar y restaurar el registro en Windows 95, Windows 98 y Windows ME
CÓMO: hacer una copia de seguridad, editar y restaurar el registro en Windows NT 4.0
CÓMO: hacer una copia de seguridad, editar y restaurar el registro en Windows 2000
CÓMO: hacer una copia de seguridad, editar y restaurar el registro en Windows XP y Server 2003
Eliminar la entrada de malware del Registro
Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y luego presione Entrar
En el panel izquierdo, haga doble clic en lo siguiente:
p>
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parámetros>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
En el panel derecho, localice y elimine la entrada:
{Ruta de malware y nombre de archivo} ="{Ruta de malware y nombre de archivo}:*:ENABLED:0"
Cierre el Editor del Registro
Instrucciones importantes de limpieza de Windows ME/XP
Los usuarios que ejecutan Windows ME y XP deben desactivar Restaurar sistema para permitir el escaneo completo de las computadoras infectadas.
Los usuarios que ejecutan Windows ME y XP deben hacerlo. deshabilite Restaurar sistema para permitir el análisis completo de las computadoras infectadas y otras versiones de Windows pueden continuar con el conjunto de soluciones siguientes
Ejecutando Trend Micro Antivirus
Si actualmente está ejecutando en modo seguro. modo, reinicie su computadora normalmente antes de realizar la siguiente solución.
Escanee su computadora con el antivirus Trend Micro y elimine los archivos detectados como TROJ_CLAGGE.B y TROJ_KEYLOG.CO. El archivo de patrón de virus más reciente y escanear su computadora. Otros usuarios de Internet pueden usar HouseCall, el escáner de virus en línea de Trend Micro.