Troj/Phel.A. Se ejecuta automáticamente en XP SP2

tiliza una vulnerabilidad que permite eludir la restricción de seguridad para archivos de ayuda mediante una vulnerabilidad en el objeto "Help ActiveX Control", según publica VSantivirus.

Cuando se ejecuta, descarga y ejecuta otros archivos de Internet. Los equipos infectados pueden quedar inestables y su rendimiento decaer notoriamente.

Cuando se abre el archivo HTML que contiene el código del troyano, se despliegan dos ventanas del Internet Explorer, y podría mostrarse un mensaje de error previniendo su ejecución.

Si la ejecución es exitosa, el troyano descarga un archivo del siguiente dominio y lo ejecuta como un JavaScript:

searchproject.net

El script descarga más código del mismo sitio utilizando el objeto "ADODB.Connection", y lo graba como MY.HTA en las siguientes carpetas:

C:\Documents and Settings\All Users\Kaynnista-valikko\Ohjelmat\Kaynnistys
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
C:\Documents and Settings\All Users\Menu Demarrer\Programmes\Demarrage
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar
C:\Documents and Settings\All Users\Menu Inicio\Programas\Inicio
C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
C:\Documents and Settings\All Users\Menuen Start\Programmer\Start
C:\Documents and Settings\All Users\Start Menu\Programlar\BASLANGIC
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart
C:\Documents and Settings\All Users\Start-menyn\Program\Autostart
C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\Autostart

Estas carpetas y su ubicación, están literalmente especificadas en el código del troyano. Dependiendo del idioma del sistema operativo, el archivo MY.HTA se ejecutará en cada reinicio de Windows.

Cuando ello ocurre, se descarga otro archivo del mismo dominio, el cuál es grabado en la siguiente ubicación y luego ejecutado:

c:\kb3248.exe

Se crean entonces los siguientes archivos:

c:\windows\system32\uwyrl.exe
c:\windows\system32\uwyrl.dll

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000).

También se crea la siguiente entrada para que el troyano se autoejecute en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
uwyrl = "c:\windows\system32\uwyrl.exe"

El troyano también descarga y ejecuta a otro troyano identificado como "Coreflood" del siguiente dominio:

down.spainglobaling.com


Reparación manual

NOTA: Tenga en cuenta que de acuerdo a los archivos maliciosos descargados y ejecutados por el virus, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).


Deshabilitar cualquier conexión a Internet o una red

Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.