Nuevo troyano que se propaga vía mensajería instantánea, “Trojan.SdBot”

Troyano Trojan.SdBot

Un troyano que concretamente es vía MSN Messenger donde he podido experimentar en intento de infectar mi PC. Mi experiencia personal es que al principio un contacto me intento enviar un archivo .zip llamado IMG-0012, como es habitual, al pasar unas horas ya eran varios los contactos infectados con el consecuente acumulo de éstos archivos .zip en mi carpeta de archivos recibidos vía MSN Messenger, puesto que el fallo mío ha sido no quitar el aceptar automáticamente los archivos que me envían en las conversaciones.

Por lo tanto tengo varias copias de este archivo con supuesto contenido malicioso, ya que no es normal que varias personas te envíen sin comentar nada ni antes ni después de enviarte datos. Asi que esta noche me he decido a realizarle un escaneo con ClamWin, un estupendo antivirus gratuito y me ha desvelado el nombre del troyano del cual sospechaba. Dicho troyano se llama técnicamente: Trojan.SdBot-7061. En el posterior examen del contenido del .zip, he encontrado un ejecutable llamado img0012-www.photostorage del cual podréis encontrar información en Google si realizáis una pequeña búsqueda.

Adjunto dos capturas: una del envío vía conversación y otra del informa que realiza al escanearlo el antivirus ClamWin:

ClamWin detecta Trojan.SdBot
El troyano Trojan.SdBot enviado por MSN Messenger

He encontrado la solución por si has sido infectados en el foro Taringa!. Al parecer crea un archivo llamado lsass.exe en una carpeta que propiamente crea el troyano que astutamente le pone el nombre de C:\WINDOWS\system\ y no system32, donde se encuentra el archivo lsass.exe original del sistema operativo. He aquí los pasos que tienes que seguir para librarte de la amenaza:

  1. Descargar un buen detector de rootkits, por ejemplo, Rootkit Unhooker.
  2. Una vez instalado y ejecutado vamos a la pestaña “Hidden Processes Detector“.
  3. En esa lista hemos de buscar el proceso: C:\WINDOWS\system\lsass.exe.
  4. Puede que existan dos, si tienen la ruta que he citado yo han de ser eliminados.
  5. IMPORTANTE: fijate que la carpeta padre sea system y NO system32, puesto que el lsass.exe que hay en ésta última es un servicio del sistema que puede ocasionar daños.
  6. Selecciona los procesos de la ruta que hemos dicho y vamos al menú: Action / Force Kill + Erase file.
  7. Confirmamos que queremos elminar esos procesos y ya habremos borrado ese archivo de nuestro PC.
  8. Hemos llenado de ceros el archivo con lo cual lo hemos dejado totalmente inservible, para poder eliminarlo reinicamos el ordenador, vamos a la ruta citada y borramos el archivo.
  9. Tan sólo queda ya borrar la entrada en el registro, la cual propicia que se ejecuta cada vez que inicamos el sistema operativo.
  10. Para borrar dicha entrada de forma fácil descargamos Autoruns.
  11. Una vez ejecutada vamos a la pestaña “Logon” y buscamos la ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Lsass Services
  12. La seleccionamos y hacemos clic en la equis roja de la barra de herramientas.
  13. Recomiendo personalmente que tras esto actualices el antivirus y realices un escaneo total del sistema por si acaso.

Pongo la lista de mensajes que suelen decir los contactos infectados que he encontrado en Taringa!:

“ay no ese pelo fue lo mas chistoso…q estabas pensando
jajaja yo me recuerdo cuando tuvistes el pelo asi
oye ponga esa foto en tu myspace como la foto principal
voy a poner esa foto de nosotros en mi blog ya
esa foto de tu y yo la voy a poner en myspace
hola esas son las fotos
jaja debes poner esa foto como foto principal en tu myspace o algo
oye voy a agregar esa foto a mi blog ya
jaja recuerda cuando tuviste el pelo asi
oye voy a poner esa foto de nosotros en mi myspace :->
Per favore nessuno lasciare vede le nostre foto
Io ricordo quando abbiamo portato questa foto
Caricher
questa foto al mio myspace adesso
Qui sono il fotos di ci
jaja lei dovrebbe fare quest’il suo pic predefinito sul myspace o qualcosa metta questi fotos in suo pagina myspace
ehi aggiunger
quest’immagine di noi al mio weblog
jaja ricordo quando lei aveva i suoi capelli come questo
ehi metter
quest’immagine di noi sul mio myspace :>
chten den pics von meinen Ferien sehen?
Wimmern! Blick auf diese alte Abbildung, die ich: fand
he ich zeige Ihnen diese Abbildung von mir
berhaupt?
Haha sollten Sie dieses Ihre R
ckstellung auf myspace oder etwas pic bilden:D
he werde ich diese Abbildung von uns meinem weblog hinzuf
gen
lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben
he werde ich diese Abbildung von uns auf mein myspace setzen
wil je fotos zien van mijn vakantie
wow! moet je eens kijken welke foto ik nu gevonden heb
he heb je ooit deze foto laten zien ?
haha you moet die je standaard foto maken op hyves of myspace
hey ik voeg deze foto van ons ff toe op mijn weblog
lol ik kan me nog herrinneren toen je haar zoals dit had
Hey i zet deze foto van ons even op mijn myspace
faut de la reproduction sonore ! regard
cette vieille image que j’ai trouv
mes photos chaudes
haha vous devriez rendre ceci votre d
faut pic sur le myspace ou quelque chose
j’ai fais pour toi ce photo album tu dois le voire
veux tu voir mes image de vacance??
le lol se rappellent quand vous aviez l’habitude d’avoir vos cheveux comme ceci
je vais mettre cette image de nous sur mon myspace :>
Check out my nice photo album.
wanna see the pics from my vacation? :>
Nice new photos of me and my friends and stuff and when i was young lol…
lol remember when you used to have your hair like this
My friend took nice photos of me.you Should see em loL!
hey i’m going to add this picture of us to my weblog
Here are my private pictures for you”

Fuentes | Taringa! | Autoruns para Windows | Antirootkit |

Compartir en Google Plus

Acerca de Jorge Bordás

  • WordPress Comentarios
  • Facebook Comentarios