¡Virus caballo de Troya!
¿Cómo eliminar este virus? Caballo de Troya (Caballo de Troya)
Un programa caballo de Troya completo generalmente consta de dos partes: una es el programa servidor y la otra es el programa controlador. "Ser atrapado por un caballo de Troya" significa que hay un programa de servidor de caballo de Troya instalado. Si su computadora tiene instalado un programa de servidor, alguien con el programa controlador puede controlar su computadora a través de la red y hacer lo que quiera. Varios archivos, programas y las cuentas y contraseñas utilizadas en su computadora ya no son seguros.
Los programas troyanos no pueden considerarse virus, pero cada vez más versiones nuevas de software antivirus han comenzado a detectar y eliminar algunos caballos de Troya, por lo que mucha gente llama a los programas troyanos virus piratas.
Cómo se inicia el caballo de Troya
1. Iniciar en Win.ini
En el campo [ventanas] de Win.ini está el comando de inicio " load" =" y "run=", en general, "=" va seguido de un espacio en blanco. Si hay un programa seguido, por ejemplo, se ve así:
run=c:\windows. \file.exe
p>load=c:\windows\file.exe
Cuidado, este archivo.exe probablemente sea un caballo de Troya.
2. Inicie en System.ini
System.ini se encuentra en el directorio de instalación de Windows y shell=Explorer.exe en su campo [arranque] es uno de los ocultos. cargas que les gustan a los troyanos. Por lo tanto, el enfoque habitual de los troyanos es cambiar lo que debería ser así: shell=Explorer.exefile.exe. Tenga en cuenta que file.exe aquí es el programa del servidor troyano.
Además, en el campo [386Enh] en System., preste atención para verificar "driver=path\program name" en esta sección. aquí también es posible Explotado por troyanos. Además, los tres campos [mic], [drivers] y [drivers32] en System.ini también se utilizan para cargar controladores, pero también son un buen lugar para agregar troyanos. Ahora debes saber que presta atención aquí.
3. Utilice el registro para cargar y ejecutar
Las ubicaciones de registro que se muestran a continuación son los lugares favoritos para que los troyanos se escondan y carguen. Compruebe rápidamente qué programas hay debajo.
4. Cargue y ejecute Autoexec.bat y Config.sys.
Tenga en cuenta que estos dos archivos en el directorio raíz de la unidad C también pueden iniciar troyanos. Sin embargo, este método de carga generalmente requiere que el usuario del control establezca una conexión con el servidor y luego cargue en el servidor el archivo con el mismo nombre al que se agregó el comando de inicio del troyano para sobrescribir los dos archivos, y este método no es muy encubierto. Es fácil de descubrir, por lo que es raro que se carguen programas troyanos en Autoexec.bat y Conpings, pero esto no debe tomarse a la ligera.
5. Inicie en Winstart.bat
Winstart.bat es un archivo por lotes que no es menos especial que Autoexec.bat, y también es un archivo por lotes que se puede cargar automáticamente. y ejecutado por documento de Windows. En la mayoría de los casos, se genera automáticamente para aplicaciones y Windows. Se genera automáticamente después de ejecutar Windows, ejecutar Win.com y agregar la mayoría de los controladores.
Inicie la ejecución (esto se puede hacer presionando el botón Puede encontrar). presionando F8 y seleccionando el método de inicio para seguir gradualmente el proceso de inicio). Dado que Witart.bat puede completar las funciones de Autoexec.bat, el troyano se puede cargar y ejecutar como en Autoexec.bat, y el peligro proviene de esto.
6. Grupo de inicio
Aunque los troyanos no están muy ocultos si están ocultos en el grupo de inicio, de hecho es un buen lugar para la carga y ejecución automática, por lo que todavía hay troyanos. que le guste residir aquí. La carpeta correspondiente al grupo de inicio es C:\Windows\start menu\programs\startup, y su ubicación en el registro es: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Carpetas Inicio =" c:\windows\menú inicio\programas\inicio". ¡Preste atención para verificar el grupo de inicio con frecuencia!
7.*.INI
Es decir, el archivo de configuración de inicio de la aplicación El extremo de control utiliza las características de estos archivos para iniciar. el programa y creará la carga del archivo con el mismo nombre con el comando de inicio del troyano en el servidor para sobrescribir el archivo con el mismo nombre, de modo que se pueda lograr el propósito de iniciar el troyano. Inicie el método solo una vez: en winint.ini (usado para más instalaciones).
8. Modificar asociaciones de archivos
Modificar asociaciones de archivos es un método común utilizado por los troyanos (principalmente troyanos nacionales, la mayoría de los troyanos extranjeros no tienen esta función), por ejemplo, en circunstancias normales. , Archivos TXT El método de apertura es el archivo Notepad.EXE, pero una vez que se ataca el troyano de asociación de archivos, el método de apertura del archivo txt se modificará para abrirlo con un programa troyano. Por ejemplo, el famoso troyano doméstico Binghe hace esto. "Binghe" se realiza modificando HKEY_CLASSES_ROOT\ El valor clave en txtfile\whell\open\command, abra "C:\WINDOWS\NOTEPAD.EXE con el Bloc de notas, como el famoso HKEY-CLASSES-ROOT\txt\shell\open nacional Valor de clave \commandT, cambie "C:\WINDOWS\NOTEPAD.EXEl" a "C:\WINDOWS\SYSTEM\SYSEXPLR.EXEl". De esta manera, una vez que hace doble clic en un archivo TXT, originalmente usó el Bloc de notas para abrirlo. archivo, pero ahora se convierte en un programa troyano, ¡qué cruel! Tenga en cuenta que no sólo los archivos TXT, sino también otros como HTM, EXE, ZIP.COM, etc., son el objetivo de los troyanos, así que tenga cuidado. p>
Solo puede tratar con este tipo de troyanos con frecuencia. Verifique la clave principal HKEY_C\shell\open\command para ver si el valor de su clave es normal
9. p> Para lograr esta condición de activación, el extremo del control y el servidor primero deben pasar el troyano. Establezca una conexión, y luego el usuario final del control utiliza el software de la herramienta para agrupar el archivo troyano con una aplicación y luego lo carga en el servidor para sobrescribirlo. De esta manera, incluso si se elimina el troyano, siempre que se ejecute la aplicación incluida con el troyano, el troyano se destruirá si está vinculado a una determinada aplicación. un archivo del sistema, el troyano se iniciará cada vez que se inicie Windows
10. Método de conexión activa del troyano de tipo de puerto de rebote
Ya hemos mencionado el troyano de tipo de puerto de rebote. Debido a que, a diferencia del troyano general, su servidor (extremo controlado) establece activamente una conexión con el cliente (extremo de control) y el puerto de escucha generalmente se abre en 80. Por lo tanto, es realmente difícil prevenir este tipo de troyano sin las herramientas adecuadas y una rica experiencia." Dado que estos troyanos todavía tienen que crear cambios clave-valor en el registro, no es difícil detectarlos. Al mismo tiempo, el último firewall Skynet (como hablamos en el tercer punto), por lo que, siempre que prestes atención, también podrás encontrarlo cuando el servidor Network Thief establezca una conexión activa.
WORM_NUGACHE.G (Wiking) y TROJ_CLAGGE.B Caballo de Troya (Caballo de Troya)
Solución:
WORM_NUGACHE.G (Wiking)
Fecha de lanzamiento del patrón de virus: 8 de diciembre de 2006
Solución:
Nota: para eliminar completamente todo el malware asociado, realice la solución limpia para TROJ_DLOADER.IBZ
<. p>Terminar el programa de malwareEste procedimiento finaliza el proceso de malware en ejecución
Abra el Administrador de tareas de Windows En Windows 98 y ME, presione
CTRL ALT DELETE. En Windows NT, 2000, XP y Server 2003, presione
CTRL SHIFT ESC, luego haga clic en la pestaña Procesos
En la lista de programas en ejecución*, busque el proceso: <. /p>
MSTC.EXE
Seleccione el proceso de malware, luego presione el botón Finalizar tarea o Finalizar proceso, dependiendo de la versión de Windows en su computadora.
p>Para comprobar si el proceso de malware ha finalizado, cierre el Administrador de tareas y luego ábralo nuevamente
Cierre el Administrador de tareas
*NOTA: en computadoras que ejecutan Windows 98 y ME. , Es posible que el Administrador de tareas de Windows no muestre ciertos procesos. Puede utilizar un visor de procesos de terceros, como Process Explorer, para finalizar el proceso de malware.
En computadoras que ejecutan todas las plataformas Windows, si el proceso que está buscando es. no está en la lista que muestra el Administrador de tareas o el Explorador de procesos, continúe con el siguiente procedimiento de solución y observe las instrucciones adicionales si el proceso de malware está en la lista que muestra el Administrador de tareas o el Explorador de procesos.
Process Explorer, pero no puede finalizarlo, reinicie su computadora en modo seguro
Edición del registro
Este malware modifica el registro de la computadora. Es posible que los usuarios afectados por este malware deban hacerlo. modificar o eliminar entradas o claves de registro específicas Para obtener información detallada sobre la edición del registro, consulte los siguientes artículos de Microsoft:
CÓMO: realizar copias de seguridad, editar y restaurar el registro en Windows 95, Windows 98. y Windows ME
CÓMO: hacer una copia de seguridad, editar y restaurar el registro en Windows NT 4.0
CÓMO: hacer una copia de seguridad, editar y restaurar el registro en Windows 2000
CÓMO: realizar una copia de seguridad, editar y restaurar el registro en Windows XP y Server 2003
Eliminar las entradas de inicio automático del registro
Eliminar las entradas de inicio automático del registro previene el malware de ejecutarse al inicio
Si no se encuentra la siguiente entrada de registro, es posible que el malware no se haya ejecutado en el momento de la detección. Si es así, continúe con el conjunto de soluciones siguiente. Editor Haga clic en Inicio; escriba REGEDIT, luego presione Entrar
En el panel izquierdo, haga doble clic en lo siguiente:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft; p>Windowsgt; CurrentVersiongt; Ejecutar
En el panel derecho, localice y elimine la entrada:
Microsoft Domain Controller = "System\mstc.exe"
(Nota: Sistema es la carpeta del sistema de Windows, que suele estar
C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT y 2000, y C:\Windows\System32 en Windows XP y Server 2003.)
Eliminación de la clave agregada de el Registro
Aún en el Editor del Registro, en el panel izquierdo, haga doble clic en lo siguiente:
HKEY_LOCAL_MACHINEgt;SOFTWARE
En el panel izquierdo, busque y elimine la siguiente clave:
GNU
Cierre el Editor del Registro
Instrucciones importantes de limpieza de Windows ME/XP
Usuarios que ejecutan Windows ME y XP. debe desactivar Restaurar sistema para permitir el análisis completo de los equipos infectados.
Los usuarios que ejecutan otras versiones de Windows pueden continuar con el siguiente conjunto de soluciones
Ejecutar Trend Micro Antivirus
.Si actualmente está ejecutando en modo seguro, reinicie su computadora normalmente antes de realizar la siguiente solución.
Escanee su computadora con el antivirus Trend Micro y elimine los archivos detectados como WORM_NUGACHE.G. Los clientes de Trend Micro deben descargar el archivo de patrón de virus más reciente y escanear su computadora. Otros usuarios de Internet pueden usar HouseCall, el escáner de virus en línea de Trend Micro.
Aplicación de parche
Este malware explota una vulnerabilidad conocida. en Windows. Descargue e instale el parche de reparación proporcionado por Microsoft. Absténgase de utilizar este producto hasta que se haya instalado el parche adecuado. Trend Micro recomienda a los usuarios que descarguen los parches críticos cuando se publiquen.
TROJ_CLAGGE.B Caballo de Troya
Fecha de lanzamiento del patrón de virus: 18 de septiembre de 2006
Solución:
Identificación del programa de malware
Para eliminar este malware, primero identifique el programa malicioso.
Escanee su computadora con su producto antivirus Trend Micro.
TENGA EN CUENTA la ruta y el nombre del archivo. archivos detectados como TROJ_CLAGGE.B
Los clientes de Trend Micro deben descargar el archivo de patrón de virus más reciente antes de escanear su computadora. Otros usuarios pueden usar Housecall, el escáner de virus en línea de Trend Micro
p><. p>Edición del RegistroEste malware modifica el registro de la computadora. Es posible que los usuarios afectados por este malware necesiten modificar o eliminar claves o entradas de registro específicas. Para obtener información detallada sobre la edición del registro, consulte los siguientes artículos de. Microsoft:
CÓMO: hacer una copia de seguridad, editar y restaurar el registro en Windows 95, Windows 98 y Windows ME
CÓMO: hacer una copia de seguridad, editar y restaurar el registro en Windows NT 4.0
CÓMO: realizar una copia de seguridad, editar y restaurar el registro en Windows 2000
CÓMO: realizar una copia de seguridad, editar y restaurar el registro en Windows XP y Server 2003
Eliminar la entrada de malware del Registro
Abra el Editor del Registro. Haga clic en Inicio, escriba REGEDIT y luego presione Entrar.
En el panel izquierdo, haga doble clic en. siguiente:
HKEY_LOCAL_MACHINEgt;SYSTEMgt;CurrentControlSetgt;Servicesgt
SharedAccessgt;Pa
rametersgt;FiREWaLLpolicygt;StAnDaRDPrOFiLegt;
AUtHorizedapplicationsgt;List
En el panel derecho, localice y elimine la entrada:
{Ruta de malware y nombre de archivo}=" {Ruta de malware y nombre de archivo}: *: HABILITADO: 0"
Cierre el Editor del Registro.
Instrucciones importantes de limpieza de Windows ME/XP
Usuarios que ejecutan Windows ME y XP debe desactivar Restaurar sistema para permitir el análisis completo de los equipos infectados.
Los usuarios que ejecutan otras versiones de Windows pueden continuar con el siguiente conjunto de soluciones
Ejecutar Trend Micro Antivirus. p>
p>
Si actualmente está ejecutando en modo seguro, reinicie su computadora normalmente antes de realizar la siguiente solución
Escanee su computadora con el antivirus Trend Micro y elimine los archivos detectados como TROJ_CLAGGE. .B y TROJ_KEYLOG. CO. Para hacer esto, los clientes de Trend Micro deben descargar el archivo de patrón de virus más reciente y escanear su computadora. Otros usuarios de Internet pueden usar HouseCall, el escáner de virus en línea de Trend Micro.