Por lo que se pudo averiguar es un backdoor Troj/Poopsy-A, se ejecuta a través de dispositivos de almacenamiento masivo contaminados al momento de abrirlos sin realizar una revisión. Se encuentra oculto dentro de RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033, y se ejecuta utilizando un archivo de autorun.inf.
Una vez instalado se oculta de forma predeterminada en el directorio C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033
Además crea los siguientes valores en el registro.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Internet
Firewall Protection = c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe
HKEY_USERS\S-1-5-21-1844237515-308236825-682003330-501\Software\Microsoft\Windows\CurrentVersion\Run\Internet
Firewall Protection = c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe = netsrv
Para eliminarlo es sencillo al igual que con el cfxer.exe debes cerrar la sesión con el usuario actual que es el que esta infectado, abres sesión con un usuario administrador que no haya sido infectado y eliminas el archivo C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe, si quieren ver el procedimiento esta explicado en el articulo del cfxer.exe.
Una vez eliminado el archivo cierras la sesión con el usuario actual e ingresas al que estaba infectado allí con un programa como el CCleaner podrás borrar las claves del registro que pertenecen al virus o si quieres puedes hacerlo manualmente pero a tener cuidado si no quieren terminar dañando su SO. Bueno es todo por ahora espero les sea de ayuda.
No hay comentarios:
Publicar un comentario