Nombre: Trojan.Vundo
Tipo: Troyano que descarga Adwares y abre pop-ups
Alias: Trojan.Vundo, Vundo, Virtumundo, VirtuMonde, Vundo.dldr, Agent.cs, Trojan.Vundo.b, VirtuMonde, Wintools, HuntBar, BargainBuddy, Toolbar888, Altnet, BrillantDigital, Points Manager, E2Give, AdawareDelete, AlfaCleaner, AdwareBazooka, Antivirus Pro, BreakSpyware, SpyCut, CurePcSolution, DriveCleaner 2006, ErrorSafe, PerfectCleaner, ExpertAntivirus, SpyAway, AdwareSheriff, SystemStable, BarraIntegral, Sysdefender, Adware.VirtuMonde, Adware.Vundo, virtumonde.com, winfixer2005, winfixer2006 winfixer.com, Winfixer, ErrorSafe, DriveCleaner, WinFixer, Sysdefender, Winantivirus 2007, VirtuMonde, Malware.Vundo


Este Malware ya tiene algún tiempo en la red donde habíamos publicado anteriormente un articulo para su eliminación AQUÍ, pero recientemente se están reportando nuevas y mas poderosas variantes del mismo donde se hace mas difícil su eliminación y por eso hemos creado un nuevo método de desinfección.

Es un troyano diseñado para introducir adware en el sistema infectado. Despliega ventanas de publicidad emergentes (pop-ups) .

Método de infección:

Crea un archivo aleatorio con extensión .DLL cuyo nombre se forma a partir de una combinación de varias cadenas de caracteres que tiene almacenados. Este archivo aleatorio .DLL se encuentra en el reporte de HijackThis en las entradas 02 y 020

El nombre de las entradas 02 en HJT puede contener alguno de estos nombres:

  • MSEvents Object
  • MFCOptimizeClass
  • ATLDistrib Object
  • WTLHelper Object
  • ADOUsefulNet Object
  • RawExecAction Object
  • DosSpecFolder Object
  • InfoDocReader Object
  • (no name)



O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\system32\archivo.dll

O20 - Winlogon Notify: archivo - C:\WINDOWS\system32\archivo.dll


*Nota* En Negrita Aparece lo que nunca cambia y en Azul el archivo aleatorio que en cada caso va a ser diferente.


En nuevas variantes del Malware.Vundo se presenta también en las entradas 04 de HijackThis cargándose en rundll32.exe y terminando en nombres como estos:

  • ",realset
  • ",setvm
  • ",sitypnow


O4 - HKLM\..\Run: [BootService] rundll32.exe "C:\WINDOWS\rqrpqo.dll",realset

O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\wvpxyert.dll",setvm



*Nota* Si necesita asistencia para encontrar cual es exactamente su archivo aleatorio a eliminar puede pegar su log en el Foro Oficial de HijackThis


------------------








Pasos para su eliminación.

- Apague el "Restaurar Sistema" (solo en Win Me y XP)


- Descargue estos dos programas, (pero no las ejecutes aun).


- Aplicarle a las entradas de HijackThis que reconozca como parte del Malware.Vundo (Recuerde que puede publicar su log en nuestro Foro Oficial de HijackThis para que lo podamos guiar en esto)


- Instalar, actualizar y ejecutar estos programas (de a uno).
  • VundoFix.exe
  • SuperAntiSpyware
  • Malwarebytes' Anti-Malware


*Nota* Para ejecutar la herramienta VundoFix.exe siga estos pasos
  • Hacer Doble-clic al archivo VundoFix.exe para activarlo.
  • Cuando VundoFix abre de nuevo, presionar el botón de "Scan for Vundo"
  • Una vez que haya hecho la exploración, presionar el botón de "Remove Vundo"
  • Recibirá un mensaje preguntado si desea quitar los archivos y ponerle YES
  • Una vez presionado YES el escritorio parpadeara en blanco y es porque esta quitando el Vundo.
  • Cuando termina presionar en OK para reiniciar el equipo en modo normal.


Usar el CCleaner para limpiar cookies y temporales.


Reiniciar en modo normal y comprobar los resultados.


Otros artículos relacionados:




<body onselectstart="return false">

________________________________________________

Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
Foro Oficial de HijackThis en español