Categoría: 2 (bajo riesgo)
Tipo: Troyano
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Medio de contagio: Archivo infectado.
Fecha de descubrimiento: 19 de enero de 2005
Acciones que toma:- Crea las siguientes mutaciones y solo una copia puede ejecutarse al mismo tiempo:
- BeavisMutex
- ButtheadMutex
- Se copia a si mismo con estos nombres y ubicaciones:
- %System%\soft.exe
- System%\[cualquier_nombre].exe
- Crea las siguientes entradas en el registro:
- HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
- HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
- Añade este valor: "Web Service" = "%System%\[cualquier_nombre].exe" en estas clave del registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\run , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\run , de esa manera, se ejecuta cada vez que el sistema arranca.
- Añade este valor: "run" = "%System%\soft.exe" en estas clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows , de esa manera, se ejecuta cada vez que el sistema arranca.
- Añade este valor: "DisableSR" = "0x00000001" en estas clave del registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
SystemRestore, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
SystemRestore, de manera que deshabilita ciertas características de seguridad del sistema. - Añade este valor: "EnableFirewall" = "0x00000001" en estas clave del registro: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Wind owsFirewall\DomainProfile , HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dowsFirewall\DomainProfile, HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Wind owsFirewall\StandardProfile, HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dowsFirewall\StandardProfile, de manera que deshabilita ciertas características de seguridad del sistema.
- Añade estos valores: "NoAutoUpdate" = "0x00000001" y "AUOptions" = "0x00000001" en estas clave del registro: HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\WindowsUpdate\AU, HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Win dows\WindowsUpdate\AU, de manera que deshabilita ciertas características de seguridad del sistema.
- Añade estos valores: "FirewallDisableNotify" = "0x00000001", "UpdatesDisableNotify" = "0x00000001" y "AntiVirusDisableNotify" = "0x00000001" en estas clave del registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center, de manera que deshabilita ciertas características de seguridad del sistema.
- Crea los siguientes archivos:
- %Windir%\explorer.new
- %Windir%\wininit.ini
- Infecta el archivo%Windir%\explorer.exe.
- Descarga adware y dialers (programas de marcado telefónico) desde admin2cash.biz.
Eliminación: Manualmente:- Deshabilitar la recuperación del sistema (Windows Xp y Millenium)
- Actualizar las definiciones del antivirus
- Ejecutar un análisis completo y borrar todos los archivos infectados con «Trojan.Admincash»
- Borrar las entradas mencionadas del el registro al igual que los archivos.
Comentario:
Las acciones de este virus no son demasiado dañinas, sin embargo, el hecho de que pueda deshabilitar opciones de seguridad del sistema, aumentanlos riesgos dado que nos deja más vulnerables a otros ataques.
Igualmente, podemos recibir una no muy agradable sorpresa al final del mes cuando tengamos que pagar el resultado de la descarga de los dialers.
No se difunde mucho, pero si entra es un verdadero dolor de cabeza para eliminar dado que hay que manipular muchas claves del registro con el riesgo que eso implica.
Páginas de referencia: Inglés 
24/01/05, 09:40:30
[Virus – Troyano] - Trojan.Admincash 
