EvilHot


Troyano para la plataforma Windows que modifica la contraseña de la cuenta del usuario que esta activo en el momento de la infección, de manera que cuando el usuario reinicie la máquina no podrá acceder al sistema. Además intenta conectar con sitios remotos para descargar nuevas muestras de malware de sitios maliciosos.

Difusión: Baja Fecha de Alta:08-05-2009

Daño: Medio

Dispersibilidad: Bajo


Nombre completo: Trojan.W32/EvilHot
Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 987136
Alias:Trj/EvilHot.A (Panda Security)

REPARACIÓN MANUAL

1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.


2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

Si dispone de una copia de seguridad, vuelva a dejar los siguientes archivos a su estado original:

* %Windir%\config\SAM.LOG
* %Windir%\config\SECURITY.LOG
* %Windir%\config\SOFTWARE.LOG
* %Windir%\config\SYSTEM.LOG

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

Si no, cambie de nuevo su contraseña de acceso a windows.

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.


3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.


4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Código:
Clave:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Valor:DisableRegistryTools = 1

Clave:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Valor:DisableTaskMgr = 1

Clave:HKEY_CURRENT_USER\Software\VB and VBA Program Settings\RunOnce\goodtimes2

Valor:Times

5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.


6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

INFECCIÓN/EFECTOS

Cuando llega al sistema, y se ejecuta, muestra por pantalla varias pantallas de error, dejando el equipo bloqueado:



También modifica la contraseña de la cuenta de usuario activo en el momento de la infección. La nueva contraseña pasa a ser hotevil.

Para conseguir cambiar la contraseña del usuario, EvilHot ejecuta el comando de la shell net user, y modifica los siguientes ficheros:

* %Windir%\config\SAM.LOG
* %Windir%\config\SECURITY.LOG
* %Windir%\config\SOFTWARE.LOG
* %Windir%\config\SYSTEM.LOG

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

De esta manera, el usuario debe reiniciar la máquina y al volver a entrar se le pedirá su usuario y contraseña. Aunque anteriormente no estuviera configurado para que al iniciarse pidiera autenticación, el sistema infectado siempre pedirá un usuario y una contraseña.

Si se introdujera la contraseña evilhot se mostrarían los siguientes mensajes de error:



Como parte del proceso de instalación, también se modifican las siguientes entradas en el registro de Windows:

Código:
Clave:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Valor:DisableRegistryTools = 1

Clave:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Valor:DisableTaskMgr = 1

Clave:HKEY_CURRENT_USER\Software\VB and VBA Program Settings\RunOnce\goodtimes2

Valor:Times
El troyano intenta conectarse con el sitio:

* www.metas[XXXX]net.com

...para descargarse nuevos ficheros que incluirán distintas muestras de malware.

También modifica el registro de Windows para deshabilitar:

* El editor del registro de Windows
* El administrador de tareas

...de esta manera el usuario no podrá ver los procesos en ejecución y además no podrá modificar el registro para volver a ver el administrador de tareas.

EvilHot no se propaga automáticamente por sus propios medios. Necesita la intervención de un usuario atacante para poder alcanzar el equipo afectado. Entre los medios de transmisión tipicos para estos casos se incluyen, entre otros, disquetes, CD-ROMs, correos electrónicos con ficheros adjuntos, descargas directas de internet, por FTP, a través de canales IRC, P2P, redes compartidas, etc.

EvilHot esta escrito en Visual basic v6 y tiene 987.136 bytes de tamaño.

Fuente: Alerta-Antivirus