LockScreen.P

Troyano para la plataforma Windows que bloquea el acceso al sistema operativo exigiendo el envío de un SMS o algún tipo de recompensa para poder desbloquear la máquina.

Difusión: Baja Fecha de Alta:22-06-2009
Última Actualización:22-06-2009

Daño: Bajo

Dispersibilidad: Bajo

Nombre completo: Trojan.W32/LockScreen.P

Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 163840
Alias:WIN32/LOCKSCREEN.P (Enciclopedia Virus), Backdoor.Win32.Agent.agvr
(Otros)

Método de Infección/Efectos

Cuando se ejecuta crea una copia de si mismo en la siguiente carpeta:

* %System%w4ssl.exe

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

También crea los siguientes archivos:

* %System%\hk.dll
* %System%\sysinit.exe
* %System%\pdctrl32.sys
* %Temp%\delself.bat

Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
Por defecto es C:\Windows\temp (Windows 95/98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\{nombre de usuario}\local settings\temp (Windows XP).

Modifica el contenido del archivo "userinit.exe"

Crea las siguientes claves del registro:

Código:
Clave:HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGONHIDER\0000\Control

Valor:"ActiveService" = "WinLogonHider"

  
Clave:HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGONHIDER\0000\Control

Valor:"ActiveService" = "WinLogonHider"

Clave:HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGONHIDER\0000

Valor:"Service = "WinLogonHider"

 Valor:  "Legacy" = 1

Valor:  "ConfigFlags" = 0

Valor:  "Class" = "LegacyDriver"

Valor:  "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

Valor:  "DeviceDesc" = "WinLogonHider"

Clave:  HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGONHIDER

Valor:  "NextInstance" = 1

Clave:  HKLM\SYSTEM\CurrentControlSet\Services\WinLogonHider\Enum

Valor:  "0" = "Root\LEGACY_WINLOGONHIDER\0000"

Valor:  "Count" = 1

Valor:  "NextInstance" = 1

Clave:HKLM\SYSTEM\CurrentControlSet\Services\WinLogonHider\Security

Valor:"Security" = %hex_value%

Clave:HKLM\SYSTEM\CurrentControlSet\Services\WinLogonHider

Valor:  "Type" = 1

Valor:  "Start" = 3

Valor:  "ErrorControl" = 1

Valor:  "ImagePath" = "%System%\pdctrl32.sys"

Valor:  "DisplayName" = "WinLogonHider"
Los troyanos, por definición no disponen de una rutina propia de propagación. Suelen llegar a la máquina infectada por correo, descargados a través de redes P2P, descargados inadvertidamente mientras el usuario visita paginas maliciosas, etc.

>>>>Solución rápida

Si el usuario ingresa la contraseña correcta (user7645) el troyano se elimina a si mismo.

Fuente: Alerta-Antivirus.es: Detalles del virus LockScreen.P

Suerte ahí fuera