Categoría: 2 (bajo riesgo)
Tipo: Troyano
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Resumen: Trojan.Vundo.B es un troyano diseñado para introducir adware en el sistema infectado. Despliega ventanas de publicidad emergentes.
Tamaño: 520.212 bytes Bytes.
Fecha de descubrimiento: 27 de Abril de 2005

Detalles técnicos:

1.Realiza intentos de conexión con "obalduyam.net"
2.Crea los siguientes ficheros temporales:
[nombre_troyano_invertido].tmp
[nombre_troyano_invertido].ini

3.Muestra publicidad en el equipo infectado.
4.Intenta enviar una petición HTTP a la dirección 203.199.200.61

Método de infección:

1.Crea una DLL cuyo nombre se forma a partir de una combinación de varias cadenas de carácteres que tiene almacenados. Luego almacena dichas DLL en algunos de los siguientes directorios:

%Windir%\addins
%Windir%\AppPatch
%Windir%\assembly
%Windir%\Config
%Windir%\Cursors
%Windir%\Driver Cache
%Windir%\Drivers
%Windir%\Fonts
%Windir%\Help
%Windir%\inf
%Windir%\java
%Windir%\Microsoft.NET
%Windir%\msagent
%Windir%\Registration
%Windir%\repair
%Windir%\security
%Windir%\ServicePackFiles
%Windir%\Speech
%Windir%\system
%Windir%\system32
%Windir%\Tasks
%Windir%\Web
%Windir%\Windows Update Setup Files
%Windir%\Microsoft

Luego las ejecuta.

2.Crea las siguientes entradas en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[Trojan file name] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB 5-BD7D-4D49-A1AA-8AB0F3D3CB44}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

Método de eliminación:

Se aconseja escanear el disco en "Modo seguro" o "Modo a prueba de fallos" con un antivirus actualizado. Si hay problemas en su eliminación se debe proceder a realizar lo mismo que se acaba de comentar pero antes se debe desactivar "Restaurar Sistema" en equipo con Windows ME o XP.

Eliminación de los valores del registro:
1. Click en Inicio >> Ejecutar
2. Teclee regedit
3. Click en Aceptar

4. Navegue hasta encontrar las siguientes claves, bórrelas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[Trojan file name] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB 5-BD7D-4D49-A1AA-8AB0F3D3CB44}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

5. Salga del editor del registro.

HERRAMIENTA ESPECÍFICA para su eliminación: Enlace.

NOTA IMPORTANTE: Recuerde que siempre que tenga que manipular el registro es conveniente realizar una copia de seguridad.

Notas importantes: Se están empezando a registrar incidencias en varios usuarios, conviene estar alerta.
Para asegurar su seguridad:
* Instale un antivirus en su ordenador.
* Mantenga el antivirus actualizado.
* Tenga activada la protección permanente de su antivirus en todo momento.

Referencias: Symantec