Nuevos Troyanos: Trj/Alanchum.NX y Trj/MsnZombie.A

El Blog de Panda Labs ha anunciado una nueva amenaza para nuestra pc, es un troyano de nombre Trj/Alanchum.NXque está llegando vía e-mail a nuestra bandeja de entrada, lo podremos reconocer si en el “Subject” o “Asunto“, tiene lo siguiente:

  • U.S. Secretary of State Condolezza Rice has kicked German Chancellor Angela Merkel
  • 230 dead as storm batters Europe
  • A killer at 11, he’s free at 21 and kill again!

Y llevan como “attachment” o “archivo adjunto“:

  • FullClip.exe
  • Read More.exe

Así que ya sabes, si estás recibiendo correos con estos asuntos, ni se te ocurra abrirlos, y si por alguna cosa lo llegas abrir, no descargues el archivo adjunto. Es recomendable que mejor borres los e-mails de los cuales no sepas su procedencia.

El segundo troyano se está esparciendo vía Msn Messenger, su nombre es Trj/Alanchum.NX, estre troyano utiliza Ingeniería Social (En terminología hacker, hacer ingeniería social es persuadir a otra persona para obtener datos útiles sobre ellos mismos o las empresas en donde trabajan. Suelen utilizarse métodos de engaños (páginas web especiales, programas engañosos, o simple chat) para obtener contraseñas o datos útiles.)

Todo empieza cuando alguno de tus contactos te envía un mensaje invitándote a que descargues el siguiente archivo:

http://animaciones.xxx.xxxxxxpages.com/Bush-gracioso.exe

Los mensajes son enviados por el troyano, no por tus contactos, que tal vez nisiquiera sepan que están infectados.

Al dar click para descargar la animación, se te mostrará un pop-up de error, informándote que algo está mal, mientras tu máquina queda infectada y el troyano empieza a realizar su tarea.

Este troyano mata algunos antivirus y previene el uso de comandos en CMD ó Ms-Dos, Regedit.exe y el Programador de Tareas. Despues de esto, el troyano se copia a si mismo con diferentes nombres:

  • c:\WINDOWS\Avconsol.exe Size: 49.152 bytes
  • c:\WINDOWS\Zap.exe Size: 49.152 bytes
  • c:\WINDOWS\system32\Hide32.exe Size: 49.152 bytes
  • c:\WINDOWS\system32\Ttt.exe Size: 49.152 bytes

Al parecer las IP de las máquinas infectadas se están guardando en una base de datos que se encuentra en Suecia.

La distribución geográfica de la infección es la siguiente:

  1. Argentina: 19,05%
  2. España: 10,71%
  3. Francia: 8,33%
  4. Brasil: 7,74%
  5. USA: 6,55%
  6. Venezuela: 5,95%
  7. Reino Unido: 5,36%
  8. Perú: 4,76%
  9. Otros: 31,04%

    Hasta ahora no hay ninguna herramienta para la eliminación de estos troyanos, espero encontrar una pronto para mostrárselas aquí en el blog.

    Vía: Panda Labs Blog

Guardado en Seguridad
Loading Facebook Comments ...

15 Comentarios en “Nuevos Troyanos: Trj/Alanchum.NX y Trj/MsnZombie.A

  1. Chamo quiero quitar esos procesos me preocupa!!

    c:WINDOWSAvconsol.exe Size: 49.152 bytes
    c:WINDOWSsystem32Hide32.exe Size: 49.152 bytes
    c:WINDOWSsystem32Ttt.exe Size: 49.152 bytes

    como puedo hacer? a mi nada mas me salen esos 3 el otro noc como lo elimine, el (ZAP). quiero solucion a esto! GRACIAS

  2. Para este bicho, si lo detectas a tiempo, haz una restauracion del sistema.
    Inicio/Accesorios/herramientas del sistema/Restauraicion del Sistema.

    Aqui aparecera el wizard para hacer una restauracion al dia, en que el sistema estaba bien. Escoge el que tiene de 10 antes del percance.

    Con la restauracion no se pierden tus datos, ni tus archivos, solo que si antes de los 10 dias de la restauracion, tampoco estaran.
    Pero tus datos permaneceran.

    Sintomas de esta infeccion.

    1.- Al ejecutar el archivo, te manda un error, e inmediatamente se deshabilita el antivirus
    2.- No puedes usar ctrl-alt-delete para ver los procesos
    3.- Si accesas a alguna pagina antivirus se cierra.

    Si el bicho no es detectado a tiempo, se apodera de la maquina, hasta llegar al punto que no se puede ni abrir el menu.

    Ojala te sirva.

  3. Mira yo lo quie hice es meterme a modo prueba de fallos y apartir de ahi encontre los 4 archivitos que son Avconsol.exe,Hide32.exe,Ttt.exe y ZAP.exe; en el regedit los encontre y los elimine y tambie los encontre en la carpeta de c:/windows
    y en la de c:/windows/system32, despues reinicias el equipo y listo, hasta se vuelve a activar el antivirus

  4. hola por faavor necesitoo ayudaa se me metiioo ese virus pero yo ni los archivos puedoo encontar puede de que tengan otros nombres? lo quiero sacar yaa por favor no lo encuentroo nii en c:/windows/system32, ni en c:/windows que hagoo se me bloqueo el antiiviiruss

  5. No se desesperen, aún no ha salido una herramienta para remover estos virus…pero pueden hacer lo que dijo Gansito, entrar en modo de fallos y encontrar los programas, los borran del regedit, win.ini, etc…y listo.

    Para entrar al editor de registro, presionen la tecla de Windows R, y escriben: regedit

  6. Holas, yo utilice el mismo metodo que gansito, pero antes de hacer esto renombre al troyano q se instalo en mi maquina en C:\WINN con el nombre sysact.exe por sysact.exe.bak, y el troyano hasta el momento no me volvio a ocasionar problema alguno.

    Saludos.-

  7. Hola a todos, he efectuado todo el procedimiento para eliminar el troyano eliminando del regedit y del explorador de windows los archivos siguientes:
    c:\WINDOWS\Avconsol.exe Size: 49.152 bytes
    c:\WINDOWS\Zap.exe Size: 49.152 bytes
    c:\WINDOWS\system32\Hide32.exe Size: 49.152 bytes
    c:\WINDOWS\system32\Ttt.exe Size: 49.152 bytes

    Luego renombré el archivo sysact.exe y al reiniciar el equipo aparentemente no esta el virus porque ya permite abrir las ventanas de regedit, administrador de tareas,etc, pero revisando los archivos estos continuan en el equipo. Los vuelve a generar.

  8. Hola!!

    La solución para erradicar ese troyano es el siguiente:

    iniciar el pc en modo seguro, despues de esto borrar con shift supr los archivos:

    :\WINDOWS\Avconsol.exe Size: 49.152 bytes
    c:\WINDOWS\Zap.exe Size: 49.152 bytes
    c:\WINDOWS\system32\Hide32.exe Size: 49.152 bytes
    c:\WINDOWS\system32\Ttt.exe Size: 49.152 bytes

    este virus afecta el msn, tons toca borrar la carpeta donde tenga instalado el msn(messenger), reiniciar y volver a instalar el msn, y listo, problema solucionado,

    chao!!! 🙂

  9. Guido, lo primero que tienes que verificar es que tengas configurada tu ventana para ver archivos ocultos, para esto ingresa en Mi PC, haz click en el menú Herramientas y seguidamente haz click en opciones de carpetas, (tools/folder options, si es en ingles), en la ventana de opciones de carpeta debes hacer click en vista (view)y buscar la opcion “mostrar archivos ocultos” (show hidden files and folders), luego le das click en aceptar.

    Ahora si puedes buscar los archivos, de tener tu maquina infectada los archivos deben estar con los mismos nombres descritos en los otros articulos, de todas formas te los refresco:

    c\WINDOWS\Avconsol.exe
    c:\WINDOWS\Zap.exe
    c:\WINDOWS\system32\Hide32.exe
    c:\WINDOWS\system32\Ttt.exe

    Estos archivos debes borrarlos con la combinacion de teclas Shift Suprimir; para poder borrarlos debes en primer lugar accesar al task manager y terminar los procesos del virus (tendran los mismos nombres de los archivos, zap.exe, avconsol.exe, ttt.exe y hide32.exe).

    Una de las primeras acciones que toma el virus es deshabilitar el task manager, para habilitarlo, haz click en inicio (start), haz click en ejecutar (run) y escribe “regedit” (sin comillas), una vez que ingreses en el editor de registro, sigue la siguiente ruta en lado izquierdo de la ventana (haciendo click en cada una de las carpetas que te nombre),\HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Policies\system, del lado derecho de la pantalla te aparecerá una clave de regitro llamada “disabletaskmgr”, haz doble click sobre ella y veras que en la ventanita aparecera el nombre de la clave y abajo un 1, borra ese uno y coloca un 0 (cero), con esto tendras activado el task manager nuevamente, ahora si procede a terminar los procesos del virus con el task manager, y luego a borrarlos de tu maquina.

    Luego de esto vuelve al editor del registro, posicionate sobre el icono de My Computer, ubicado a la izquierda del editor, luego haz quick en el menu edicion y realiza una busqueda, lo que vamos a colocar en el criterio de busqueda son los cuatro nombres del virus (uno por uno), cada clave de registro que se consiga apuntando a estos archivos, debe ser eliminada, pon mucho cuidado al eliminar claves de registro, solo elimina las que apunten a los archivos de virus, si eliminas alguna otra clave que no conozcas puedes dañar la configuracion de tu sistema, de forma “irreparable”.

    Luego de todos estos pasos, reinicia tu pc, y lo primero que vamos a revisar es que el task manager este activo, luego haz una busqueda de los archivos nuevamente.

    Saludos y quedo a la orden para cualquier pregunta.

  10. tengo un troyano y no se como eliminarloooooo 🙁

    pero no se llama como eso

    tengo antivirus mcafee y me dice q tengo un troyano y q esta en el archivo:
    D:WINDOWSsystem32ipv6monl.dll

    y q esta infectado por el troyano Spy-agent.ba y no se puede limpiar

    q hagoooo?? 🙁 ayudenmee

  11. hola yo tengo una duda.

    a mi me mandaron eso de bush y lo abri y paso que se lo mande a los demas pero en mi compu no paso nada.

    Sera por que tengo una estructura de 64 bits?? si alguien tiene la respuesta me la dan por fa

Comentarios cerrados.