Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles conectadas a un sistema afectado. Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalaci¨®n a un usuario malicioso. Tambi¨¦n puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentar¨ªa su riesgo de infecci¨®n por parte de otras amenazas. No obstante, de este modo no se podr¨¢ acceder a los sitios mencionados.
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)
Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%User Profile%\gsyzq.exe"
±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô
Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles conectadas a un sistema afectado.
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Rutina de descarga
Se conecta a las siguientes URL maliciosas:
- http://{BLOCKED}8.{BLOCKED}5.155.190/omv/petrol80.exe
No obstante, de este modo no se podr¨¢ acceder a los sitios mencionados.
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Explorar el equipo con su producto de live casino online y anotar los archivos detectados como WORM_PALEVO.SMGF
Step 3
Reiniciar en modo seguro
[ learnMore ]
[ back ]
Para reiniciar en modo seguro:
• Para usuarios de Windows 98 y ME
- Reinicie el equipo.
- Pulse la tecla CTRL hasta que aparezca el men¨² de inicio.
- Seleccione la opci¨®n Modo seguro y pulse Intro.
• Para usuarios de Windows NT (modo VGA)
- Haga clic en Inicio>Configuraci¨®n>Panel de control.
- Haga doble clic en el icono Sistema.
- Haga clic en la pesta?a Inicio o Apagado.
- Establezca 10 segundos en el campo Mostrar lista y haga clic en Aceptar para guardar el cambio.
- Apague el equipo y rein¨ªcielo.
- Seleccione el modo VGA en el men¨² de inicio.
• Para usuarios de Windows 2000
- Reinicie el equipo.
- Pulse la tecla F8 cuando vea la barra Iniciando Windows en la parte inferior de la pantalla.
- Seleccione la opci¨®n Modo seguro en el men¨² de opciones avanzadas de Windows y pulse Intro.
• Para usuarios de Windows XP
- Reinicie el equipo.
- Pulse la tecla F8 cuando haya finalizado la autoprueba de encendido (POST). Si no aparecen las opciones avanzadas de Windows, intente reiniciar y pulse F8 varias veces despu¨¦s de que aparezca de la pantalla de la autoprueba de encendido (POST).
- Seleccione la opci¨®n Modo seguro en el men¨² de opciones avanzadas de Windows y pulse Intro.
• Para usuarios de Windows Server 2003
- Reinicie el equipo.
- Pulse la tecla F8 cuando se haya iniciado Windows. Si no aparecen las opciones avanzadas de Windows, intente reiniciar y, a continuaci¨®n, pulse F8 varias veces tras el inicio.
- En el men¨² de opciones avanzadas de Windows, utilice las teclas de flecha para seleccionar la opci¨®n Modo seguro y pulse Intro.
Step 4
Eliminar este valor del Registro
[ learnMore ]
[ back ]
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Taskman=%User Profile%\gsyzq.exe
Para eliminar el valor del Registro que este malware ha creado:
- Abra el Editor del Registro. Para ello, haga clic en Inicio>Ejecutar, escriba regedit en el cuadro de texto y pulse Intro.
- En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon - En el panel derecho, busque y elimine la entrada:
Taskman = %User Profile%\gsyzq.exe - Cierre el Editor del Registro.
Step 5
Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_PALEVO.SMGF que contienen las siguientes cadenas
[ learnMore ]
[ back ]
[autorun]
shellexecute={random folder}\\\{random file name}.exe
action=Open folder to see files using Windows Explorer
{random characters}
USEAUTOPLAY=1
open={random folder}\\\{random file name}.exe
icon=shell32.dll,4
shell\\\Install\\\command={random folder}\\\{random file name}.exe
shell\\\open\\\command={random folder}\\\{random file name}.exe
shell\\\explore\\\command={random folder}\\\{random file name}.exe
Shell\\\open\\\command={random folder}\\\{random file name}.exe
Para identificar y eliminar los archivos de AUTORUN.INF creados:
- Haga clic con el bot¨®n derecho en el bot¨®n Inicio y elija Buscar....
- En el cuadro de entrada Nombre, escriba:
AUTORUN.INF - En la lista desplegable Buscar en:, seleccione una unidad y pulse Intro.
- Seleccione el archivo y ¨¢bralo con el Bloc de notas.
- Compruebe si el archivo contiene las siguientes l¨ªneas:
[autorun]
shellexecute={random folder}\\\{random file name}.exe
action=Open folder to see files using Windows Explorer
{random characters}
USEAUTOPLAY=1
open={random folder}\\\{random file name}.exe
icon=shell32.dll,4
shell\\\Install\\\command={random folder}\\\{random file name}.exe
shell\\\open\\\command={random folder}\\\{random file name}.exe
shell\\\explore\\\command={random folder}\\\{random file name}.exe
Shell\\\open\\\command={random folder}\\\{random file name}.exe
- Si estas l¨ªneas existen, elimine el archivo.
- Repita los pasos 3 a 6 con el resto de archivos de AUTORUN.INF en las dem¨¢s unidades extra¨ªbles.
- Cierre Resultado de la b¨²squeda.
Step 6
Buscar y eliminar el archivo detectado como WORM_PALEVO.SMGF
[ learnMore ]
[ back ]
Aseg¨²rese de que tiene activada la casilla
Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todos los archivos ocultos.
Para buscar y eliminar el archivo de malware/grayware/spyware:
- Haga clic con el bot¨®n derecho en Inicio y haga clic en Buscar....
- En el cuadro de entrada Nombre, escriba los nombres de los archivos detectados anteriormente.
- En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
- Una vez haya encontrado el archivo, selecci¨®nelo y, a continuaci¨®n, pulse MAY?S+SUPR para eliminarlo definitivamente.
Step 7
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como WORM_PALEVO.SMGF En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
