TROJ_MECIV.A
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos env¨ªan como spam. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
TECHNICAL DETAILS
Detalles de entrada
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos env¨ªan como spam.
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Este malware infiltra el/los siguiente(s) archivo(s):
- %System%\mspmsnsr.dll{unknown characters} - also detected as TROJ_MECIV.A
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Su componente DLL se inyecta en el(los) siguiente(s) proceso(s):
- svchost.exe
Crea las carpetas siguientes:
- %Application Data%\Microsoft Office Update
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:
- LINLINLVMAN
T¨¦cnica de inicio autom¨¢tico
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WmdmPmSp\Parameters
ServiceDll = "%System%\system32\mspmsnsr.dll{unknown characters}"
Rutina de descarga
Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Explorar el equipo con su producto de live casino online y anotar los archivos detectados como TROJ_MECIV.A
Step 3
Reiniciar en modo seguro
Step 4
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp
Step 5
Buscar y eliminar esta carpeta
- %Application Data%\Microsoft Office Update
Step 6
Buscar y eliminar el archivo detectado como TROJ_MECIV.A
Step 7
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TROJ_MECIV.A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.