Netspy Trojan en Explorer

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
karbo13
Mensajes: 3
Registrado: 28 Mar 2007, 00:31

Netspy Trojan en Explorer

Mensaje por karbo13 » 31 Mar 2007, 23:55

Mi Norton detectó lo siguiente:



[img]http://usera.imagecave.com/otto1303/imagenes/Norton.jpg[/img]



Estaba apareciendo hace bastantes meses y le dí nuevo formato a mi máquina, pero no se le quitó, aún sale, no todos los días pero persiste.



¿Cómo lo quito?
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 01 Abr 2007, 09:28

Pues vea la descripcion de symantec al respecto:





http://www.symantec.com/security_response/writeup.jsp?docid=2004-080510-5653-99



y las caracteristicas tecnicas indica que son:


[quote="symantec"]
Spyware.NetSpyPrinter Friendly Page

SUMMARY TECHNICAL DETAILS REMOVAL Updated: February 13, 2007 11:38:49 AM

Type: Spyware

Version: 3.0

Publisher: SkySof Software

Risk Impact: High

File Names: netspy.exe,nconfig.exe,nsutil.exe,nsys.exe

Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP





Spyware.NetSpy can do the following:



Log keystrokes

Run in hidden mode

Log or block URLs

Take screenshots



When Spyware.NetSpy is installed it does the following:



Displays the product information.





Creates the following files:

%System%\nsys.exe: Main logger. Detected as Spyware.NetSpy.

%System%\nconfig.exe: Main configuration file. Detected as Spyware.NetSpy.

%System%\nsutil.exe: Component that resets password and uninstalls. Detected as Spyware.NetSpy.

%System%\Faq.fil: Frequently Asked Questions.

%System%\MSVBVM60.DLL: Microsoft Visual Basic Virtual Machine Library.

%System%\kbhook.dll: Visual Basic keyboard hook library.

%System%\CaptureScreen.ocx: Screenshot capturing library.

%System%\Ijl11.dll: Intel JPEG Library.

%System%\Richtx32.ocx: Microsoft RichText Library.

%System%\file.txt: Log file.

%System%\file_keys.txt: Log file.

Additional JPEG and text files for logging are located in %System%.



Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).





Adds the value:



"nsys" = "nsys.exe"



to the registry key:



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run



so that the Spyware runs when you start Windows.





Adds the values:



"%System%\nsys.exe" = "0x1"

"%System%\nconfig.exe" = "0x1"

"%System%\nsutil.exe" = "0x1"

"%System%\Faq.fil" = "0x1"

"%System%\kbhook.dll" = "0x1"

"%System%\CaptureScreen.ocx" = "0x1"

"%System%\Ijl11.dll" = "0x1"

"%System%\Richtx32.ocx" = "0x1"



to the registry key:



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs





Creates the following registry keys/values:



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths\nsys.exe\Path = "%System%"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths\nsys.exe\(Default) = "%System%\nsys.exe"



HKEY_CURRENT_USER\Software\S7000\Key

HKEY_CURRENT_USER\Software\S7000\String1

HKEY_CURRENT_USER\Software\S7000\String2





Creates the registry key:



HKEY_CURRENT_USER\Software\NetSpy



and places the configuration settings as values in that key.





Modifies the value to:



"DisableTaskMgr" = "0x0"



in the registry key:



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System



so that the Spyware can enable and disable the Task Manager.
[/quote]

Este troyano solo entra por ejecutar el troyano, si bien puede estar oculto en cualquier aplicacion que instala, o ser una aplicacion voluntaria al efecto.



Tras el formateo y la instalacion del sistema, recuerde las aplicaciones que instaló...



saludos



ms, 1-04-2007



nota: No será que voluntariamente instala un keylogger para control parental o familiar de lo que se hace en este ordenador, de los mails que se envian y en general de control y administracion del mismo ? ms.-
Arriba
karbo13
Mensajes: 3
Registrado: 28 Mar 2007, 00:31

Mensaje por karbo13 » 01 Abr 2007, 18:58

Pues fíjese [b]msc hotline sat[/b] que esta máquina era parte de un grupo de máquinas que tuve en un café internet, luego de quitar el negocio decidimos formatear todas las máquinas. Y en efecto, instalé el McAfee y fué éste quien detectó un keyloger, no sé si instalado por algún usuario o por algún sitio.



Como no se tenía la clave de acceso para la desinstalación fue que se formateó la máquina.



Mi pregunta es ¿cómo puedo hacer para limpiar mi máquina? o si no pasa nada, entiendo que el Norton está bloqueando el acceso a mi máquina.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 01 Abr 2007, 20:20

Sï, lo ha pillado por los pelos, pero ha de mirar de desinstalar dicha aplicacion !!!



Intentelo arrancando en modo seguro desde Panel de control-> Agregar o quitar programas



Y vigile que algun programa de los que ha instalado tras formatear, lanza, descarga o instala dicho keylogger, y eso es tener un espia de verdad en casa !



saludos



ms, 1-04-2007
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”