Cómo eliminar malware de la familia Trojan-PSW.Win32.Kates

Un troyano (o caballo de Troya) es un software malicioso diseñado para ejecutarse de manera oculta en el sistema operativo y abrir el sistema para el acceso remoto no autorizado. Son capaz de penetrar los sistemas de protección por sus propias fuerzas, pero no tienen la función de reproducción propia. Generalmente, los troyanos penetran al sistema con un virus o gusano a través de descuidado del usuario o las acciones de ciber-criminales.

Los robos de contraseñas (Trojan-PSW) son los troyanos diseñados para robar contraseñas y otra información confidencial sin usar la función de keylogger. Generalmente extraen las contraseñas guardadas en los archivos por varias aplicaciones.

La desinfección de sistemas infectados con malware de la familia Trojan-PSW.Win32.Kates (también está conocido como W32/Daonol) se realiza por Kaspersky Anti-Virus instalado en los equipos. Si no tenga instalado ningún producto de Kaspersky Lab, recomendamos instalar uno o utilizar la herramienta KatesKiller.exe para eliminar malware de la familia Trojan-PSW.Win32.Kates.

Cómo desinfectar un sistema

• Descargar el archivo KatesKiller.zip y extraer su contenido a una carpeta en el equipo (probablemente) infectado.
• Lanzar el fichero KatesKiller.exe.
• Esperar el fin de escaneo y desinfección. No es necesario reiniciar el equipo después de realizar una desinfección.
  

Los argumentos de la línea de comandos:

-l <nombre_del_archivo> - generar un archivo log.
-v – generar un log detallado (debe ser usado en combinación con -l).
-s – modo silencioso (sin mostrar la ventana negra de la consola).
-y – cerrar automáticamente la ventana de la línea de comandos.

• La aplicación antivirus detecta un archivo infectado que tiene el nombre y la extensión aleatorios; una vez eliminado, éste archivo vuelva a aparecer. (No se refiere a los productos de Kaspersky Lab. Kaspersky Anti-Virus tiene un proceso especial de desinfección).
  
  
• Se termina automáticamente explorer.exe al intentar de lanzar una de las siguientes aplicaciones:
• 
  Editor del Registro (regedit.exe);
• Línea de comandos (cmd.exe);
• Total Commander.
  
  
• Es imposible lanzar archivos con las siguientes extensiones:
• 
  .bat;
• .reg.
  
  
• Casi todos los procesos tienen las siguientes funciones enganchadas:
  
  
• CreateProcessW;
• WSARecv;
• WSASend;
• send;
• connect;
• recv.
  

Los usuarios avanzados pueden ver los ganchos usando la aplicación Gmer, por ejemplo:

o Rootkit Unhooker:

Lanzada sin argumentos, la herramienta:

• Busca y elimina los hilos maliciosos;
  
  
• Busca y desengancha las siguientes funciones:
  
  
• CreateProcessW;
• WSASend;
• WSARecv;
• send;
• recv;
• connect.
  
  
• Busca y elimina los archivos y las claves de registro del malware.
  
  
• No es necesario reiniciar el equipo después de realizar una desinfección.