Seguridad 101: Utilidades Desinfeccion

 
 
 

Malware de la familia Trojan-Spy.Win32.Zbot: descripción y medidas

← Volver a la sección "Utilidades Desinfeccion"
2013 dic 27 ID Artículo: : 2020
 
 
 
 
Los analíticos virus de Kaspersky Lab sigan observando un incremento en la distribución de programas troyano de la familia Trojan-Spy.Win32.Zbot. Los criminales utilizan tales troyanos para robar la información bancaria de los equipo de usuarios. Generalmente tal malware no tiene ningún acompañamiento visual ocultando así su detección en los equipo que no tengan una protección antivirus. Además el malware de esta familia utiliza la tecnología rootkit para protegerse ocultando la presencia de sus archivos ejecutables y procesos.

El método principal de la intrusión de Trojan-Spy.Win32.Zbot es a través de las páginas web infectadas. Los ciber-criminales inventan sus propios métodos de intrusión por medio de tales troyanos.

La única medida para proteger un equipo contra la intrusión por los troyanos Trojan-Spy.Win32.Zbot es instalar una aplicación antivirus y actualizarlo regularmente para estar protegido contra las últimas modificaciones del troyano. El software producido por Kaspersky Lab protege contra todas las modificaciones reconocidas del troyano Trojan-Spy.Win32.Zbot y permite eliminar todas las trazas de una infección.

Si no esté usando ningún software antivirus, le recomendamos verificar el equipo antes de realizar las operaciones bancarias online. La herramienta especializada ZbotKiller.exe puede verificar el equipo para Trojan-Spy.Win32.Zbot y curar el sistema si esté infectado.

Más abajo en éste artículo se trata de los lugares en el sistema operativo usados por Trojan-Spy.Win32.Zbot para guardar sus datos (aunque puede ocultar sus archivos), y la instrucción para usar la herramienta ZbotKiller.exe.


Los síntomas principales de la infección con malware de la familia Trojan-Spy.Win32.Zbot

  1. Las carpetas %windir%\system32%AppData% contienen algunos o todos de los siguientes archivos:

    • ntos.exe
    • twex.exe
    • twext.exe
    • oembios.exe
    • sdra64.exe
    • lowsec\\local.ds
    • lowsec\\user.ds

      Importante!%windir%\system32%AppData% son las carpetas del sistema Microsoft Windows. Tienen varias rutas en varios sistemas.
      Por ejemplo, en Windows Vista son: C:\Windows\System32 y C:\Users\<nombre_del_perfil>\AppData. 
      En Windows XP Professional: C:\Windows\System32 y C:\Documents and Settings\<nombre_del_perfil>\Application Data.

  2. Las siguientes claves del registro contienen unos enlaces a los archivos mencionados:

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

Cómo desinfectar un sistema

La desinfección del sistema infectado por Trojan-Spy.Win32.Zbot se realiza por medio de la herramienta ZbotKiller.exe. La herramienta realiza las siguientes acciones:

  • Un escaneo rápido del sistema.

  • Detección y eliminación del código malicioso de las modificaciones reconocidas de Trojan-Spy.Win32.Zbot que haya penetrado las aplicaciones que funcionen en el equipo.

  • Elimina la funcionalidad usada por malware para ocultar los archivos y procesos maliciosos (rootkit).

  • Elimina los archivos maliciosos y limpia el registro de las trazas de los troyanos Trojan-Spy.Win32.Zbot.

Puede lanzar la herramienta ZbotKiller.exe directamente en el equipo infectado o de un manera centralizado a través de Kaspersky Administration Kit.

Cómo lanzar la herramienta ZbotKiller.exe de forma local:

  1. Descargar el archivo ZbotKiller.zip y extraer su contenido a una carpeta en el equipo (probablemente) infectado.

  2. Lanzar el fichero ZbotKiller.exe.

    Al terminar el escaneo, la herramienta puede dejar una ventana abierta de la línea de comandos. Presione alguna tecla para cerrarla. Lanzada con el argumento -y, la herramienta ZbotKiller.exe cierra esta ventana automáticamente.

  3. Esperar el fin de escaneo y desinfección. No es necesario reiniciar el equipo después de realizar una desinfección.

Cómo lanzar la herramienta ZbotKiller.exe a través de Kaspersky Administration Kit:
  1. Descargar el archivo ZbotKiller.zip y extraer su contenido a una carpeta.

  2. Abrir la consola de Kaspersky Administration Kit y crear un paquete de instalación para la aplicación ZbotKiller.exe. En el Asistente de nuevo paquete seleccionar la opción Crear un paquete de instalación para el archivo ejecutable especificado y añadir el argumento -y al campo Línea de comando de archivo ejecutable para que la consola se cierre automáticamente.

  3. Crear una tarea de grupo/global para distribuir la herramienta en los equipos infectados o probablemente infectados en la red local.
    No hará daño lanzar la herramienta ZbotKiller.exe en todos los equipos en la red local.

  4. Ejecutar la tarea de distribución. No es necesario reiniciar los equipos después de desinfectarlos con ZbotKiller.exe.

Los argumentos de la línea de comandos para la herramienta ZbotKiller.exe:

-y – cerrar automáticamente la ventana de la línea de comandos.
-s – modo silencioso (sin mostrar la ventana negra de la consola).
-l <nombre_del_archivo> - genera un archivo log.
-v – generar un log detallado (debe ser usado en combinación con -l).
-help – mostrar la lista de argumentos aplicables.

Por ejemplo, para escanear el equipo, generar un log detallado en el archivo report.txt (será generado dentro de la carpeta con la herramienta ZbotKiller.exe), y cerrar automáticamente la ventana de la línea de comandos después de terminar el escaneo y la desinfección:
zbotkiller.exe -y -l report.txt -v

 
 
 
 
¿Le ha sido de ayuda nuestra información?
No