Seguridad 101: Utilidades Desinfeccion

 
 
 

Cómo eliminar malware de la familia Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download manager v1.34, Ilite Net Accelerator)

← Volver a la sección "Utilidades Desinfeccion"
2013 dic 30 ID Artículo: : 3043
 
 
 
 
Malware de la familia Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34) es un programa-extorsionista. Bloquea el acceso al Internet, y muestra un falso aviso sobre violación de un contrato de licencia con demanda de enviar un código por sms al indicado número para desbloquear el acceso al Internet.

La familia Trojan-Ransom.Win32.Digitala cuenta con varios tipos de bloqueadores:

  • Digital Access
  • Get Accelerator
  • Get Access
  • Download Manager v1.34
  • Ilite Net Accelerator


Abajo puede ver unos ejemplos de diferentes variedades del malware en cuestión. Todos son en ruso, no disponemos de ejemplos en otros idiomas. Todos los avisos tienen casi el mismo texto sobre la violación de un contrato de licencia con una demanda:

  • Digital Access



  • Get Accelerator



  • Get Access



  • Download Manager v1.34




Síntomas de la infección:

  • Este malware puede penetrar al equipo de usuario de varias maneras:

    • A través de acciones del usuario, cuando él ejecuta la instalación de un programa bajo el nombre de Digital Access que parece ser deseable. Al iniciar este programa, se muestra un contrato de licencia. Al aceptar este contrato, el usuario provoca la infección.




    • Sin advertir al usuario por medio de otro malware (Get Access).

       
  • el síntoma principal que va a ver el usuario será el aviso demandando enviar un sms para recibir el código de activación para el programa instalado; 
  • el aviso puede aparecer como inmediatamente al instalar el programa, tanto dentro de 6 horas;



  • dentro de 5 minutos depués de mostrar el aviso de demanda, el malware reinicia el equipo y bloquea el acceso al Internet;
  • crea una nueva clave en el registro del sistema {ffffffff-F03B-4b40-A3D0-F62E04DD1C09} (en la rama HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->Current Version->Uninstall). Esta clave indica la ruta al desinstalador. El valor de la variable "UninstallString" está en la columna Datos.



El proceso de instalación del programa malicioso:

  • instala un servicio ocultado, su archivo está en C:\Windows\System32;
  • instala un rootkit en C:\Windows\System32 para ocultar la presencia de archivos maliciosos
    elimina el instalador malicios;
  • envía un informe sobre su actividad (instalación, activación, desinstalación) a su dueño;
  • en el caso de faltar la red o tener una red con cierta configuración, el programa no será instalado eliminando la trazas de su presencia.

Cómo recibir una copia del malware en un sistema infectado:

  • abrir la línea de comandos

    • en Windows XP: hacer clic en Iniciar > Ejecutar > teclear cmd > pulsar Intro;

    • en Windows Vista/7: hacer clic en Iniciar > teclear cmd en el campo de búsqueda > pulsar Intro;

  • Introducir el siguiente comando en la línea de comandos:

    copy<el_valor_de_la_variable_"UninstallString"_sin_clave> (sin comillas)

    por ejemplo: copy%systemroot%\Installer\ffffffff-F03B-4b40-A3D0-F62E04DD1C09\userinit.exe



    será guardada una copia del programa malicioso a la carpeta corriente.

  • enviar una solicitud al servicio de Soporte Técnico usando el formulario de HelpDesk (adjuntar la copia guardada del programa malicioso a la solicitud).

La actividad maliciosa:

  • ocupa mucho espacio en el escritorio;
  • deshabilita (parcialmente) el acceso al Internet.

Para desactivar el programa malicioso:

  • abrir la línea de comandos

    • en Windows XP: hacer clic en Iniciar > Ejecutar > teclear cmd > pulsar Intro;
    • en Windows Vista/7: hacer clic en Iniciar > teclear cmd en el campo de búsqueda > pulsar Intro;

  • introducir <el_valor_de_la_variable_"UninstallString"> (sin comillas);

  • pulsar Intro;



  • se abrirá (dentro de unos segundos) una caja de diálogo solicitando la confirmación de la eliminación.



    La caja de diálogo está ocultada detrás de la ventana del programa malicioso previniendo de pulsar el botón Sí. Entonces:

    • pulsar al mismo tiempo las teclas Ctrl+Alt+Del para abrir el Administrador de tareas;
    • seleccionar Opciones > Siempre visible en el menú del Administrador de tareas;



    • hacer un clic derecho en la tarea de Eliminación del programa malicioso en el Administrador de tareas y seleccionar Maximizar;



    • pulsar el botón Sí en la caja de diálogo;
    • reiniciar el equipo.

Además existe la herramienta Digita_Cure.exe diseñada para eliminar malware de la familia Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34). La herramienta tiene una interfaz gráfica.

La herramienta funciona en las versiones x86 de los sistemas operativos Windows: 2000, XP, 2003, Vista, 2008, 7.

Importante!Las versiones x64 de los sistemas operativos Windows son inmunes contra la familia Trojan-Ransom.Win32.Digitala.

Cómo desinfectar el sistema con la herramienta Digita_Cure.exe

  • descargar el archivo Digita_Cure.zip y descomprimirlo con WinZip, p.e.
  • ejecutar el archivo Digita_Cure.exe y esperar mientras la herramienta cumple su función;
  • reiniciar el equipo;
  • después del reinicio, actualizar las bases antivirus de Kaspersky Anti-Virus y ejecutar un escaneo completo del equipo.

Una vez lanzada la herramienta:

  • elimina la infección activa (escanea la memoria, detecta y elimina el programa malicioso);
  • elimina el programa malicioso del sistema (deshabilita el servicio del programa malicioso, remuévelo del autoinicio, etc);
  • quita el programa malicioso del sistema de archivos.

 
 
 
 
Le ha sido de ayuda nuestra información?
Si No