El troyano Vundo (conocido comúnmente como Vundo , Virtumonde o Virtumondo , y a veces como MS Juan ) es un troyano o gusano informático que provoca ventanas emergentes y publicidad de programas antispyware maliciosos , y ocasionalmente otros comportamientos indebidos, como la degradación del rendimiento y la denegación de servicio en algunos sitios web, incluidos Google y Facebook . También se utiliza para distribuir otro malware a los ordenadores infectados. [ 2 ] Las versiones posteriores incluyen rootkits y ransomware . [ 2 ]
Infección
Una infección por Vundo generalmente se produce al abrir un archivo adjunto de correo electrónico que contiene el troyano, o a través de diversas vulnerabilidades del navegador , incluidas las de complementos populares como Java . Muchas de las ventanas emergentes anuncian programas fraudulentos como AntiSpywareMaster , WinFixer y AntiVirus 2009.
Virtumonde.dllConsta de dos componentes principales: Browser Helper Objects e ID de clase. Cada uno de estos componentes se encuentra en el Registro de Windows, en HKEY_LOCAL_MACHINE , y los nombres de archivo son dinámicos. Se conecta al sistema mediante Browser Helper Objects y archivos DLL falsos asociados a winlogon.exe , explorer.exe y, más recientemente, lsass.exe .
Vundo inserta entradas en el registro para suprimir las advertencias de Windows sobre la desactivación del firewall, el antivirus y el servicio de Actualizaciones automáticas , desactiva el servicio de Actualizaciones automáticas y lo vuelve a desactivar rápidamente si se vuelve a activar manualmente, y ataca Malwarebytes Anti-Malware , Spybot Search & Destroy , Lavasoft Ad-Aware , HijackThis y varias otras herramientas de eliminación de malware. Con frecuencia se oculta de Vundofix y Combofix . En lugar de promocionar productos antivirus falsos, las nuevas ventanas emergentes de " anuncios " para los ataques de descarga automática son copias de anuncios de grandes corporaciones, falsificadas de tal manera que simplemente al cerrarlas se permite que el exploit de descarga automática inserte la carga útil en el ordenador del usuario.
Síntomas
Dado que existen muchas variantes de troyanos Vundo, sus síntomas varían ampliamente, desde los relativamente leves hasta los graves. Casi todas las variantes de Vundo incluyen algún tipo de publicidad emergente y se instalan en el sistema para dificultar su eliminación.
Los ordenadores infectados presentan algunos o todos los siguientes síntomas:
- Vundo provocará que el navegador web infectado muestre anuncios emergentes, muchos de los cuales afirman que se necesita un software para solucionar el "deterioro" del sistema.
- Es posible que el fondo de escritorio cambie a la imagen de una ventana de instalación que indica que hay software publicitario en el equipo.
- El protector de pantalla puede cambiarse a la Pantalla Azul de la Muerte .
- En el panel de control de propiedades de pantalla, faltan las pestañas de fondo y protector de pantalla porque sus valores "Ocultar" en el Registro se cambiaron a 1.
- Tanto el fondo de pantalla como el protector de pantalla se encuentran en la carpeta System32; sin embargo, el protector de pantalla no se puede eliminar.
- Las actualizaciones automáticas de Windows (y otros servicios basados en la web) también pueden estar deshabilitadas y no es posible volver a activarlas.
- Los archivos DLL o DAT infectados (con nombres aleatorios como "__c00369AB.dat" y "slmnvnk.dll") estarán presentes en la carpeta Windows/System32 y se encontrarán referencias a los archivos DLL en el inicio del usuario (visibles en MSConfig), el registro y como complementos del navegador en Internet Explorer .
- Vundo puede intentar impedir que el usuario lo elimine o dificultar su funcionamiento de alguna otra manera, como deshabilitando el administrador de tareas, el editor del registro y msconfig, impidiendo así que el sistema arranque en modo seguro.
- Vundo también puede desactivar algunos cortafuegos o antivirus, dejando el sistema aún más vulnerable. En concreto, desactiva Norton AntiVirus y lo utiliza para propagar la infección. Norton mostrará automáticamente avisos para activar el filtro antiphishing. Al pulsar Aceptar, intentará conectarse a real-av.org y descargar más malware.
- Los programas antimalware populares, como Spybot – Search & Destroy o Malwarebytes, pueden eliminarse o cerrarse inmediatamente al cargarse. Cambiar el nombre del archivo ejecutable del programa puede solucionar este problema. El ejecutable de Malwarebytes puede eliminarse tan pronto como se instala (dependiendo de la infección del sistema). Instalar el programa en otro ordenador y copiar el ejecutable en el directorio de Malwarebytes del ordenador infectado también suele funcionar.
- El acceso a internet también puede verse afectado negativamente. Vundò puede provocar que muchos sitios web sean inaccesibles.
- Los enlaces de los motores de búsqueda pueden redirigir a sitios web de software de seguridad fraudulentos , lo cual se puede evitar copiando y pegando las direcciones.
- MS Juan puede provocar que las páginas web no se carguen después de varias sesiones de navegación y que aparezca una página en blanco en el navegador. En estos casos, es posible que ningún programa se inicie y que Windows se vuelva imposible de usar.
- Es posible que el proceso winlogon.exe comience a acceder constantemente al disco duro, lo que puede provocar bloqueos periódicos.
- Muestra ventanas emergentes y, además, es eficaz para insertar promociones en los resultados de búsqueda.
- Pueden aparecer advertencias sobre el cierre inesperado de SuperMWindow. [ 3 ]
- El proceso Explorer.exe puede fallar constantemente, lo que provoca un bucle infinito de bloqueos y reinicios.
- Crea un controlador crítico para virus en C:\Windows\system32\drivers (ati0dgxx.sys).
- El virus puede "consumir" el espacio disponible en el disco duro; el espacio en el disco duro puede fluctuar hasta +3 o -3 GB, lo que evidencia el intento de Vundo de "esconderse" cuando es atacado.
- Vundó puede impedir el progreso de la descarga.
- Al intentar usar HijackThis y entrar en modo seguro , se produce una auténtica pantalla azul de la muerte, de la que no se puede recuperar sin restaurar las claves de registro del modo seguro eliminadas o reinstalar una versión de Windows.
- En ocasiones, el virus genera un error que indica "Ejecutar una DLL como una aplicación" cuando se han eliminado algunas de las DLL con nombres aleatorios.
- El virus sobrescribirá archivos DLL con nombres aleatorios mientras alguno de ellos permanezca en la máquina.
- El virus modifica las entradas \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y RunOnce para iniciarse automáticamente al arrancar Windows.
- El virus instala software publicitario que en ocasiones es pornográfico.
- El virus instala software de seguridad malicioso, como Desktop Defender 2010 y Security Center, junto con un archivo .wav que le indica al usuario que su sistema está infectado.
- El virus provocará que el controlador de red se corrompa, lo que incluso después de acceder al Editor del Registro (regedit.exe) para eliminar Winsock 1 y 2 e intentar reinstalar el controlador, resulta prácticamente imposible.
- El virus elimina la conexión de red en Mis sitios de red.
Referencias
- Gusanos informáticos
- caballos de Troya
- Rootkits
- Software de seguridad fraudulento
- 2004 en informática
- La década de 2000 en el mundo del hacking