Este problema se debe a Trojan.Zlob.Q, que es un caballo de Troya que puede robar información de la computadora comprometida y descargar archivos potencialmente maliciosos.
Las siguientes instrucciones pueden ayudar a corregir el problema.
- Abra un archivo .txt en blanco y pegue las siguientes instrucciones en él:
bitsadmin / reset
reg eliminar HKEY_CURRENT_USER \ Console \% SystemRoot% _System32_WindowsPowerShell_v1.0_powershell.exe / f
reg eliminar HKEY_CURRENT_USER \ Console \% SystemRoot% _System32_svchost.exe / f
reg eliminar HKEY_CURRENT_USER \ Console \ taskeng.exe / f
- ¿Por qué es tan difícil proporcionar wifi en toda una ciudad por parte del gobierno?
- ¿Cuáles son las principales causas de latencia en la comunicación Wi-Fi y bluetooth?
- ¿Cómo implementar VLC (comunicación de luz visible) usando la tecnología LIFI? ¿Qué componentes son necesarios para construir el sistema LIFI?
- ¿Una llamada VoIP móvil es gratuita a través de Wi-Fi?
- ¿Qué deben saber todos sobre el servicio wifi gratuito de Google en las estaciones de Indian Railway?
- Guarde el archivo y cambie la extensión a .bat.
- Ejecute el archivo con permisos de administrador.
Descargo de responsabilidad: este script por lotes se proporciona tal cual, sin garantía. Si tiene trabajos configurados en su entorno, tenga en cuenta que este archivo por lotes puede eliminar archivos limpios.
DETALLES TÉCNICOS
Cuando se ejecuta el troyano, crea los siguientes archivos:
- % SystemDrive% \ Documents and Settings \ Administrador \ Configuración local \ Temp \ [OCHO NÚMEROS ALEATORIOS]
- % SystemDrive% \ Documents and Settings \ All Users \ Application Data \ {145911ff-70c8-1} \ BIT1C.tmp
- % SystemDrive% \ Documents and Settings \ All Users \ Application Data \ {2182672b-20c8-0} \ BIT1D.tmp
El troyano crea un script de PowerShell que se ejecuta una vez al día y se usa para descargar archivos adicionales en la siguiente ubicación:
- % SystemDrive% \ WINDOWS \ Tasks \ [RANDOM CLSID] .job
El troyano crea las siguientes entradas de registro:
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ “NameServer”: “199.203.131.151 82.163.143.181”
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \ {121002E0-F353-48CD-926F-EDFFABEE08AF} \ “NameServer”: “199.203.131.151.82.163.143.181”
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \ {121002E0-F353-48CD-926F-EDFFABEE08AF} \ “DhcpNameServer”: “199.203.131.151”
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ “DhcpNameServer”: “199.203.131.151”
El troyano cambia el DNS a una de las siguientes direcciones IP:
- 199.203.131.145
- 82.163.143.167
- 199.203.131.150
- 82.163.143.168
- 82.163.143.169
- 82.163.142.171
- 82.163.143.172
- 82.163.142.174
- 199.203.131.151
- 82.163.143.181
- 199.203.131.152
- 82.163.143.182
- 82.163.142.3
- 95.211.158.130
Para más detalles, visite la fuente: Trojan.Zlob.Q | Symantec
