Desktophijack.C

DESKTOPHIJACK.C troyano deshabilita Wininet.dll cambia configuración del escritorio de Windows, etc.

Troj/Desktophijack.C

Desktophijack.C es un troyano residente en memoria reportado el 25 de Julio del 2005, que ingresa furtivamente a los sistemas a través de cualquier servicio de Internet con un archivo de nombre Intell32.exe, se copia a las carpetas %System% y directorio %Windir%, liberando otros archivos.

Modifica la configuración del Escritorio (Desktop) de MS Windows y muestra un papel tapiz (Wallpaper) con un falso mensaje de advertencia.

Infecta el archivo wininet.dll deshabilitando determinadas funciones del sistema relacionadas al funcionamiento de aplicaciones de MS Windows.

Intenta descargar un software de seguridad desde su propio portal.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 44 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ingresar a un sistema se copia a la carpeta %System% y directorio %Windir% con los nombres: %System%\intell32.exe (componente del troyano) %System%\oleext.dll (componente del troyano) %System%\oleext32.dll (una copia de wininet.dll infectada con el troyano) %System%\wppp.html (componente del troyano) %Windir%\uninstIU.exe (troyano Desktophijack.B) para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "intell32.exe" = "%System%\intell32.exe" crea además las sub-claves: [HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update] para cambiar el color de fondo del Escritorio crea la llave:: [HKEY_CURRENT_USER\Control Panel\Colors] "Background" = "0 0 0" para impedir la modificación de la configuración del Escritorio agrega la llave: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoActiveDesktopChanges" = "1" y para modificar la apariencia del Tapiz del Escritorio agrega los valores: "WallpaperStyle" = "0" "Wallpaper" = "%SystemRoot%\%System%\wppp.html" a la sub-llave de registro: [HKEY_CURRENT_USER\Control Panel\Desktop] y para impedir la modificación de los colores de fondo del Escritorio agrega los valores: "NoDispBackgroundPage" = "1" "NoDispAppearancePage" = "1" a la sub-llave de registro: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. %Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. Al siguiente inicio del sistema el troyano sobre-escribe el archivo wininet.dll con la copia infectada oleext32.dll deshabilitando determinadas funciones del sistema relacionadas al funcionamiento de aplicaciones de Windows. el troyano muestra el siguiente tapiz de escritorio (wallpaper): Peligro! Su computadora podría estar infectada con Spyware o adware !!! Página web extraña, popups, pérdida de importante data e inestable funcionamiento son los signos seguros de que Ud. está infectado. Click aquí para obtener el último software removedor de spyware. instala un icono en la bandeja del sistema y cuando el puntero del mouse pasa sobre el mismo muestra el siguiente mensaje: Your computer is infected. si se hace click en este icono el troyano intenta descargar desde su portal el software de seguridad PSGuard: http://www.psguard.com (actualmente la ruta ha sido deshabilitada) PER ANTIVIRUS® versiones 9.3 y 9.4 con registro de virus al 25 de Julio del 2005 detectan y eliminan este troyano.