Joex

JOEX troyano modifica configuración de Internet Explorer deshabilita Administrador de Barra de Tareas, etc.

Troj/Joex

Joex es un troyano residente en memoria reportado el 04 de Agosto del 2005, que ingresa furtivamente a los sistemas a través de cualquier servicio de Internet con un archivo de nombre Svohost.exe, se copia a las carpetas %System% y directorio %Windir%.

Este archivo actúa como "dropper" liberando 2 archivos adicionales.

Modifica la configuración de la página de acceso del Internet Explorer, deshabilita el Administrador de barra de Tareas. Impide la restauración de la configuración del Internet Explorer y se activa cada vez que se abre un archivo de texto.

Intenta descargar un archivo desde un portal chino (actualmente deshabilitado).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 21 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ingresar a un sistema se copia a la carpeta %System% y directorio %Windir% con los nombres: %Windir%\Svohost.exe %System%\commamd.exe %System%\lsasa.exe para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves de registro: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "ctfnom.exe" = "%Windir%\Svohost.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "%System%\Explorer.exe commamd.exe" para activarse cada vez que se ejecuta un archivo de texto modifica el valor de la llave: [HKEY_CLASSES_ROOT\txtfile\shell\open] "command" = "%System%\lsasa.exe "%1"" %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. %Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. Al siguiente inicio del sistema el troyano se activa en memoria y cambia la configuración de acceso del Internet Explorer, direccionándolo a un portal chino: http://www.joyiex.com/[carpeta_removida] para deshabilitar el Administrador de Tareas agrega el valor: "DisableTaskMgr" = "1" a la sub-llave: HKEY_CURRENT_USER\Software\Policies\Internet Explorer\ControlPanel para impedir que se cambie la configuración de acceso del Internet Explorer agrega el valor: "HomePage" = "1" a la sub-llave: HKEY_CURRENT_USER\Software\Policies\Internet Explorer\ControlPanel el troyano intenta descargar un Script con código maligno desde: http://www.joiex.com/[carpeta_removida]/upgrade.txt PER ANTIVIRUS® versión 9.4 con registro de virus al 04 de Agosto del 2005 detecta y elimina este troyano.