Virantix

VIRANTIX destructivo troyano altera funciones y deshabilita servicios del sistema e IE bloquea acceso a webs, etc.

Troj/Virantix

Virantix es un troyano reportado el 31 de Julio del 2007 que ingresa a los sistemas a través de diversos servicios de Internet, como Telnet, HTTP, FTP, incluyendo mensajes de correo electrónico.

Desestabiliza la seguridad del sistema, deshabilita funciones vitales del mismo, desconfigura el Firewall de Windows y el InternetExplorer.

Descarga archivos con códigos arbitrarios de sitios web ubicados en Kiew, Ucrania.

Modifica el archivo HOSTS para impedir el acceso diversos URL relacionados principalmente a software antivirus. El accionar de sus llaves de registro dejarán inoperativo a Windows y será necesario re-instalarlo.

Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP/Windows Vista y Server 2003, está desarrollado en Assembler con una extensión de 15KB y encriptado con rutinas propias.

Al ser activado se copia a:

%System%/WinAvX.exe

Para evitar infectar más de una vez crea el Mutex {393921-e939391-3919139-3d3a738-11} y para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinAVX" = "%System%/WinAvX.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%/WinAvX.exe"
[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Run]
"WinAVX" = "%System%/WinAvX.exe"

para cambiar la configuración del Internet Explorer y desestabilizar su seguridad crea las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips" = "1"
[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main]
"Enable Browser Extensions" = "yes"
[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main]
"Search Bar" = "http://www.google.com/ie"
[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced]
"EnableBalloonTips" = "1"

Para deshabilitar las directivas de las zonas del Grupo de Seguridad del Internet Explorer crea las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"2500" = "3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1201" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1804" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1208" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"2500" = "3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1208" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"2500" = "3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1201" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1804" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1208" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"2500" = "3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1201" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
"1208" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
"2500" = "3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
"1200" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
"1201" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
"1608" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
"1804" = "1"

para deshabilitar el Administrador de la Barra de Tareas crea las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr" = "1"
[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\
CurrentVersion\Policies\system]
"DisableTaskMgr" = "1"

para deshabilitar el Editor de Registros crea las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableRegistryTools" = "1"
[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\
CurrentVersion\Policies\system]
"DisableRegistryTools" = "1"

para deshabilitar el Panel de Control crea las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoControlPanel" = "1"
[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer]
"NoControlPanel" = "1"

para deshabilitar la opción Actualizar Windows crea la sub-llave:

[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer]
"NoWindowsUpdate" = "1"

para desconfigurar el Firewall de Windows crea las sub-llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
DomainProfile\AuthorizedApplications\List]
"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\
DomainProfile\AuthorizedApplications\List]
"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
DomainProfile\AuthorizedApplications\List]
"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

para cambiar la página de Inicio del Internet Explorer y sus opciones de búsqueda crea las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Search_URL" = "http://www.google.com/ie"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Search Page" = "http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page" = "http://www.google.com"
[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://www.google.com"
[HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main]
"Search Page" = "http://www.google.com"

para alterar funciones del Internet Explorer, Acceso compartido y tiempo de navegación o búsqueda crea las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gopher\shell\open\command]
"@" = ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command]
"@" = ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command]
"@" = ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch]
"Epoch" = "0x000027B0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch" = "0x000027B0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.shtml]
"@" = "htmlfile"

Al siguiente inicio del equipo, cada cinco minutos el troyano muestra en pantalla el mensaje:

Windows Security Alert
Warning! Potential Spyware Operation!

Your computer is making unauthorized copies of your system and
Internet files. Run full scan now to pervent any unathorised access
to your files! Click here to download spyware remover ...

Aleatoriamente al inicio del sistema, el troyano puede también mostrar, cada 4 minutos el mensaje:

Your computer is infected!

Luego intenta descargar un archivo de la siguiente dirección web ubicada en Kiew, Ucrania:

http://go.winantivirus.com/MTY2NjU=/2/6018/ax=0/ed=1/ex=1/1[Removido]

aleatoriamente intenta descargar archivos infectados desde la misma dirección en Kiew, Ucrania::

http://freerealitympegs.com/movie/23/293/1[Removido]
http://freerealitympegs.com/movie/21/293/1[Removido]
http://freerealitympegs.com/movie/20/293/1[Removido]
http://freerealitympegs.com/movie/33/293/1[Removido]
http://freerealitympegs.com/movie/17/293/1[Removido]
http://freerealitympegs.com/movie/16/293/1[Removido]
http://freerealitympegs.com/movie/13/293/1[Removido]
http://freerealitympegs.com/movie/28/293/1[Removido]
http://freerealitympegs.com/movie/32/293/1[Removido]
http://freerealitympegs.com/movie/39/293/1[Removido]
http://freerealitympegs.com/movie/6/293/1[Removido]
http://freerealitympegs.com/movie/25/293/1[Removido]
http://freerealitympegs.com/movie/34/293/1[Removido]
http://freerealitympegs.com/movie/4/293/1[Removido]
http://freerealitympegs.com/movie/3/293/1[Removido]
http://freerealitympegs.com/movie/24/293/1[Removido]
http://freerealitympegs.com/movie/2/293/1[Removido]

Finalmente al modificar el arhivo HOSTS, bloquea el acceso a los siguientes sitios web:

192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 download.microsoft.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 go.microsoft.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 office.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 support.microsoft.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.microsoft.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.pandasoftware.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

El accionar de sus llaves de registro dejarán inoperativo el sistema y habrá que re-instalarlo.

PER ANTIVIRUS® versiones 10.1 y 10.2 con registro de virus al 31 de Julio del 2007 detectan y eliminan este troyano.