Forma de Infección de el ARDAMAX y el TURKOJAN y como Eliminarlo
Forma de infección del TURKOJAN y como Eliminarlo
Troj/Backdoor.AntiLam.G1. Troyano de acceso remoto
Nombre: Troj/Backdoor.AntiLam.G1
Tipo: Caballo de Troya de acceso remoto
Alias: W32/Turkojan, Backdoor.Turkojan, BackDoor.Turkojan.10,
BackDoor-ARL, Backdoor.Antilam.g1
Tamaño: 593,920 bytes
Plataforma: Windows 32-bit
Puerto: TCP/31693 (configurable)
Este troyano permite el acceso a las computadoras infectadas
por medio de una “puerta trasera” (backdoor), con lo que un atacante puede
tomar el control total de la misma.
Es capaz de robar información confidencial mediante la
captura de todo lo tecleado por la víctima. Esta información es guardada y
enviada al atacante. También intenta obtener las contraseñas almacenadas en la
memoria caché.
Por defecto utiliza para esa comunicación el puerto
TCP/31693.
El troyano se activa al ser ejecutado por el propio usuario,
en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.
Se recomienda no abrir archivos enviados sin su
consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean
disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Cuando el troyano se ejecuta, se copia a sí mismo con el
nombre que le haya asignado el atacante, en la carpeta Windows o Windows\System.
Luego modifica el registro para autoejecutarse en los
siguientes reinicios del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] = [ubicación y nombre]
Si se ejecuta en Windows 95, 98 o Me, el troyano se ejecuta
como un servicio, disponible para todos los usuario en las diferentes sesiones
y oculto en la lista de tareas (CTRL+ALT+SUPR).
Una vez en memoria, intenta avisar al atacante a través del
ICQ o mediante solicitud CGI, quedando a la espera de las ordenes remotas.
Estas pueden permitir:
- Enviar
información de la computadora y de la red
- Finalizar
procesos
- Abrir
repetidamente un puerto TCP
- Mostrar
un mensaje de error falso para encubrirse
- Control
total sobre el sistema de archivos
- Carga
y descarga de archivos
- Ejecución
remota de cualquier programa
- Mostrar
mensajes
- Mostrar
al atacante lo que exhibe el monitor de la víctima
- Capturar
y enviar todo lo tecleado por la víctima
- Manipular
el teclado y el ratón
- Abrir
y cerrar la bandeja de la lectora de CD-ROM
- Apagar
o prender el monitor (si permite ahorro de energía)
También puede obtener y enviar esta información del usuario
infectado:
- Dirección
IP de la víctima
- Nombre
del usuario logeado en Windows y en Internet
- Versión
del sistema operativo
- Nombre
de la computadora
- Lista
de contraseñas guardadas en el caché
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de
este y cualquier otro troyano con Internet, así como cualquier intento de acceder
a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de cualquier adjunto con
posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada
nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando
todos sus discos. Luego borre los archivos detectados como infectados.
IMPORTANTE: Apunte el nombre del ejecutable del
troyano
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo “+”
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta “Run” y en el panel de la derecha,
bajo la columna “Nombre”, busque y borre la entrada correspondiente al nombre
del ejecutable obtenido en los pasos anteriores (ver “Antivirus”).
4. Use “Registro”, “Salir” para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de “Oculto”, proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú ‘Ver’ (Windows 95/98/NT) o el menú
‘Herramientas’ (Windows Me/2000/XP), y pinche en ‘Opciones’ u ‘Opciones de
carpetas’.
3. Seleccione la lengüeta ‘Ver’.
4. DESMARQUE la opción “Ocultar extensiones para los tipos
de archivos conocidos” o similar.
5. En Windows 95/NT, MARQUE la opción “Mostrar todos los
archivos y carpetas ocultos” o similar.
En Windows 98, bajo ‘Archivos ocultos’, MARQUE ‘Mostrar
todos los archivos’.
En Windows Me/2000/XP, en ‘Archivos y carpetas ocultos’,
MARQUE ‘Mostrar todos los archivos y carpetas ocultos’ y DESMARQUE ‘Ocultar archivos
protegidos del sistema operativo’.
6. Pinche en ‘Aplicar’ y en ‘Aceptar’.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows
XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar
antes de cualquier acción, la herramienta “Restaurar sistema” como se indica en
estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Forma de infección del ARDMAX y como Eliminarlo
¿Cómo se infectó con Ardamax Keylogger 2.71?
¿Le preocupa saber cómo Ardamax Keylogger 2.71 terminó
dentro de su PC? Si usted está infectado con Ardamax Keylogger 2.71 o con otro
badware, quizás usted está utilizando…
- Freeware
o shareware: ¿Descargó o instaló shareware o freeware? Estas
aplicaciones de software de bajo costo o gratuitas pueden incluir spyware,
adware, o programas como Ardamax Keylogger 2.71.A veces el adware viene
adjunto al software gratuito con el fin de “pagar” a los desarrolladores
por el costo de crear el software, pero lo más frecuente es que el spyware
venga adjunto al software gratuito, con el fin de da�ar su computadora y
robarle su información personal y financiera.
- Software
P2P o punto a punto (peer-to-peer): ¿Utiliza programas peer-to-peer
(P2P) u otra aplicación en una red compartida? Cuando utiliza estas
aplicaciones, pone en riesgo su sistema porque sin saberlo puede estar
descargando un archivo infectado, incluyendo aplicaciones como Ardamax
Keylogger 2.71.
- Sitios
web dudosos: ¿Visitó un sitio web de naturaleza dudosa? Cuando usted
visita sitios maliciosos que parecen ofrecer cosas maravillosas, el
badware puede descargarse en forma automática e instalarse en su
computadora, a veces incluyendo aplicaciones como Ardamax Keylogger 2.71.
Si aún no lo está utilizando, le recomiendo el navegador web Firefox.
Para deshacerse de Ardamax Keylogger 2.71
- Eliminación
manual de Ardamax Keylogger 2.71 con instrucciones paso a paso
- Descargue
Spyware Doctor para eliminar automáticamente Ardamax Keylogger 2.71.
Puede descargar el premiado software anti-badware Spyware
Doctor para eliminar Ardamax Keylogger 2.71 de forma sencilla.
¿Usted tiene Ardamax Keylogger 2.71?
Cuando usted está infectado con badware -esto es Ardamax
Keylogger 2.71,spyware, adware, un troyano o un virus- hay algunos síntomas
claves. Usted ha percibido…
- Una
performance más lenta de su computadora: Es suficiente con tener un
parásito como Ardamax Keylogger 2.71 para que su computadora se vuelva más
lenta de forma notoria. Si su PC demora más en iniciarse, o su conexión a
Internet está más lenta que lo normal, usted puede estar infectado con
Ardamax Keylogger 2.71.
- Nuevos
accesos directos en su escritorio o cambios en la página de inicio de su
navegador: El badware como Ardamax Keylogger 2.71 puede cambiar la
configuración de su página de inicio a otro sitio web. El badware también
puede agregar accesos directos en el escritorio de su PC.
- Molestos
anuncios desplegables: El badware puede bombardear su computadora con
ventanas desplegables con anuncios, incluso cuando usted no está conectado
a Internet. Por medio de estos anuncios desplegables usted puede ser enga�ado para que descargue
más spyware.
Cómo eliminar Ardamax Keylogger 2.71 de forma manual
Antes de comenzar, debe hacer un respaldo (backup) de su
sistema y de su registro, de modo tal que resulte sencillo restaurar la
situación anterior de su computadora en caso de que algo salga mal.
Para eliminar Ardamax Keylogger 2.71 de forma manual, lo que
debe hacer es borrar los archivos de Ardamax Keylogger 2.71. Le mostraré cómo
hacerlo.
Eliminar los procesos de Ardamax Keylogger 2.71
akl.exe
nsk.exe
akv.exe
Eliminar las DLLs de Ardamax Keylogger 2.71
kh.dll
il.dll
Detectar y eliminar los archivos de Ardamax Keylogger
2.71
akv.ini
settings.ini
Eliminar valores de registro de Ardamax Keylogger 2.71
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ardamax
Keylogger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NSK
HKEY_CURRENT_USER\Software\Ardamax Keylogger Lite
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\App Paths\akl.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ardamax
Keylogger
Borrar los directorios de Ardamax Keylogger 2.71
C:\Program Files\Ardamax Keylogger
C:\Program Files\NSK
Bloquear los siguientes sitios web de Ardamax Keylogger
2.71
http://www.ardamax.com
Nota: En todos los archivos deArdamax
Keylogger 2.71 que menciono más arriba, “%System%” es una variable que refiere
a la carpeta del sistema de su PC.Quizás usted le cambió el nombre, pero por
defecto la carpeta de su sistema es “C:\Windows\System32″ on Windows XP,
“C:\Winnt\System32″ en Windows NT/2000,” o “C:\Windows\System” en Windows
95/98/Me.
“%Program_Files%”, “%ProgramFiles%”, o “%Profile%” es una
variable que refiere a una carpeta en su PC donde las aplicaciones que no
forman parte del sistema operativo de su PC son instaladas por defecto. Puede
haberle cambiado el nombre a esta carpeta o puede haberla movido, pero si no la
tocó, búsquela como “C:\Program Files”. Si tiene problemas para encontrar esta
carpeta, la puede ubicar buscando el valor de registro
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir”.
Además, “%UserProfile%” es una variable que refiere a su
actual carpeta de perfil de usuario. Si está utilizando Windows NT/2000/XP, por
defecto es “C:\Documents and Settings\[CURRENT USER]” (por ejemplo,
“C:\Documents and Settings\JoeSmith”). Si usted tiene preguntas sobre la
eliminación manual de Ardamax Keylogger 2.71, escríbanos un comentario.
¿Cómo eliminar los archivos de Ardamax Keylogger 2.71?
¿Necesita ayuda para eliminar los archivos de Ardamax
Keylogger 2.71? Existe un cierto riesgo y por esa razón usted sólo deberá
hacerlo si se siente cómodo editando su sistema; descubrirá que es fácil borrar
archivos en Windows.
Cómo borrar archivos de Ardamax Keylogger 2.71 en Windows
XP y Vista:
- Haga
clic en el menú Inicio (Start) de Windows, y haga clic en
“Buscar (Search)“
- Aparecerá
un menú de diálogo que le preguntará, “¿Qué desea buscar?” Haga
clic en “Todas los archivos y carpetas.”
- Escriba
el nombre del archivo en la caja de búsqueda y seleccione “Discos duros
locales.”
- Haga
clic en “Buscar.” Una vez que el archivo es encontrado, elimínelo.
Cómo detener procesos de Ardamax Keylogger 2.71:
- Haga
clic en el menú Inicio, seleccione Ejecutar.
- Escriba taskmgr.exe en
la caja de comando de Ejecutar , y haga clic en “Aceptar.” También
puede ejecutar el Administrador de Tareas de Windows presionado las
teclas ALT + CTRL + DELETE o CTRL + May + ESC.
- Haga
clic en la pesta�a
(tab) Procesos y busque los procesos de Ardamax Keylogger
2.71.
- Una
vez que encuentre los procesos deArdamax Keylogger 2.71, haga clic con el
botón derecho sobre ellos y seleccione “Terminar Proceso (End Process)”
para matar a Ardamax Keylogger 2.71.
Cómo eliminar valores de registro de Ardamax Keylogger
2.71 :
Debido a que su registro es una pieza muy importante del
sistema Windows, siempre debe hacer un respaldo de su registro antes de
editarlo. Editar el registro puede intimidar a quienes no son expertos en
computación; cuando usted cambia o borra un valor de registro crítico, existe
la posibilidad de que necesite reinstalar todo su sistema operativo.Asegúrese
de hacer un respaldo de su registro antes de hacer cualquier cambio.
- Seleccione
el menú “Inicio ,” de Windows y haga clic en “Ejecutar.”Le
aparecerá un campo “Abrir“. Escriba “regedit” y haga clic en
“Aceptar” para abrir el Editor del Registro.
- El Editor
de Registro abrirá una ventana con dos partes. El lado izquierdo
del Editor del Registro le permitirá seleccionar varios valores de
registro, y el lado derecho muestra los valores de registro del valor de
registro que usted seleccionó.
- Para
encontrar un valor de registro de Ardamax Keylogger 2.71 , como cualquier
otro valor de registro, seleccione “Editar,” y luego “Buscar,”
y en la barra de búsqueda de escriba los valores de registro de Ardamax
Keylogger 2.71.
- Una
vez que el valor de registro de Ardamax Keylogger 2.71 aparece, usted
puede borrar el valor de registro de Ardamax Keylogger 2.71, seleccionando
“Modificar,” y luego haciendo clic en “Eliminar.”
Cómo eliminar archivos Ardamax Keylogger 2.71:
- Primero
localice los archivos DLL de Ardamax Keylogger 2.71 que desea eliminar.
Abra el menú Inicio de Windows, luego haga clic en “Ejecutar.”
escriba “cmd” y luego haga clic en “Aceptar.”
- Para
cambiar su directorio actual, escriba “cd” en la línea de comando,
presione la barra espaciadora una vez y luego escriba el
directorio completo en el que está ubicado el archivo DLL de “Ardamax
Keylogger 2.71. Si usted no está seguro si el archivo DLL de Ardamax
Keylogger 2.71 está ubicado en un directorio en particular, escriba “dir”
en la línea de comando para mostrar el contenido del directorio. Para
retroceder un directorio hacia atrás, escriba “cd ..” en la línea
de comando y presione “Intro (Enter).”
- 3.Una
vez localizado el archivo de Ardamax Keylogger 2.71 que desea eliminar,
escriba “regsvr32 /u SampleDLLName.dll” (por ejemplo., “regsvr32 /u
jl27script.dll”) y presione la tecla “Intro (Enter)“.
Eso es todo. Si quiere restaurar cualquier archivo DLL de
Ardamax Keylogger 2.71 que eliminó, escriba “regsvr32 DLLJustDeleted.dll” (por
ejemplo, “regsvr32 jl27script.dll”) en la línea de comando y presione la tecla
“Intro”.
¿ Ardamax Keylogger 2.71 cambió su página de inicio?
- Haga
clic en el menú Inicio > Panel de Control > Opciones de
Internet.
- En Página
de Inicio, seleccione General > Predeterminada.
- Escriba
la Dirección que usted prefiere como su página de inicio (por ejemplo,
“http://www.homepage.com”).
- Seleccione Aplicar
> Aceptar.
- Deberá
abrir una nueva página web para asegurarse que la nueva página de inicio
por defecto está activa..
Consejo para eliminar Ardamax Keylogger 2.71
¿Su computadora está actuando de manera atípica después que
eliminó alguno de los archivos de Ardamax Keylogger 2.71 ? Le recomiendo
utilizar un programa como File Recover de PC Tools. File Recover guarda los
archivos eliminados que, en caso de no hacerlo, no pueden ser recuperados por
sistema operativo Windows.
¿Quiere ahorrarse tiempo buscando los archivos de Ardamax
Keylogger 2.71? Descargue el escáner de spyware gratuito de Spyware Doctor,
deje que el software busque los archivos de Ardamax Keylogger 2.71 por usted, y
luego elimine los archivos de Ardamax Keylogger 2.71 de forma manual.
Comprendiendo Ardamax Keylogger 2.71
Si usted está infectado con Ardamax Keylogger 2.71, debe
saber contra lo que está combatiendo. Le pasaré a explicar algunas definiciones
vinculadas a Ardamax Keylogger 2.71.
Ardamax Keylogger 2.71 Quizás es un keylogger
Los capturadores de pulsaciones del teclado (“key loggers” o
“keyloggers” o “keystroke loggers”) �
son software o spyware que registran cada tecla que usted presiona en su PC.
Algunos keyloggers se instalan con el objetivo de capturar nombres de usuarios
y contraseñas, sus números de cuentas bancarias, sus números de tarjetas de
crédito, etc. Algunos keyloggers pueden capturar imágenes de su pantalla y de
su actividad, mirar mails o chats, y más. A veces los keyloggers son instalados
en forma legítima con el fin de monitorear la actividad de un empleado o de un
niño. Aun cuando los keyloggers son instalados sin propósitos maliciosos, estos
trabajan en forma secreta, sin que usted lo sepa.
Debido a los métodos de ocultamiento utilizados por los
keyloggers, aún cuando son instalados sin propósitos maliciosos, pueden poner
en riesgo su información personal y financiera. Es una buena idea eliminar
Ardamax Keylogger 2.71 y otros keyloggers.
Algunos keyloggers también caen en la categoría de spyware.
Spyware es todo software o malware (“software malicioso”) utilizado para espiar
o rastrear la actividad de su computadora. Aunque en algunas ocasiones el
spyware puede ser instalado en forma legítima e intencional por padres o
empleadores para monitorear la actividad en Internet de una computadora,
también puede ser instalado con fines maliciosos. Con frecuencia el spyware
viene junto a descargas de software gratuito o como cookie de un sitio web.
Este spyware puede rastrear su actividad en Internet o robar nombres y
contraseñas de cuentas secretas, números de tarjetas de crédito, y otra
información personal o financiera.
Prevención contra los keyloggers
Los caminos para prevenir la captura de pulsaciones de
teclas (keylogging) de su computadora no son sencillos. La mejor manera de
evitar esta forma de ser espiado es utilizar el sentido común y aplicar algunos
métodos de prevención contra keyloggers que mencionaremos a continuación.
- Utilice
Software Anti-Spyware: La mayoría del software anti-spyware detecta y
elimina keyloggers, tanto si son comerciales o no. Es siempre recomendable
utilizar regularmente software anti-spyware para monitorear su sistema por
la eventual presencia de keyloggers y otros spyware.
- Utilice
Cortafuegos (firewall): Utilizar un firewall puede ayudarlo a proteger
su computadora y protegerse usted de los keyloggers que se diseminan
maliciosamente por medio de gusanos (worms), virus y troyanos.
- Monitoree
los Programas que Ejecuta su Computadora: Más allá de la motivación de
prevenir los keyloggers, siempre mire cuáles qué programas están
instalados en su PC y cuáles se ejecutan regularmente. Si su computadora
está localizada en un área de fácil acceso para otras personas, mire los
dispositivos conectados a sus puertos USB. Los keyloggers se instalan
fácilmente por esta vía.
- Utilice
un Monitor de Red: Un monitor de red le avisará cada vez que una
aplicación en su PC intente conectarse a Internet. De esta manera puede
evitar el contacto entre el keylogger y el agresor anónimo y que el
keylogger le envíe al agresor su información personal.
- Formularios
AutoCompletar: Los Formularios Autocompletar (Automatic Form fillers),
entre ellos los que integran su navegador web, pueden ayudarlo a prevenir
los daños del keylogging, ya que los programas le permitirán tener acceso
a cuentas sensibles sin necesidad de tipear la información de usuario.
Para que esto funcione, usted creará contraseñas que sean invisibles a la
captura las pulsaciones de teclas y de imágenes en pantalla.
- Teclados
basados en web o en pantalla: Los teclados en pantalla, que
mayormente son utilizados por sitios financieros, pueden ayudarlo a
protegerse de que los capturadores de teclas le roben su nombre de usuario
y contraseñas. En los teclados basados en web usted utiliza el mouse para
hacer clic y “tipear” una contraseña en un teclado en pantalla. Aún así,
un keylogger con una función de fotografiado de pantalla muy rápida, puede
capturar esta información.
Si utiliza los métodos anteriormente descriptos podrá
protegerse contra los keyloggers, pero los keyloggers con casi imposibles de
detectar. Seguramente usted quiera escanear regularmente keyloggers en su PC,
en especial si comparte la computadora o si se encuentra en un lugar al que
acceden otras personas.
)
