Resulta que segun cuenta la leyenda, el año pasado salió un virus el cual se enfocaba a robar informacion de algun banco brasileiro.
Pues este virus, alguien lo modifico para robar informacion de www.bancomer.com.mx ya que al ingresar al huesped (una PC, claro) crea un archivo en los temporales (%temp%), el cual se genera con un nombre de 3 numeros, por ejemplo: 066.exe, 007.exe, 606.exe, etc.
Este archivo creado en los temporales, modifica nuestro hosts de la siguiente manera:
148.244.43.5 www.bancomer.com.mx
148.244.43.5 www.bancomer.com
148.244.43.5 bancomer.com
148.244.43.5 bancomer.com.mx
192.193.230.100 www.banamex.com
192.193.230.100 www.banamex.com.mx
192.193.230.100 banamex.com.mx
192.193.230.100 bancanetempresarial.banamex.com.mx
192.193.230.100 boveda.banamex.com
192.193.230.100 www.bancanetempresarial.banamex.com.mx
192.193.230.100 www.boveda.banamex.com
Segun, alerta-antivirus.inteco.es, este virus es capaz de captar pulsaciones en el teclado y hasta realizar caputras de imagenes .
Pues, les evitaré la odisea que pase para encontrar el virus y he aqui como lo borre:
- Eliminar los temporales que genera (los numericos: 077.exe, 892.exe, etc)
- Eliminar el ejecutable glps.exe
- Eliminar La clave de registro
Inicio --> Ejecutar --> %temp%
si, por alguna razon, dice que el archivo se esta ejecutando y no se puede eliminar, hay que hacer lo siguiente.
inicio --> ejecutar --> taskkill /F /IM nombredelarchivo.exe
Ahora si hay que elimnarlo.
abrimos la linea de comando:
Inicio --> Ejecutar --> CMD
Eliminamos el proceso explorer.exe (dentro de la liena de comando)
taskkill /F /IM explorer.exe
Eliminamos la carpeta Recycler (Dentro de la linea de comando)
nos dirigimos a la raiz
cd\
Borramos la carpeta
rd /S /Q Recycler
Inicio --> Ejecutar --> regedit
Buscamos
Hkey_local_machine\Software\microsoft\windows NT\currentversion\winlogon
Eliminamos:
taskman
Una vez hecho esto, ya podemos modificar nuestro hosts (C:\windows\system32\drivers\etc\hosts) con el valor por default:
127.0.0.1 Localhost
