W32/Opanki.C. Se propaga por AIM MessengerNombre: W32/Opanki.C
Nombre NOD32: Win32/Opanki.C
Tipo: Gusano de Internet y caballo de Troya
Alias: Opanki.C, IM-Worm.Win32.Opanki.B, IM-Worm.Win32.Opanki.b, W32.Allim, W32.Allim.A, W32/Opanki.B-net, W32/Opanki.worm.gen, Win32.HLLW.Aimal, Win32.Worm.Opanki.I, Win32/Opanki.C, Worm.Opanki.A, Worm/Opanki.A
Plataforma: Windows 32-bit
Tamaño: 23,552 bytes
Gusano que se propaga a través del America Online Instant Messenger (AIM), y libera una versión de la familia de troyanos Spybot, que puede comprometer la seguridad del sistema infectado.
Cuando se ejecuta, envía el siguiente mensaje a todos los contactos del AIM:
hey check out this!
El texto contiene un enlace (en la palabra "this!"), a la siguiente dirección:
http:/ /adw????eo.com/gallery/pictures.php
Si el usuario sigue ese enlace, descarga un archivo con un nombre similar a una dirección de correo. Si ese archivo se ejecuta (doble clic), se produce la infección con una variante del troyano Spybot.
Cuando ello ocurre, el troyano crea la siguiente copia de si mismo en el sistema:
c:\windows\system32\[nombre del gusano].exe
También crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "[nombre del gusano].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = "[nombre del gusano].exe"
HKLM\SOFTWARE\Microsoft\OLE
[nombre al azar] = "[nombre del gusano].exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "[nombre del gusano].exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = "[nombre del gusano].exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
[nombre al azar] = "[nombre del gusano].exe"
Además crea o modifica las siguientes entradas, para deshabilitar las herramientas de edición del registro (REGEDIT) y el Administrador de Tareas de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "0x31"
DisableTaskMgr = "0x31"
El troyano puede realizar las siguientes acciones:
Abrir una puerta trasera en el equipo infectado, permitiendo a un atacante acceder al sistema.
Finalizar procesos y servicios activos seleccionados por el atacante.
Convertir al PC en un repetidor o en un proxy, para el reenvío de spam, etc.
Reparación antivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Descargue el archivo indicado en el siguiente enlace:
http://www.videosoft.net.uy/restore.reg 2. Reinicie Windows en modo a prueba de fallos
3. Haga doble clic sobre el archivo descargado antes.
4. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
5. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\OLE
7. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
11. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
13. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/opanki-c.htm
