Opanki.AF a AS. Usa AIM Messenger, ejecuta troyanoNombres: Opanki.AF, Opanki.AG, Opanki.AH, Opanki.AI, Opanki.AJ, Opanki.AK, Opanki.AL, Opanki.AM, Opanki.AN, Opanki.AO, Opanki.AP, Opanki.AQ, Opanki.AR, Opanki.AS
Nombres NOD32: Win32/Opanki.AF, Win32/Opanki.AG, Win32/Opanki.AH, Win32/Opanki.AI, Win32/Opanki.AJ, Win32/Opanki.AK, Win32/Opanki.AL, Win32/Opanki.AM, Win32/Opanki.AN, Win32/Opanki.AO, Win32/Opanki.AP, Win32/Opanki.AQ, Win32/Opanki.AR, Win32/Opanki.AS
Tipo: Gusano de Internet y caballo de Troya
Alias: Opanki.AF, Opanki.AG, Opanki.AH, Opanki.AI, Opanki.AJ, Opanki.AK, Opanki.AL, Opanki.AM, Opanki.AN, Opanki.AO, Opanki.AP, Opanki.AQ, Opanki.AR, Opanki.AS, BackDoor.Oscar, BehavesLike:Win32.FileInfector, Heuristic/Trojan.Downloader, W32/Backdoor, W32/Opanki.worm.gen, W32/Sdbot-Fam, Win32/Opanki.AF, Win32/Opanki.AG, Win32/Opanki.AH, Win32/Opanki.AI, Win32/Opanki.AJ, Win32/Opanki.AK, Win32/Opanki.AL, Win32/Opanki.AM, Win32/Opanki.AN, Win32/Opanki.AO, Win32/Opanki.AP, Win32/Opanki.AQ, Win32/Opanki.AR, Win32/Opanki.AS
Plataforma: Windows 32-bit
Tamaño: 9 a 10 KB aprox.
Gusano que se propaga a través del America Online Instant Messenger (AIM), y libera una versión de la familia de troyanos Spybot, que puede comprometer la seguridad del sistema infectado.
Cuando se ejecuta, envía un mensaje a todos los contactos del AIM.
El texto contiene un enlace. Si el usuario sigue dicho enlace, descarga un archivo con un nombre similar a una dirección de correo. Si ese archivo se ejecuta (doble clic), se produce la infección con una variante del troyano Spybot.
Cuando ello ocurre, el troyano se copia en la carpeta de Windows:
c:\windows\[nombre del ejecutable]
También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[valor] = "c:\windows\[nombre del ejecutable]"
Además crea o modifica las siguientes entradas, para deshabilitar las herramientas de edición del registro (REGEDIT) y el Administrador de Tareas de Windows:
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "0x31"
DisableTaskMgr = "0x31"
Se conecta a un servidor de IRC predeterminado, a través del puerto TCP 6667.
El troyano puede realizar las siguientes acciones:
Abrir una puerta trasera en el equipo infectado, permitiendo a un atacante acceder al sistema.
Finalizar procesos y servicios activos seleccionados por el atacante.
Convertir al PC en un repetidor o en un proxy, para el reenvío de spam, etc.
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Descargue el archivo indicado en el siguiente enlace:
http://www.videosoft.net.uy/restore.reg 2. Reinicie Windows en modo a prueba de fallos
3. Haga doble clic sobre el archivo descargado antes y acepte los cambios.
4. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
5. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
6. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 5 del ítem "Antivirus".
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/opanki-af-as.htm
