Guap.C. Se propaga por Yahoo! y AOL Instant MessengerNombre: Guap.C
Nombre NOD32: Win32/Guap.C
Tipo: Gusano de Internet
Alias: Guap.C, IM-Worm.Win32.Guap.C, IM-Worm.Win32.Guap.d, I-Worm.Guap.d, NewHeur_PE, W32.Allim, W32/Guap.D-net, W32/Prex.AQ.worm, W32/Yimp-A, Win32.HLLW.Generic.158, Win32.Worm.Denn.A, Win32/Guap.C, Worm.Guap.C, Worm/Guap.C, Worm/VB.EY
Plataforma: Windows 32-bit
Tamaño: 16,384 bytes
Gusano que se propaga a través de los programas de mensajería instantánea de Yahoo! y America On Line IM.
Envía uno de los siguientes mensajes a la lista de contactos de dichos programas:
wow! me and my friends just got on my new webcam!
come watch us:
wow.. is this you?
found your picture! is this you?
haha, this girl got busted so bad..
lmao i cant stop laughing at this!
omg... this doesn't look right at all!!
this girl is crazy! go look at here
you have to take a look at this, tell me if you can open it
hey, you have to try this out... [enlace] - removes all the
spyware and viruses
check this out: [enlace] - it's live and free
omg... i think i just found a pic of you, let me know
Todos los mensajes contienen un enlace al gusano propiamente dicho.
Cuando se ejecuta, crea la siguiente copia de si mismo en el directorio del sistema de Windows:
c:\windows\system32\0penGLD.exe
Crea o modifica las siguientes entradas en el registro para autoejecutarse en cada reinicio del equipo infectado:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
OpenGL Drivers = "c:\windows\system32\0penGLD.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
OpenGL Drivers = "c:\windows\system32\0penGLD.exe"
También modifica las siguientes entradas para deshabilitar el Firewall de Windows/Conexión compartida a Internet (ICS), y la descarga e instalación de actualizaciones de Windows (Actualizaciones automáticas y Windows Update):
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "4"
Modifica el archivo HOSTS por el siguiente contenido, para evitar que el usuario pueda conectarse a los sitios aquí indicados:
127 .0 .2 .5 www .symantec .com
127 .0 .2 .5 symantec .com
127 .0 .2 .5 securityresponse .symantec .com
127 .0 .2 .5 sarc .com
127 .0 .2 .5 www .sarc .com
127 .0 .2 .5 www .sophos .com
127 .0 .2 .5 sophos .com
127 .0 .2 .5 www .mcafee .com
127 .0 .2 .5 mcafee .com
127 .0 .2 .5 liveupdate .symantecliveupdate .com
127 .0 .2 .5 www .viruslist .com
127 .0 .2 .5 viruslist .com
127 .0 .2 .5 f-secure .com
127 .0 .2 .5 www .f-secure .com
127 .0 .2 .5 f-prot .com
127 .0 .2 .5 www .f-prot .com
127 .0 .2 .5 kaspersky .com
127 .0 .2 .5 kaspersky-labs .com
127 .0 .2 .5 www .avp .com
127 .0 .2 .5 avp .com
127 .0 .2 .5 www .kaspersky .com
127 .0 .2 .5 www .networkassociates .com
127 .0 .2 .5 networkassociates .com
127 .0 .2 .5 www .ca .com
127 .0 .2 .5 ca .com
127 .0 .2 .5 mast .mcafee .com
127 .0 .2 .5 my-etrust .com
127 .0 .2 .5 www .my-etrust .com
127 .0 .2 .5 download .mcafee .com
127 .0 .2 .5 dispatch .mcafee .com
127 .0 .2 .5 secure .nai .com
127 .0 .2 .5 nai .com
127 .0 .2 .5 www .nai .com
127 .0 .2 .5 vil .nai .com
127 .0 .2 .5 update .symantec .com
127 .0 .2 .5 updates .symantec .com
127 .0 .2 .5 us .mcafee .com
127 .0 .2 .5 liveupdate .symantec .com
127 .0 .2 .5 customer .symantec .com
127 .0 .2 .5 rads .mcafee .com
127 .0 .2 .5 trendmicro .com
127 .0 .2 .5 www .trendmicro .com
127 .0 .2 .5 housecall .trendmicro .com
127 .0 .2 .5 pandasoftware .com
127 .0 .2 .5 www .pandasoftware .com
127 .0 .2 .5 www .trendmicro .com
127 .0 .2 .5 free .grisoft .com
127 .0 .2 .5 www .grisoft .com
127 .0 .2 .5 grisoft .com
127 .0 .2 .5 clamav .net
127 .0 .2 .5 www .clamav .net
127 .0 .2 .5 free-av .com
127 .0 .2 .5 www .free-av .com
127 .0 .2 .5 www .avast .com
127 .0 .2 .5 avast .com
127 .0 .2 .5 cert .org
127 .0 .2 .5 www .cert .org
127 .0 .2 .5 www .microsoft .com
127 .0 .2 .5 microsoft .com
127 .0 .2 .5 www .virustotal .com
127 .0 .2 .5 virustotal .com
127 .0 .2 .5 update .microsoft .com
127 .0 .2 .5 windowsupdate .microsoft .com
El gusano también intenta descargar un archivo de Internet.
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
7. Haga clic en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal:
Start = "2"
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\wuauserv
9. Haga clic en la carpeta "wuauserv" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal:
Start = "2"
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Restaurar archivo HOSTS1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.
6. Reinicie su computadora.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/guap-c.htm
