W32/Darby.NAA. Gusano con mensajes en españolNombre: W32/Darby.NAA
Nombre Nod32: Win32/Darby.NAA
Tipo: Gusano de Internet
Alias: Darby.NAA, W32/Darby.gen, Win32/Darby.NA
Plataforma: Windows 32-bit
Tamaño: 127,740 (ZIP), 140,982 bytes (UPX)
Gusano que se propaga por correo electrónico, redes P2P y canales de IRC a través del mIRC.
Es una variante del Darby.M, ligeramente modificada para eludir la detección de algunos antivirus.
Vea la descripción completa en el siguiente enlace:
W32/Darby.M. Gusano con mensajes en español
http://www.vsantivirus.com/darby-m.htmMás información:
http://www.vsantivirus.com/darby-naa.htmW32/Darby.O. Gusano con mensajes en españolNombre: W32/Darby.O
Nombre Nod32: Win32/Darby.O
Tipo: Gusano de Internet
Alias: Darby.O, Worm.P2P.Darby.o, W32/Darby.gen, Win32/Darby.O
Plataforma: Windows 32-bit
Tamaño: 127,740 (ZIP), 140,982 bytes (UPX)
Gusano que se propaga por correo electrónico, redes P2P y canales de IRC a través del mIRC.
Es una variante del Darby.M, ligeramente modificada para eludir la detección de algunos antivirus.
Vea la descripción completa en el siguiente enlace:
W32/Darby.M. Gusano con mensajes en español
http://www.vsantivirus.com/darby-m.htmMás información:
http://www.vsantivirus.com/darby-o.htmW32/Darby.N. Gusano con mensajes en españolNombre: W32/Darby.N
Nombre Nod32: Win32/Darby.N
Tipo: Gusano de Internet
Alias: Darby.N, Worm.P2P.Darby.n, W32/Darby.gen, Win32/Darby.N
Plataforma: Windows 32-bit
Tamaño: 127,740 (ZIP), 140,982 bytes (UPX)
Gusano que se propaga por correo electrónico, redes P2P y canales de IRC a través del mIRC.
Es una variante del Darby.M, ligeramente modificada para eludir la detección de algunos antivirus.
Vea la descripción completa en el siguiente enlace:
W32/Darby.M. Gusano con mensajes en español
http://www.vsantivirus.com/darby-m.htmMás información:
http://www.vsantivirus.com/darby-n.htm(Revisar este enlace donde la información es más completa http://www.daboweb.com/phpBB2/viewtopic.php?t=7942)W32/Nemsi.A. Infecta archivos .EXE, intenta borrar MBRNombre: W32/Nemsi.A
Nombre Nod32: Win32/Nemsi.A
Tipo: Virus
Alias: Nemsi.A, HLL.Nemesis.A, TROJ_NEMSI.A, W32.HLLP.Emesix, W32/Nemsi.gen, W32/Nemsi-A, Win32.Nemsi, Win32.Nemsi.A, Win32/HLLP.Nemsi.A, Win32/Nemsi, Win32/Nemsi.A, Win32:Nemsi, W32/Nemsi.A
Plataforma: Windows 32-bit
Tamaño: 32,768 bytes, 28,686 bytes
Este virus es detectado desde noviembre de 2003, pero ha sido reportado recientemente por algunos usuarios.
Aunque no tiene capacidad de propagarse a través de Internet por si mismo, puede llegar a nuestro PC al ser copiado manualmente en el sistema. Tenga en cuenta que cualquier archivo previamente infectado, podría ser enviado en forma premeditada o por accidente, en un correo electrónico, o descargado desde un sitio web o redes P2P.
Cuando se ejecuta se copia en la siguiente ubicación:
c:\windows\explorer6.exe
Modifica el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
explorer = c:\windows\explorer6.exe
Si un archivo infectado se ejecuta un 13 de setiembre de cualquier año, el virus intenta borrar el Master Boot Record de la unidad C, pero falla en su intento, provocando solo un error de excepción (pantalla azul de la muerte), debiéndose reiniciar el equipo.
El virus intenta quitar cualquier programa que incluya las cadenas "VIRUS" o "Registry Editor" en su ventana.
También intenta borrar los siguientes archivos:
c:\autoexec.bat
c:\boot.ini
c:\config.sys
c:\io.sys
El icono de los archivos .EXE infectados, puede ser cambiado por el que se muestra en la siguiente imagen:
Más información:
http://www.vsantivirus.com/nemsi-a.htmW32/Pikis.C. Se propaga por e-mail, finaliza antivirusNombre: W32/Pikis.C
Nombre Nod32: Win32/Pikis.C
Tipo: Gusano de Internet
Alias: Pikis.C, Win32/Pikis.C, W32/Pikis-B, I-Worm.Pikis.c, W32/Pikis!p2p
Plataforma: Windows 32-bit
Este gusano se propaga por correo electrónico, enviándose a todos los contactos de la libreta de direcciones del usuario infectado.
Los mensajes poseen estas características:
De: [una de las siguientes direcciones falsas]
85laker @ list.ru
aleksey_lopatin @ mail.ru
Alex_mist @ mail.ru
antiwormx @ mail.ru
dan-1 @ mail.ru
ded120 @ mal.ru
forsv @ inbox.ru
kit75 @ mail.ru
lehab_2003 @ mail.ru
mitjavp @ mail.ru
s_sten @ mail.ru
sergey_grand @ mail.ru
ske2 @ mail.ru
suslov67 @ bk.ru
umount77 @ mail.ru
VGDD @ mail.ru
yp @ bk.ru
Asunto: [uno de los siguientes]
Cracks
Forum
Hello
Texto del mensaje: [alguno de los siguientes]
[caracteres sin sentido]
http:/ /www .crack .ru or http:/ /www .xakep .ru
You Password: TreWQWQ90 Login:Trast666
For access install package. Enjoy!
http:/ /www .haker .com
Access Denied!!!
Please enter password:JJJK56RtE and install
package upgrade!
http:/ /www .haker .com Enjoy.
Datos adjuntos: [alguno de los siguientes]
crack.exe
crack_setup.exe
GetAdmin.exe
Setup.exe
Al ejecutarse, el gusano muestra uno de los siguientes mensajes:
-Install Crack for WindowsXP Sp2 99.006.34?
-Not found package WindowsXP Sp2!
El gusano crea los siguientes archivos en la carpeta del sistema de Windows:
c:\windows\system\crack_bat.exe
c:\windows\system\fttp.exe
c:\windows\system\iq.dat
c:\windows\system\kipish1.dat
c:\windows\system\kipish2.dat
c:\windows\system\kipish3.dat
c:\windows\system\systems.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Para ejecutarse en cada inicio del sistema (Windows NT, 2000 y XP), crea las siguientes entradas en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = Explorer.exe systems.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot
shell = progman.exe systems.exe
Modifica o crea las siguientes entradas en el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions
.asm = fttp.exe ^.asm
.bas = fttp.exe ^.bas
.c = fttp.exe ^.c
.cpp = fttp.exe ^.cpp
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = 1
Agrega la siguiente línea dentro del archivo "SYSTEM.INI" para ejecutarse en cada inicio del sistema (Windows 95, 98 y Me):
[boot]
shell = Explorer.exe systems.exe
El gusano realiza un ataque de denegación de servicio al siguiente sitio:
http:/ /www .ufacom .ru
Es capaz de finalizar los siguientes procesos de conocidos antivirus y aplicaciones de seguridad:
atupdater.exe
avp.exe
blackice.exe
drweb32.exe
frw.exe
guard.exe
kav.exe
mcupdate.exe
netstat.exe
nprotect.exe
outpost.exe
sphinx.exe
spyxx.exe
t ds-3.exe
taumon.exe
update.exe
vsstat.exe
webscanx.exe
zonealarm.exe
Más información:
http://www.vsantivirus.com/pikis-c.htm
