IRC/SdBot.CPL. Se copia como "wupdmgr32.exe"Nombre: IRC/SdBot.CPL
Nombre NOD32: IRC/SdBot.CPL
Tipo: Gusano de Internet y caballo de Troya
Alias: SdBot.CPL, Backdoor.Sdbot.AH, W32/Sdbot.worm.gen.h, IRC/BackDoor.SdBot, Backdoor.SdBot.gen, Backdoor.SDBot.Gen, Win32.IRC.Bot.based, IRC-Sdbot, Backdoor.Sdbot, BKDR_SDBOT.GEN, Backdoor:IRC/SdBot, W32/Sdbot-Fam
Plataforma: Windows 32-bit
Tamaño: variable
Puerto: TCP 4191
Gusano que se propaga por recursos compartidos de redes, y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\wupdmgr32.exe
Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Update Manager for NT = "wupdmgr32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Windows Update Manager for NT = "wupdmgr32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Update Manager for NT = "wupdmgr32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Windows Update Manager for NT = "wupdmgr32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Update Manager for NT = "wupdmgr32.exe"
También agrega las siguientes entradas:
HKLM\SOFTWARE\Microsoft\OLE
EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.
Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo:
c$\wupdmgr32.exe
c$\winnt\system32\wupdmgr32.exe
Admin$\system32\wupdmgr32.exe
Posee un componente de acceso por puerta trasera (backdoor), que intenta conectarse a servidores de IRC por el puerto TCP 4191 y unirse a un canal predeterminado. Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática.
Algunas acciones posibles:
Auto actualizarse
Capturar imágenes de webcams
Capturas de pantalla
Conectarse a una URL determinada
Descargar y ejecutar archivos
Enviar archivos
Enviar pulsaciones de teclado a la ventana activa
Escanear puertos de otras computadoras
Iniciar un servidor HTTP
Matar procesos e hilos de ejecución
Obtener información del sistema
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Robar el caché de contraseñas en Windows 95, 98 y ME
También roba la información de registro (CD-Keys), de los siguientes juegos:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike
Chrome
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Software\Activision\Soldier of Fortune II - Double Helix
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Reparación
Deshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus* En Windows 95/98/Me/NT/20001. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
WUPDMGR32.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
* En Windows XP1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:
WUPDMGR32.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Update Manager for NT
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Update Manager for NT
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Update Manager for NT
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
9. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Update Manager for NT
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
11. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Update Manager for NT
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\OLE
13. Cambie el valor "N" en EnableDCOM por "Y"
14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
15. Cambie el valor "dword:00000001" en restrictanonymous por "dword:00000000"
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/irc-sdbot-cpl.htmW32/Yanz.B. Hace referencia a la cantante Sun Yan ZiNombre: W32/Yanz.B
Tipo: Gusano de Internet
Alias: Yanz.B, Win32/Yanz.B, W32/Yanz.b@MM, W32/Favsin-A
Plataforma: Windows 32-bit
Tamaño: 122,880 bytes
Gusano escrito en Visual C++ 6.0, que se propaga en mensajes variables, enviados a direcciones obtenidas de diferentes archivos de la máquina infectada y de la libreta de direcciones.
También se envía a través de redes P2P. Tanto los mensajes como los archivos compartidos, hacen referencia a la cantante china Sun Yan Zi.
Los mensajes enviados poseen las siguientes características:
De: [nombre]+[dominio]
Donde [nombre] es uno de los siguientes:
Guvenlik
Stephan-YanZi
Sun_YanZi
SunYanZi
Sun-YanZi
YanZi
YanZi-SuN
Y [dominio] es el mismo del destinatario.
Asunto: [uno de los siguientes]
- Asia_Singer
- Forever Sun Yanzi
- Great_Asia_Singer
- Hoscakal
- Huai_Tian_Qi
- I_hate_Spyware
- Stefanie Sun Yanzi
- Sun_Yan_Zi
- Sun_YanZi
- Sun_YanZi_Hayrani
- Sun_YanZi_HayranI
- SuN_YanZi_innocent
- Sun_Yanzi_Mp3
- Sun-YanZi
- Sun-YanZi-Mp3-Archive
- World_Tour_Sun_YanZi
Texto del mensaje: [uno de los siguientes]
I can not contact you. Because, I am far to you
(Turkiye)
I want to meet Sun YanZi. I am loving Sun-YanZi's
Magic. Call me YanZi. But you don't contact me
(Turkiye).
I want to see Sun YanZi. Call me Sun Yan Zi ;)
My Favourite Singer is Stefanie Sun Yanzi
Please listen to me Stefanie Sun Yanzi.
You must to listen Sun Yanzi. I am enjoying to listen
Sun YanZi.
Datos adjuntos: [uno de los siguientes nombres]
Dong_Shi.???
Great_Asia_Singer.???
Huai_Tian_Qi.???
Sun_Yan_Zi-Shen_Qi.mp3.???
Sun_YanZi.???
Sun_YanZI.???
Sun_Yanzi_Mp3.???
World_Tour_Sun_YanZi.???
Yanzi.???
Donde "???" puede ser alguna de las siguientes extensiones:
.exe
.htm
.pif
.scr
.zip
La computadora se infecta cuando se ejecuta el adjunto. Cuando ello sucede, el gusano crea las siguientes copias de si mismo, en la carpeta del sistema de Windows:
c:\windows\system\nvcpl.exe
c:\windows\system\dong_shi.exe
También crea los siguientes archivos:
\yanzi.vbs
\TEMP\sun??.jpg
\TEMP\sun??.tmp
Donde "??" son dígitos (crea varios archivos .JPG y .TMP)
El archivo .VBS crea y ejecuta un archivo SUN.EXE, el cuál se usa para desplegar en pantalla una de las imágenes .JPG mencionadas.
El gusano muestra una ventana con el siguiente texto:
Modifica el registro de Windows para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NvCpl = c:\windows\system\nvcpl.exe
El gusano busca direcciones para enviarse de archivos con las siguientes extensiones:
.adb
.asp
.dbx
.doc
.htm
.html
.jsp
.rtf
.txt
.xml
También se envía a todos los contactos de la libreta de direcciones de Windows. Utiliza para enviarse, su propio motor SMTP.
Evita enviarse a direcciones que contengan cualquiera de las siguientes cadenas de texto:
@aksam
@dostmail
@e-kolay
@erdemir
@erdemironline
@hurriyetim
@milliyet
@mynet
@ntvmsnbc
@posta
@sabah
@superonline
También se copia con los siguientes nombres en aquellas carpetas cuyo nombre contenga la cadena "SHAR" (esto incluye las carpetas compartidas de aplicaciones P2P como Kazaa, Kazaa Lite, BearShare, eDonkey2000, ICQ, Kmd, Limewire y Shareaza):
Sun_YanZi-Huai_Tian_Qi.mpg.exe
Sun_YanZi-I_am_not_sad.mp3.exe
Sun_YanZi-Leave_me_alone.mp3.exe
Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe
Sun_YanZi-Shen_Qi.exe
Sun_YanZi-Tao_Wang.mpeg.exe
SunYanZi.mp3.exe
YanZi.Mp3.exe
YanZi_SuN-forever.mp3.exe
Intenta finalizar los procesos relacionados con el editor del registro (REGEDIT.EXE), y con la utilidad de configuración del sistema (MSCONFIG.EXE).
Reparación
Deshabilitar las carpetas compartidas de programas P2PEs necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\nvcpl.exe
c:\windows\system\dong_shi.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
NvCpl
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/yanz-b.htmW32/Pawur.A (Tasin). Se propaga con mensajes en españolNombre: W32/Pawur.A (Tasin)
Nombre NOD32: Win32/Pawur.A
Tipo: Gusano de Internet
Alias: Pawur.A, Tasin.A, Anzae, I-Worm.Pawur.A, I-Worm.Pawur.a, I-Worm.VB.w, I-Worm/Pawur.A, NewHeur_PE, W32.Inzae.A, W32/Anzae.Worm, W32/Tasin.A.worm, Win32/Inzae.A.Dropper, Win32/Pawur.A, WORM_ANZAE.A, W32/Anzae-A
Plataforma: Windows 32-bit
Tamaño: 49,331 bytes
Gusano que se propaga a través del correo electrónico con mensajes en español, utilizando su propio motor SMTP.
Cuando se ejecuta, es notoria la caída del rendimiento del sistema infectado. El gusano es capaz de borrar archivos, lo que puede afectar el funcionamiento del equipo.
Se propaga en mensajes con las siguientes características:
Asunto: [uno de los siguientes]
re:Amor verdadero
re:Como el aire...
re:Crees que puede ser verdad?
re:Déjate de rollos y vivé!!!
re:Eso con queso rima con...xD
re:La Luna
re:Neptuno y Mercurio
re:Pisología
re:Voodoo un tanto ps...
re:xD no me lo puedo creer!!
Texto del mensaje: [uno de los siguientes]
Crees en el amor de verdad?,miralo y ya
hablamos,ciaooo
Esa moribunda y solitaria Luna,Impresionante!chao.
Mira lo que te mando y ya verás que los detalles mas
pequeños son los que importan,ciaoo
No comment,xDD,Nos vemos!!
No veas que cosas xD,luego me cuentas,chao.
Qué relación tienen estos planetas?,miralo y luego me
cuentas,chao.
Renvíalo a todo que es que se meannn xD,nos vemos!
Será cierta la magia negra?,sal de dudas y ya me
cuentas,chao.
Test para ver si andas bien de las neuronassss!
xD,luego hablamos, chao
Ver es creer!!!!chaoo.
Datos adjuntos: [varios, con nombres y extensiones variables]
Posibles nombres:
d-incógnito
el_rechazo
love_sun
love-me
moon(luna)
my life(mi vida)
para-brisas
planetario
psíquico-mix
rimaz
stephan_yanzi
sun_yanzi
sun_yanzi_mp3
sunyanzi
voodoo!
Posibles extensiones:
.cmd
.pif
.scr
.zip
La infección se produce solo si el usuario abre y ejecuta el adjunto con un doble clic.
Si ello ocurre y el gusano se ejecuta, la primera vez que lo hace, se muestran varias ventanas con los siguientes textos:
Wolas
Pulse aceptar para seguir...
[ Aceptar ]
Intro
Este juego solo trata de responder unas preguntas...Y
si se aciertan todas...Pues ustd se llevará el premio
xDDD. Pulse aceptar
[ Aceptar ]
Final..
Ya casi estamos listos para empezar si usted lo está
pulse aceptar...
[ Aceptar ]
Te jodes y cayao
Ahora por tonto contemos hasta 50 porque a mi me da la
GANA !!! QUE PAISA?
[ Aceptar ]
Y toma y dale y mas de lo mismo xDDD
Todos Juntos:>0
[ Aceptar ]
Repite esta ventana cambiando el contador hasta 16:
Y toma y dale y mas de lo mismo xDDD
Todos Juntos:>16
[ Aceptar ]
JURJUR
No te pongas nervioso, vale?
[ Aceptar ]
Y toma y dale y mas de lo mismo xDDD
Todos Juntos:>21
[ Aceptar ]
Repite esta ventana cambiando el contador hasta 50:
Y toma y dale y mas de lo mismo xDDD
Todos Juntos:>50
[ Aceptar ]
Vamos Pues...
Y ya se acabó, ahora si que empezó el juego....
[ Aceptar ]
Finalmente, muestra una pantalla totalmente blanca, que muestra únicamente el siguiente texto en letras grises:
Pulse CONTROL + 0 + 8 + N + 6 PARA PASAR VER LAS FOTOS
SIGUIENTES...
El sistema deja de responder a cualquier combinación de teclas (menos CTRL+ALT+SUPR).
En este punto, el gusano crea una tarea llamada PEGOTE (muestra el icono de un CD musical), y un proceso cuyo nombre de imagen es INZAX.EXE. En Windows XP, si el usuario pulsa CTRL+ALT+SUPR, puede matar el proceso creado por el gusano.
Los siguientes archivos pueden ser creados en el sistema:
c:\windows\system32\svchosl.pif
c:\windows\system32\m.zip
Dichos archivos son copias del propio gusano.
También crea los siguientes archivos:
c:\windows\system32\inzax.exe
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe
INZAX.EXE es el programa que muestra las ventanas de mensajes descriptos antes, y los tres restantes son utilizados por la rutina de propagación via correo electrónico, tarea para la cuál utiliza su propio motor SMTP.
También crea los siguientes archivos:
X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\ph003.pif
X:\rd2_roberto.pif
X:\simbolic3.pif
X:\sin_mas_menos.pif
Donde "X" es una de las siguientes unidades de disco (o aquellas que existan):
c:\
d:\
e:\
f:\
Para ejecutarse en próximos reinicios, el gusano crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif
El gusano intenta establecer una conexión HTTP con el siguiente sitio, desde donde intenta descargar otros archivos:
www .ecija .org
El código del gusano contiene el siguiente texto:
-Worm by cUk- : -name Paula- : -version a- : -Date 01/11/04- : -Made in Spanish-:
Reparación
IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos borrados, dependerá del daño causado por el gusano desde el momento de ocurrida la infección.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\inzax.exe
c:\windows\system32\m.zip
c:\windows\system32\svchosl.pif
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe
X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\ph003.pif
X:\rd2_roberto.pif
X:\simbolic3.pif
X:\sin_mas_menos.pif
Donde "X" es una de las siguientes unidades de disco (o aquellas que existan):
c:\
d:\
e:\
f:\
IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SVCHOST.EXE, ya que es un archivo legítimo de Windows.Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Svchost = c:\windows\system32\svchosl.pif
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Jupdate Troyano/puerta_trasera que permite a un atacante remoto la descarga y ejecución de ficheros en el equipo infectado.
También posee la capacidad de detener la ejecución de procesos pertenecientes a aplicaciones antivirus y de seguridad informática, lo que deja al equipo expuesto frente a otras amenazas.
Nombre completo: Backdoor.W32/Jupdate
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 47616
Alias:Backdoor.Jupdate (Symantec), BackDoor-CLH (McAfee)
Cuando Backdoor.W32/Jupdate es ejecutado, realiza las siguientes acciones:
Se copia a sí mismo con un nombre formado por entre 4 y 8 caracteres aleatorios en minúsculas, en:
%System%\[- nombre aleatorio -].exe
%System%\[- nombre aleatorio -].dat (fichero de texto)
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "JavaUpdate0.07"="%system%\[- nombre del fichero -]"
Intenta detener la ejecución de los siguientes procesos pertenecientes a programas antivirus y de seguridad informática:
ccapp.exe
smc.exe
zlclient.exe
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
AVP32.EXE
Permanece a la escucha a través de un puerto TCP aleatorio en espera de recibir comandos procedentes de un atacante remoto. Esto permitiría al intruso realizar la descarga y ejecución de ficheros en el equipo infectado.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4490Vundo Troyano formado por varios componentes dedicados principalmente a descargar ficheros y a mostrar al usuario afectado ventanas emergentes de contenido publicitario.
Puede llegar al equipo al visitar cierto sitio web cuyo enlace se está difunciendo por correo electrónico en forma de spam.
Nombre completo: Trojan.W32/Vundo
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 2560
Alias:Trojan.Vundo (Symantec), Vundo.dldr (McAfee)
Trojan.W32/Vundo consta de 4 componentes:
Un código HTML que aprovecha la vulnerabilidad "Microsoft Internet Explorer Malformed IFRAME Remote Buffer Overflow", descrita por SecurityFocus.
Un componente descargador de ficheros.
Componente publicitario.
Un módulo DLL instalado por el componente publicitario.
El código HTML aprovecha la vulnerabilidad descrita, e intenta descargar el fichero ejecutable C:\bla.exe desde la dirección 83.149.86.132. Este es el componente descargador de ficheros.
Una vez que el troyano es ejecutado, realiza las siguientes acciones:
Crea un fichero .exe cuyo nombre es construido utilizando las siguientes cadenas de caracteres:
abr
av
anti
ac
acc
ad
ap
as
bin
bas
bak
cab
cat
cmd
com
cr
c
drv
db
disk
dll
dns
dos
doc
dvd
eula
exp
fax
font
ftp
hard
iis
img
inet
info
ip
java
kb
key
lib
log
main
ms
mc
mfc
mp3
msvc
net
nut
odbc
ole
pc
ps
play
ras
reg
run
sys
srv
svr
svc
s
tapi
tcp
task
un
url
util
vb
vga
vss
xml
wave
web
w
win
wms
Guarda y ejecuta el fichero anterior en cualquiera de los siguientes directorios:
%Windir%\addins\
%Windir%\AppPatch\
%Windir%\assembly\
%Windir%\Config\
%Windir%\Cursors\
%Windir%\Driver Cache\
%Windir%\Drivers\
%Windir%\Fonts\
%Windir%\Help\
%Windir%\inf\
%Windir%\java\
%Windir%\Microsoft.NET\
%Windir%\msagent\
%Windir%\Registration\
%Windir%\repair\
%Windir%\security\
%Windir%\ServicePackFiles\
%Windir%\Speech\
%Windir%\system\
%Windir%\system32\
%Windir%\Tasks\
%Windir%\Web\
%Windir%\Windows Update Setup Files\
%Windir%\Microsoft\
Elimina el valor indicado de la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
Valor: "*MS Setup"
Añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
Valor: "*WinLogon = "- ruta completa al troyano - ren time:- número aleatorio -"
Crea la siguiente clave en el del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ActiveState
Intenta descargar y ejecutar un fichero del dominio http: //62.4.84.41.
El fichero descargado es el módulo publicitario con un componente DLL embebido.
Guarda la DLL embebida como %Temp%\- nombre_del_troyano_al_reves -.dat.
Inyecta la DLL embebida en varios procesos en ejecución.
Crea los siguientes ficheros temporales, sin contenido malicioso:
- nombre_del_troyano_al_reves -.bak1
- nombre_del_troyano_al_reves -.bak2
- nombre_del_troyano_al_reves -.ini
Añade el valor indicado a las siguientes claves del registro de Windows:
Claves: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID
Valor: "[- Valor por defecto -]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
Añade el valor indicado a la siguiente claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Valor: "*[nombre_del_troyano]" = "[ruta_absoluta_del_troyano]" rerun"
Crea las siguientes entradas en el registro de Windows:
Claves: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
Muestra mensajes publicitarios en el equipo infectado.
Reinicia el componente publicitario en caso de que el troyano detecte que la ejecución del componente ha sido detenida.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4489Gynamed Virus que infecta ficheros JScript.
Los archivos afectados son encriptados junto con el código del virus, aunque no dejan de funcionar adecuadamente.
Nombre completo: Virus.JS/Gynamed
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [JS] - JavaScript
Alias:JS.Gynamed (Symantec)
Cuando Virus.JS/Gynamed es ejecutado, realiza las siguientes acciones:
Busca otros ficheros JScript para infectar, examinando la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
\OpenSaveMRU\js\MRUList
Añade su propio código al fichero encontrado en la clave del registro anterior.
Encripta el fichero entero, y añade una breve rutina de desciframiento.
Nota: Los ficheros infectados siguen ejecutándose de forma correcta.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4488
