W32/Pawur.B. Se propaga con mensajes en españolNombre: W32/Pawur.B
Nombre NOD32: Win32/Pawur.B
Tipo: Gusano de Internet
Alias: Pawur.B, Tasin.B, Anzae.B, I-Worm.Pawur.B, I-Worm.Pawur.b, I-Worm/Pawur.B, NewHeur_PE, W32.Inzae.B, W32/Tasin.B.worm, Win32/Pawur.B, WORM_ANZAE.B, W32/Anzae-B, W32/Insae.B@mm
Plataforma: Windows 32-bit
Tamaño: 50,614 bytes
Gusano que se propaga a través del correo electrónico con mensajes en español, utilizando su propio motor SMTP.
Cuando se ejecuta, es notoria la caída del rendimiento del sistema infectado. El gusano es capaz de borrar archivos, lo que puede afectar el funcionamiento del equipo. También intenta descargar un archivo desde Internet.
Se propaga en mensajes con las siguientes características:
Asunto: [uno de los siguientes]
re:Amor verdadero
re:Como el aire...
re:Crees que puede ser verdad?
re:Dejate de rollos y viv
re:Eso con queso rima con...xD
re:La Luna
re:Neptuno y Mercurio
re:Psicolog
re:Voodoo un tanto ps...
re:xD no me lo puedo creer!!
Texto del mensaje: [uno de los siguientes]
Crees en el amor de verdad?,miralo y ya hablamos,ciaooo
Esa moribunda y solitaria Luna,Impresionante!chao.
Mira lo que te mando y ya veras que los detalles mas
pequenos
No comment,xDD ,Nos vemos!!
No veas que cosas xD,luego me cuentas,chao.
Que relacion tienen estos planetas?,miralo y luego me
cuentas,chao.
Renvialo a todo que es que se meannn xD,nos vemos!
Sera cierta la magia negra?,sal de dudas y ya me
cuentas,chao.
son los que importan,ciaoo
Test para ver si andas bien de las neuronassss!xD,luego
hablamos,chao.
Ver es creer!!!!chaoo.
Datos adjuntos: [alguno de los siguientes]
d-incognito.zip
el_rechazo.zip
love-me.zip
moon(luna).zip
my life(mi vida).zip
para-brisas.zip
planetario.zip
psiquico-mix.zip
rimaz.zip
voodoo!.zip
La infección se produce solo si el usuario abre y ejecuta el adjunto con un doble clic.
Si ello ocurre y el gusano se ejecuta, la primera vez que lo hace, se muestra una ventana con el siguiente mensaje falso:
Los siguientes archivos pueden ser creados en el sistema:
c:\windows\system32\command.pif
c:\windows\system32\m.zip
c:\windows\system32\paula.pif
c:\windows\system32\ss.exe
c:\windows\system32\svchos1.pif
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe
También crea los siguientes archivos:
X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\p
X:\page
X:\pht003.pif
X:\rd2_roberto.pif
X:\symbolic3.pif
Donde "X" es una de las siguientes unidades de disco (o aquellas que existan):
c:\
d:\
e:\
f:\
Para ejecutarse en próximos reinicios, el gusano crea las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Messenger6 = c:\windows\system32\command.pif
Svchost = c:\windows\system32\svchosl.pif
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano puede borrar archivos con las siguientes extensiones:
.asm
.asp
.bdsproj
.bmp
.cpp
.cs
.csproj
.css
.doc
.dpr
.frm
.gif
.htm
.html
.jpeg
.jpg
.mdb
.mp3
.nfm
.nrg
.pas
.pcx
.pdf
.php
.ppt
.rc
.rc2
.reg
.resx
.rpt
.sln
.txt
.vb
.vbp
.vbproj
.wav
.xls
Herramienta de limpieza automática:Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.
Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Pawur
Reparación manualIMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos borrados, dependerá del daño causado por el gusano desde el momento de ocurrida la infección.
LimpiezaActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\command.pif
c:\windows\system32\m.zip
c:\windows\system32\paula.pif
c:\windows\system32\ss.exe
c:\windows\system32\svchos1.pif
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe
X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\p
X:\page
X:\pht003.pif
X:\rd2_roberto.pif
X:\symbolic3.pif
Donde "X" es una de las siguientes unidades de disco (o aquellas que existan):
c:\
d:\
e:\
f:\
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Messenger6 = c:\windows\system32\command.pif
Svchost = c:\windows\system32\svchosl.pif
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/pawur-b.htmW32/Pawur.C. Se propaga con mensajes en españolNombre: W32/Pawur.C
Nombre NOD32: Win32/Pawur.C
Tipo: Gusano de Internet
Alias: Pawur.C, Tasin.C, Anzae.C, I-Worm.Pawur.C, I-Worm.Pawur.c, I-Worm/Pawur.C, NewHeur_PE, W32.Inzae.C, W32/Tasin.C.worm, Win32/Pawur.C, WORM_ANZAE.C, W32/Anzae-C, W32/Insae.C@mm
Plataforma: Windows 32-bit
Tamaño: 50,832 bytes
Gusano que se propaga a través del correo electrónico con mensajes en español, utilizando su propio motor SMTP.
Cuando se ejecuta, es notoria la caída del rendimiento del sistema infectado. El gusano es capaz de borrar archivos, lo que puede afectar el funcionamiento del equipo. También intenta descargar un archivo desde Internet.
Se propaga en mensajes con las siguientes características:
Asunto: [uno de los siguientes]
FW:Como el aire...xD
FW:El amor,el amor,jajaja
FW:Impresiona!!!!
FW:Miralo!!!!
FW:Pero si es cierto!!!
FW:Podr
FW:Venga que lo disfrutes ;) jajaja
Texto del mensaje: [uno de los siguientes]
s de los mismo, pero vale la pena...
s te quise yo :P,jajaja
s dormir??jajaja
:Pero que cosasssssss ,jajajaja
Si tu me vieras....
Mirame!, jajaja
Te pongo a 100,jajaja
Miralo y me comentas luego,jajajaja
Pa q tu vea!jajaja
jajajaja,no pue ser!
Pero que cosasssss!
Esto no me lo creo,joeee , jajajaj
Miralo y reenvia!!!!!jajajaja,comparte le
No comment,xDD ,Nos vemos!!
Datos adjuntos: [alguno de los siguientes]
basta_ya.zip
claro_que_lo_se.zip
con_mas_amor.zip
las_cosas_cambian.zip
lo_que_te_mereces.zip
lo_que_ves.zip
no_me_lo_creo.zip
nunca_estamos.zip
para_ti_mas.zip
siempre_estas_ahi.zip
La infección se produce solo si el usuario abre y ejecuta el adjunto con un doble clic.
Si ello ocurre y el gusano se ejecuta, la primera vez que lo hace, se muestra la imagen de una mujer desnuda (una foto erótica de Nuria Bermúdez, famosa en España por sus escándalos).
Los siguientes archivos pueden ser creados en el sistema:
c:\windows\system32\command.pif
c:\windows\system32\m.zip
c:\windows\system32\paula.pif
c:\windows\system32\ss.exe
c:\windows\system32\svchosl.pif
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe
También crea los siguientes archivos:
X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\p
X:\page
X:\pht003.pif
X:\rd2_roberto.pif
X:\symbolic3.pif
Donde "X" es una de las siguientes unidades de disco (o aquellas que existan):
c:\
d:\
e:\
f:\
Para ejecutarse en próximos reinicios, el gusano crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif
El gusano puede borrar archivos con las siguientes extensiones:
.asm
.asp
.bdsproj
.bmp
.cpp
.cs
.csproj
.css
.doc
.dpr
.frm
.gif
.htm
.html
.jpeg
.jpg
.mdb
.mp3
.nfm
.nrg
.pas
.pcx
.pdf
.php
.ppt
.rc
.rc2
.reg
.resx
.rpt
.sln
.txt
.vb
.vbp
.vbproj
.wav
.xls
Herramienta de limpieza automática:
Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.
Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=PawurReparación manualIMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos borrados, dependerá del daño causado por el gusano desde el momento de ocurrida la infección.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\command.pif
c:\windows\system32\m.zip
c:\windows\system32\paula.pif
c:\windows\system32\ss.exe
c:\windows\system32\svchosl.pif
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe
X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\p
X:\page
X:\pht003.pif
X:\rd2_roberto.pif
X:\symbolic3.pif
Donde "X" es una de las siguientes unidades de disco (o aquellas que existan):
c:\
d:\
e:\
f:\
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Svchost = c:\windows\system32\svchosl.pif
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Sdbot.AH Gusano cuya propagación se realiza a través de recursos compartidos en red en máquinas con direcciones IP aleatorias y probando el acceso con una serie determinada de contraseñas.
Además, posee capacidad para actuar como puerta trasera, lo que permitiría el acceso ilícito de un intruso al equipo atacado.
Nombre completo: Worm-Backdoor.W32/Sdbot.AH@SMB
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Se difunde por carpetas compartidas de red de Microsoft
Alias:Backdoor.Sdbot.AH (Symantec)
Cuando Worm-Backdoor.W32/Sdbot.AH@SMB es ejecutado, realiza las siguientes acciones:
Se copia a sí mismo como %System%\wupdmgr32.exe.
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:
Claves: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
Valor: "Windows Update Manager for NT" = "wupdmgr32.exe"
Abre una purta trasera en el equipo infectado conectándose a un servidor IRC por el puerto TCP 4191 en yuzuk.ath.cx.
Permanece en espera de recibir instrucciones procedentes del atacante.
La puerta trasera permite al intruso realizar las siguientes acciones en la máquina infectada:
Realizar ataques de Denegación de Servicios (DoS) contra otros sitios.
Conectarse a URLs.
Subir y descargar ficheros.
Ejecutar programas.
Realizar escaneo de puertos.
Iniciar un servidor HTTP.
Iniciar un servidor FTP.
Recuperar información del sistema.
Recuperar el identificador de producto (ID) de Windows.
Captura imagenes de pantalla e imagenes tomadas por la webcam.
Investigar paquetes de la red de área local.
Captura las pulsaciones realizadas sobre el teclado.
Se propaga a las siguientes unidades compartidas de red:
C$
D$
IPC$
ADMIN$
en direcciones IP generadas aleatoriamente, utilizando nombres obtenidos mediante la API NetUserEnum y la siguiente lista de contraseñas:
7
123
1234
12345
123456
1234567
12345678
123456789
1234567890
2000
2001
2002
2004
access
accounting
accounts
adm
administrador
administrat
administrateur
administrator
admins
asd
backup
bill
bitch
blank
bob
brian
changeme
chris
cisco
compaq computer
control
data
database
databasepass
databasepassword
db1
db1234
db2
dba
dbpass
dbpassword
default
dell
demo
domain
domainpass
domainpassword
eric
exchange
fred
fuck
george
god
guest
hell
hello
home
homeuser
ian
ibm
internet
intranet
jen
joe
john
kate
katie
lan
lee
linux
login
loginpass
luke
mail
main
mary
mike
neil
nokia
none
null
oem
oeminstall
oemuser
office
oracle
orainstall
outlook
owner
pass
pass1234
passwd
password
password1
peter
pwd
qaz
qwe
qwerty
sam
server
sex
siemens
slut
sql
sqlpassoainstall
staff
student
sue
susan
system
teacher
technical
test
unix
user
web
win2000
win2k
win98
windows
winnt
winpass
winxp
www
wwwadmin
zxc
También intenta robar las claves de CD de los siguientes juegos de ordenador:
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
Neverwinter Nights
Soldier of Fortune II - Double Helix
Software\Activision\Soldier of Fortune II - Double Helix
Hidden & Dangerous 2
Chrome
NOX
Command and Conquer: Red Alert 2
Command and Conquer: Red Alert
Command and Conquer: Tiberian Sun
Rainbow Six III RavenShield
Nascar Racing 2003
Nascar Racing 2002
NHL 2003
NHL 2002
FIFA 2003
FIFA 2002
Shogun: Total War: Warlord Edition
Need For Speed: Underground
Need For Speed Hot Pursuit 2
Medal of Honor: Allied Assault: Spearhead
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault
Global Operations
Command and Conquer: Generals
James Bond 007: Nightfire
Command and Conquer: Generals (Zero Hour)
Black and White
Battlefield Vietnam
Battlefield 1942 (Secret Weapons of WWII)
Battlefield 1942 (Road To Rome)
Battlefield 1942
Freedom Force
IGI 2: Covert Strike
Unreal Tournament 2004
Unreal Tournament 2003
Soldiers Of Anarchy
Legends of Might and Magic
Industry Giant 2
Half-Life
Gunman Chronicles
The Gladiators
Counter-Strike
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4493Breem Gusano que se propaga a través de correo electrónico, enviándose a todas las direcciones incluidas en la libreta de contactos de Microsoft Outlook.
Requiere que la librería MSVBVM60.DLL (relativa a Visual Basic) esté instalada en el sistema infectado para poder ejecutarse correctamente.
Nombre completo: Worm.W32/Breem@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 36864
Alias:WORM_BREEM.A (Trend Micro)
Worm.W32/Breem@MM se propaga a través del envío de correos electrónicos a todas las direcciones incluidas en la libreta de contactos de Outlook.
El gusano en cuestión se envía como fichero anexado al mensaje.
Deja una copia de sí mismo en el directorio por defecto de Windows con el nombre FTPGRABER.EXE.
A continuación, estable los atributos de este fichero como 'Oculto', 'Sólo-lectura' y 'de Sistema'.
También deja el fichero WININIT.INI en el mismo directorio que el archivo anterior.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:
Claves: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Valor:FTPGraber= "%Windows%\FTPGRABER.EXE"
Nota: %Windows% es el directorio de Windows por defecto, normalmente C:\Windows o C:\WINNT.
Está compilado con Visual Basic, y necesita la librería MSVBVM60.DLL instalada en el sistema para poder funcinar correctamente.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4494
