Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: jontxudj en 02 de Mayo de 2004, 10:55:15 am
-
Hola!
La versión B del virus W32.Sasser es practicamente igual que su antecesora y de hecho los parches aplicados sirven tanto para una como para otra.
La diferencia que tiene esta segunda versión es que en crea algún archivo diferente a la hora de instalarse.
Las diferencias son las siguientes:
En la versión A el gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\avserve.exe
En la versión B cambia el nombre un poquito agregando un 2 al final
c:\windows\avserve2.exe
En la versión A modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = avserve.exe
En la versión B es prácticamente la misma con la misma característica que antes he citado.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = c:\windows\avserve2.exe
En las dos versiones da los mismos mensajes de error.
En la versión A se crea el siguiente mutex para no ejecutarse más de una vez en memoria:
Jobaka3l
En la versión B crea los siguientes mutex para no ejecutarse más de una vez en memoria:
Jobaka3
JumpallsNlsTillt
A la hora de hacer la reparación manual deberemos de tener cuidado de eliminar algunos archivos de la versión B que en la A no se creaban, siendo los siguientes:
En las dos versiones se debe de ejecutar el editor de registro (Inicio - Ejecutar - poner regedit - Intro) y buscar en:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
Una vez aquí en la versión A eliminabamos simplemente el archivo:
avserve
Pues bien, después de seguir los mismos pasos en la versión B, debemos eliminar eses mismo archivo y otro con el mismo nombre y el 2 añadido:
avserve2.exe
avserve.exe
Luego tan solo nos queda clickar en registro - salir, aceptar los cambios y reiniciar el PC.
Saludos.
-
Muchas gracias Jontxu, ya esta añadido a la guia del SASSER A .. :wink:
Un saludo
-
A mandar Jefe.
saludos.
-
Sí que ha tardado poco en empezar con las metamorfosis el muy maldito :evil:
Gracias por la info Jontxudj! ;)
-
bien chicos bien :!:
-
y lo que queda x llegar....
aix...
-
sisipo no disimules, sé que estás deseando que haya 10000 variaciones para poder montar desenfrenadas batallas a vida o muerte en tu pc :lol: