Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: jontxudj en 02 de Mayo de 2004, 10:55:15 am

Título: Ya tenemos la variante .B del W32.Sasser.
Publicado por: jontxudj en 02 de Mayo de 2004, 10:55:15 am

Hola!

 La versión B del virus W32.Sasser es practicamente igual que su antecesora y de hecho los parches aplicados sirven tanto para una como para otra.

 La diferencia que tiene esta segunda versión es que en crea algún archivo diferente a la hora de instalarse.

Las diferencias son las siguientes:

 En la versión A el gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\avserve.exe

 En la versión B cambia el nombre un poquito agregando un 2 al final
c:\windows\avserve2.exe

En la versión A modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = avserve.exe

En la versión B es prácticamente la misma con la misma característica que antes he citado.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = c:\windows\avserve2.exe

 En las dos versiones da los mismos mensajes de error.

 En la versión A se crea el siguiente mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

 En la versión B crea los siguientes mutex para no ejecutarse más de una vez en memoria:

Jobaka3
JumpallsNlsTillt

A la hora de hacer la reparación manual deberemos de tener cuidado de eliminar algunos archivos de la versión B que en la A no se creaban, siendo los siguientes:

 En las dos versiones se debe de ejecutar el editor de registro (Inicio - Ejecutar - poner regedit - Intro) y buscar en:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

 Una vez aquí en la versión A eliminabamos simplemente el archivo:

avserve

 Pues bien, después de seguir los mismos pasos en la versión B, debemos eliminar eses mismo archivo y otro con el mismo nombre y el 2 añadido:

avserve2.exe
avserve.exe

 Luego tan solo nos queda clickar en registro - salir, aceptar los cambios y reiniciar el PC.

Saludos.

Título: Ya tenemos la variante .B del W32.Sasser.
Publicado por: destroyer en 02 de Mayo de 2004, 11:17:05 am

Muchas gracias Jontxu, ya esta añadido a la guia del SASSER A .. :wink:


Un saludo

Título: Ya tenemos la variante .B del W32.Sasser.
Publicado por: jontxudj en 02 de Mayo de 2004, 11:20:52 am

A mandar Jefe.

 saludos.

Título: Ya tenemos la variante .B del W32.Sasser.
Publicado por: Miyu en 02 de Mayo de 2004, 11:50:19 am

Sí que ha tardado poco en empezar con las metamorfosis el muy maldito  :evil:
Gracias por la info Jontxudj! ;)

Título: Ya tenemos la variante .B del W32.Sasser.
Publicado por: Dabo en 02 de Mayo de 2004, 01:12:23 pm

bien chicos bien  :!:

Título: Ya tenemos la variante .B del W32.Sasser.
Publicado por: sisipo en 02 de Mayo de 2004, 01:48:31 pm

y lo que queda x llegar....

aix...

Título: Ya tenemos la variante .B del W32.Sasser.
Publicado por: Miyu en 02 de Mayo de 2004, 02:33:21 pm

sisipo no disimules, sé que estás deseando que haya 10000 variaciones para poder montar desenfrenadas batallas a vida o muerte en tu pc   :lol: