Back/IRCBot.NJ. Se copia como "videosd32.exe"Nombre: Back/IRCBot.NJ
Nombre Nod32: Win32/IRCBot.NJ
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: IRCBot.NJ, W32.IRCBot.G, W32/Sdbot-Fam, Backdoor.IRCBot.gen, Backdoor.SDBot.Gen, Win32.IRC.Bot.based, W32/Sdbot.worm.gen
Plataforma: Windows 32-bit
Tamaño: variable
Caballo de Troya que abre un acceso por puerta trasera en los equipos infectados, y se conecta a un servidor IRC (Internet Relay Chat), para recibir instrucciones de un usuario remoto.
Puede robar información del sistema infectado.
Cuando se ejecuta, se copia a si mismo con el siguiente nombre en la carpeta del sistema:
c:\windows\system\videosd32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea o modifica las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Configuration = "videosd32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Configuration = "videosd32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Win32 Configuration = "videosd32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Configuration = "videosd32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Win32 Configuration = "videosd32.exe"
También crea la siguiente entrada para ejecutarse como servicio en Windows 2000 y XP:
HKLM\System\CurrentControlSet\Services\Windows Manage
El troyano puede borrar los siguientes recursos compartidos de la unidad local (no su contenido):
admin$
c$
d$
IPC$
Como otros troyanos de la familia SDBot, éste se conecta a un sitio específico (he.fucktard.us), para anunciar su presencia.
Si el anuncio es exitoso, queda a la espera de comandos de un usuario remoto, el cuál podrá realizar algunas de las siguientes acciones en la computadora infectada:
- Administrar la instalación del propio troyano
- Borrar archivos
- Cambiar el puerto de escucha
- Copiarse en carpetas compartidas de otras máquinas
- Dar por finalizado un thread (hilo)
- Descargar una versión actualizada
- Distribuirse por canales de IRC usando DCC
- Ejecutar ataques de denegación de servicio
- Ejecutar un programa
- Enviar datos de la configuración de red
- Enviar información del sistema
- Escanear puertos
- Finalizar procesos
- Iniciar un servicio socks proxy
- Listar procesos
- Redireccionar paquetes de datos
- Redireccionar puertos
- Unirse a un canal de IRC específico
- Visitar un sitio web
El troyano es capaz de robar las llaves de licencia (CD-Keys) para los siguientes juegos:
Battlefield 1942
Battlefield 1942: Secret Weapons Of WWII
Battlefield 1942: The Road To Rome
Battlefield 1942: Vietnam
Black and White
Command and Conquer: Generals
Command and Conquer: Generals: Zero Hour
Command and Conquer: Red Alert2
Command and Conquer: Tiberian Sun
Counter-Strike
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden and Dangerous 2
IGI2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
NHL 2002
NHL 2003
Need For Speed: Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Ravenshield
Shogun: Total War: Warlord Edition
Soldiers Of Anarchy
Soldier Of Fortune 2
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Soldier of Fortune II - Double Helix
Más información:
http://www.vsantivirus.com/back-ircbot-nj.htmIRC/SdBot.BXQ. Se copia como "xpservicepack.exe"Nombre: IRC/SdBot.BXQ
Nombre Nod32: IRC/SdBot.BXQ
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: SdBot.BXQ, Sdbot.AQA, IRC/BackDoor.SdBot, Backdoor.SdBot.gen, Backdoor.SDBot.Gen, Win32.IRC.Bot.based, IRC-Sdbot, Backdoor.Sdbot, BKDR_SDBOT.GEN, Backdoor:IRC/SdBot, W32/Sdbot-Fam
Plataforma: Windows 32-bit
Tamaño: 103,424 bytes
Gusano que se propaga por recursos compartidos de redes, deshabilita la ejecución de varios programas, impide la edición del registro de Windows, y puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\xpservicepack.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XP Service Pack = "xpservicepack.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
XP Service Pack = "xpservicepack.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
XP Service Pack = "xpservicepack.exe"
El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.
Si la conexión es exitosa, busca el recurso IPC$. Si lo encuentra, entonces inicia su rutina de infección, intentando copiarse en los recursos compartidos por defecto en dicho equipo:
c$\xpservicepack.exe
c$\winnt\system32\xpservicepack.exe
Admin$\system32\xpservicepack.exe
Posee un componente de acceso por puerta trasera (backdoor), que intenta conectarse a servidores de IRC y unirse a un canal predeterminado. Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática.
Algunas acciones posibles:
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Matar procesos e hilos de ejecución
Descargar y ejecutar archivos
Auto actualizarse
El componente troyano hace sus conexiones utilizando el puerto estándar (TCP/113). Esto es requerido por algunos servidores de IRC por razones de autenticación.
El gusano también evita que las siguientes aplicaciones sean ejecutadas en la máquina infectada:
avpcc.exe
cfgwiz.exe
navapw32.exe
netstat.exe
ogrc.exe
pccclient.exe
pccguide.exe
regedit.exe
tds-3.exe
thguard.exe
Para ello, crea las entradas respectivas en las siguientes claves del registro:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\RestrictRun
Esto causa que cuando el usuario intente ejecutar cualquiera de dichos programas, se produzca un mensaje de error con el texto "Esta operación ha sido cancelada por restricciones que tienen efecto en esta computadora" o similar.
También se deshabilita la posibilidad de ver o modificar el registro, mediante la siguiente clave:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
Esto produce el mensaje "El administrador ha deshabilitado la edición del registro" cuando se intenta ejecutar REGEDIT.
El gusano crea también el siguiente archivo:
o.bat
Intenta conectarse a una dirección IP predeterminada (10.30.0.15) a través del puerto 15891 para descargar el siguiente archivo:
bling.exe
Más información:
http://www.vsantivirus.com/irc-sdbot-bxq.htmIRC/SdBot.BXR. Se copia como "usb32.exe"Nombre: IRC/SdBot.BXR
Nombre Nod32: IRC/SdBot.BXR
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: SdBot.BXR, Backdoor.Win32.SdBot.ry, W32/Sdbot.worm.gen.h, WORM_RANDEX.L, W32/Sdbot-OV, IRC/BackDoor.SdBot, Backdoor.SdBot.gen, Backdoor.SDBot.Gen, Win32.IRC.Bot.based, IRC-Sdbot, Backdoor.Sdbot, BKDR_SDBOT.GEN, Backdoor:IRC/SdBot, W32/Sdbot-Fam
Plataforma: Windows 32-bit
Tamaño: 145,408 bytes
Gusano que se propaga por recursos compartidos de redes, y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\usb32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Usb Driver = "usb32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Usb Driver = "usb32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Usb Driver = "usb32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Usb Driver = "usb32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 Usb Driver = "usb32.exe"
También agrega las siguientes entradas:
HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN32_USB_DRIVER
HKLM\SYSTEM\CurrentControlSet\Services\Win32 Usb Driver
El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.
Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo:
c$\xpservicepack.exe
c$\winnt\system32\xpservicepack.exe
Admin$\system32\xpservicepack.exe
Posee un componente de acceso por puerta trasera (backdoor), que intenta conectarse a servidores de IRC y unirse a un canal predeterminado. Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática.
Algunas acciones posibles:
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Matar procesos e hilos de ejecución
Descargar y ejecutar archivos
Auto actualizarse
Más información:
http://www.vsantivirus.com/irc-sdbot-bxr.htmW32/Gaobot.NNP. Se copia como "winupdate.exe"Nombre: W32/Gaobot.NNP
Nombre Nod32: Win32/Agobot.NNP
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.NNP, Agobot.NNP, W32.Gaobot.BIA, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\winupdate.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKCU\Software\Microsoft\OLE
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
blah service = "winupdate.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
blah service = "winupdate.exe"
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Intenta copiarse a sistemas infectados con los siguientes troyanos y gusanos:
Beagle
Dameware
Kuang2
Mydoom
Netdevil
Optix
SubSeven
Reparación manual IMPORTANTE:
Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
Windows XP vulnerable al acceso no autorizado (MS01-059)
http://www.vsantivirus.com/vulms01-059.htmElevación de privilegios en las tareas de SQL Server
http://www.vsantivirus.com/vulms-059-060-061.htmMS03-001 Vulnerabilidad en el Servicio Localizador
http://www.vsantivirus.com/vulms03-001-002-003.htm#1Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htmMS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMS03-043 Ejecución de código con el Mensajero (828035)
http://www.vsantivirus.com/vulms03-043.htmMS03-049 Falla en servicio Estación de Trabajo (828749)
http://www.vsantivirus.com/vulms03-049.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmMétodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad RPC/DCOM). Para evitarlo, siga cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter):
shutdown -a
Más información:
http://www.vsantivirus.com/gaobot-nnp.htmW32/Gaobot.NNQ. Se copia como "nvsysvc32.exe"Nombre: W32/Gaobot.NNQ
Nombre Nod32: Win32/Agobot.NNQ
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.NNQ, Agobot.NNQ, W32.Gaobot.BIE, W32/Agobot-MR, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 105,984 bytes
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\nvsysvc32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System File Drivers = "nvsysvc32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
System File Drivers = "nvsysvc32.exe"
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos:
_avp32.exe
_avpcc.exe
_avpm.exe
auto-protect.nav80try.exe
f-agobot.exe
generics.exe
gmt.exe
guard.exe
guarddog.exe
hacktracersetup.exe
hbinst.exe
hbsrv.exe
hijackthis.exe
hotactio.exe
hotpatch.exe
htlog.exe
htpatch.exe
hwpe.exe
hxdl.exe
hxiul.exe
iamapp.exe
iamserv.exe
iamstats.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsuppnt.exe
idle.exe
iedll.exe
iedriver.exe
iexplorer.exe
iface.exe
ifw2000.exe
inetlnfo.exe
infus.exe
infwin.exe
init.exe
intdel.exe
intren.exe
iomon98.exe
iparmor.exe
iris.exe
isass.exe
isrv95.exe
istsvc.exe
jammer.exe
jdbgmrg.exe
jedi.exe
kavlite40eng.exe
kavpers40eng.exe
kavpf.exe
kazza.exe
keenvalue.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
kernel32.exe
killprocesssetup161.exe
launcher.exe
ldnetmon.exe
ldpro.exe
ldpromenu.exe
ldscan.exe
lnetinfo.exe
loader.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lookout.exe
lordpe.exe
lsetup.exe
luall.exe
luau.exe
lucomserver.exe
luinit.exe
luspt.exe
mapisvc32.exe
mcagent.exe
mcmnhdlr.exe
mcshield.exe
mctool.exe
mcupdate.exe
mcvsrte.exe
mcvsshld.exe
md.exe
mfin32.exe
mfw2en.exe
mfweng3.02d30.exe
mgavrtcl.exe
mgavrte.exe
mghtml.exe
mgui.exe
minilog.exe
mmod.exe
monitor.exe
moolive.exe
mostat.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
mrflux.exe
msapp.exe
msbb.exe
msblast.exe
mscache.exe
msccn32.exe
mscman.exe
msconfig.exe
msdm.exe
msdos.exe
msiexec16.exe
msinfo32.exe
mslaugh.exe
msmgt.exe
msmsgri32.exe
mssmmc32.exe
mssys.exe
msvxd.exe
mu0311ad.exe
mwatch.exe
n32scanw.exe
nav.exe
navap.navapsvc.exe
navapsvc.exe
navapw32.exe
navdx.exe
navengnavex15.navlu32.exe
navlu32.exe
navnt.exe
navstub.exe
navw32.exe
navwnt.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
neowatchlog.exe
netarmor.exe
netd32.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
netutils.exe
nisserv.exe
nisum.exe
nmain.exe
nod32.exe
normist.exe
norton_internet_secu_3.0_407.exe
notstart.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
npscheck.exe
npssvc.exe
nsched32.exe
nssys32.exe
nstask32.exe
nsupdate.exe
nt.exe
ntrtscan.exe
ntvdm.exe
ntxconfig.exe
nui.exe
nupgrade.exe
nvarch16.exe
nvc95.exe
nvsvc32.exe
nwinst4.exe
nwservice.exe
nwtool16.exe
ollydbg.exe
onsrvr.exe
optimize.exe
ostronet.exe
otfix.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
padmin.exe
panixk.exe
patch.exe
pavcl.exe
pavproxy.exe
pavsched.exe
pavw.exe
pcc2002s902.exe
pcc2k_76_1436.exe
pcciomon.exe
pccntmon.exe
pccwin97.exe
pccwin98.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pcscan.exe
pdsetup.exe
penis.exe
periscope.exe
persfw.exe
perswf.exe
pf2.exe
pfwadmin.exe
pgmonitr.exe
pingscan.exe
platin.exe
pop3trap.exe
poproxy.exe
popscan.exe
portdetective.exe
portmonitor.exe
powerscan.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
prizesurfer.exe
prmt.exe
prmvr.exe
procdump.exe
processmonitor.exe
procexplorerv1.0.exe
programauditor.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
pussy.exe
pview95.exe
qconsole.exe
qserver.exe
rapapp.exe
rav7.exe
rav7win.exe
rav8win32eng.exe
ray.exe
rb32.exe
rcsync.exe
realmon.exe
reged.exe
regedit.exe
regedt32.exe
rescue.exe
rescue32.exe
rrguard.exe
rshell.exe
rtvscan.exe
rtvscn95.exe
rulaunch.exe
run32dll.exe
rundll.exe
rundll16.exe
ruxdll32.exe
safeweb.exe
sahagent.exe
save.exe
savenow.exe
sbserv.exe
sc.exe
scam32.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
scrsvr.exe
scvhost.exe
sd.exe
serv95.exe
service.exe
servlce.exe
servlces.exe
setup_flowprotector_us.exe
setupvameeval.exe
sfc.exe
sgssfw32.exe
sh.exe
shellspyinstall.exe
shn.exe
showbehind.exe
smc.exe
sms.exe
smss32.exe
soap.exe
sofi.exe
sperm.exe
spf.exe
sphinx.exe
spoler.exe
spoolcv.exe
spoolsv32.exe
spyxx.exe
srexe.exe
srng.exe
ss3edit.exe
ssg_4104.exe
ssgrate.exe
st2.exe
start.exe
stcloader.exe
supftrl.exe
support.exe
supporter5.exe
svc.exe
svchostc.exe
svchosts.exe
svshost.exe
sweep95.exe
sweepnet.sweepsrv.sys.swnetsup.exe
symproxysvc.exe
symtray.exe
sysedit.exe
system.exe
system32.exe
sysupd.exe
taskmg.exe
taskmo.exe
taskmon.exe
taumon.exe
tbscan.exe
tc.exe
tca.exe
tcm.exe
tds2-98.exe
tds2-nt.exe
tds-3.exe
teekids.exe
tfak.exe
tfak5.exe
tgbob.exe
titanin.exe
titaninxp.exe
tracert.exe
trickler.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
tsadbot.exe
tvmd.exe
tvtmd.exe
undoboot.exe
updat.exe
update.exe
upgrad.exe
utpost.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vet32.exe
vet95.exe
vettray.exe
vfsetup.exe
vir-help.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vnpc3000.exe
vpc32.exe
vpc42.exe
vpfw30s.exe
vptray.exe
vscan40.exe
vscenu6.02d30.exe
vsched.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webdav.exe
webscanx.exe
webtrap.exe
wfindv32.exe
wgfe95.exe
whoswatchingme.exe
wimmun32.exe
win32.exe
win32us.exe
winactive.exe
win-bugsfix.exe
window.exe
windows.exe
wininetd.exe
wininit.exe
wininitx.exe
winlogin.exe
winmain.exe
winnet.exe
winppr32.exe
winrecon.exe
winservn.exe
winssk32.exe
winstart.exe
winstart001.exe
wintsk32.exe
winupdate.exe
wkufind.exe
wnad.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wupdater.exe
wupdt.exe
wyvernworksfirewall.exe
xpf202en.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zonalm2601.exe
zonealarm.exe
Intenta copiarse a sistemas infectados con los siguientes troyanos y gusanos:
Beagle
Kuang2
Mydoom
Netdevil
Optix
SubSeven
LIMPIEZA MANUAL: IMPORTANTE
Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
Windows XP vulnerable al acceso no autorizado (MS01-059)
http://www.vsantivirus.com/vulms01-059.htmElevación de privilegios en las tareas de SQL Server
http://www.vsantivirus.com/vulms-059-060-061.htmFalla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htmMS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMS03-043 Ejecución de código con el Mensajero (828035)
http://www.vsantivirus.com/vulms03-043.htmMS03-049 Falla en servicio Estación de Trabajo (828749)
http://www.vsantivirus.com/vulms03-049.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmMétodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad RPC/DCOM). Para evitarlo, siga cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter):
shutdown -a
Más información:
http://www.vsantivirus.com/gaobot-nnq.htm
