W32/Cissi.W. BOT de IRC que se propaga por redesNombre: W32/Cissi.W
Tipo: Gusano e IRC BOT
Alias: Cissi.W, W32.Cissi.W, Duster
Plataforma: Windows 32-bit
Tamaño: variable
Puerto: TCP 6667
Gusano que se propaga por recursos compartidos de redes Windows, y como un BOT de IRC (un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Un equipo infectado, puede ser controlado por un usuario remoto, comprometiendo seriamente su seguridad.
Cuando se ejecuta, se copia a si mismo en la siguiente ubicación:
c:\windows\system32\penis.exe
Intenta abrir una puerta trasera (backdoor), para conectarse por el puerto TCP/6667 al siguiente servidor:
uk.undernet.org
Un usuario remoto podrá realizar las siguientes acciones:
- Ejecutar, modificar o borrar archivos
- Realizar ataques DDoS enviando paquetes SYN (SYN flood)
- Descargar otros archivos de Internet
El gusano también intentará agregarse al menú de inicio, creando una copia de si mismo en las siguientes ubicaciones:
* Windows XP, 2000 (español e inglés)
c:\documents and settings\all users\menú inicio\programas\inicio
c:\documents and settings\all users\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\all users\menú inicio\programas\inicio
c:\windows\all users\start menu\programs\startup
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
Para propagarse por redes, genera direcciones IP al azar, e intenta copiarse en los recursos compartidos que detecte en dichas direcciones. Para ello utiliza una lista de nombres de usuario y contraseñas, predefinidas en su código.
Deshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
* En Windows 95/98/Me/NT/20001. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
PENIS.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
* En Windows XP1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:
PENIS.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Haga clic en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
11. Reinicie su computadora
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/cissi-w.htm
