W32/Padowor.A. Se propaga por e-mail, abre backdoorNombre: W32/Padowor.A
Nombre NOD32: Win32/Padowor.A
Tipo: Gusano de Internet
Alias: Padowor.A, Email-Worm.Win32.Padowor.a, W32.Inforyou.A@mm, Win32.HLLM.Pawur, W32/Inforyou-A, WORM_INFORYOU.A, Worm/Padowor.A, W32/Padowor.A, I-Worm/Padowor.A, Win32.Padowor.A@mm, Worm.Padowor.A, W32/Inforyou.A.worm, Win32/Padowor.A
Plataforma: Windows 32-bit
Tamaño: 72,767 bytes
Este gusano puede propagarse por correo electrónico enviando una copia de si mismo a todos los contactos de la libreta de direcciones, en mensajes con las siguientes características:
Asunto: [uno de los siguientes]
- cyber porno art
- His photo.
- My username descriptions.
- My West Coast Bank registration data disabled.
- Take update of credit access program.
- Their image.
- Update your credit client program.
Texto del mensaje: [uno de los siguientes]
Greetings, do you remember you spoke something about
their image in a naked kind?
I have found a little bit, i don`t know it is pleasant
to you whether or not but i have decided
to give to see it to you
magic word:...
As you will decide to have a rest with me, call.
winxp.
Hello, my name is :.., i am from branch of
State Central Bank.
Too hour ago my manager, has asked me to notify
you about that our firm has released the new
version of credit client program,
unfortunately to send the program from work i have not
had time therefore i send file from home.
Information about account program inside package.
Don`t forget unlock pass is Amo:...
I am sorry.
Dear Jack, you ask me about our registration
reports and i send it to you
Also i found some interesting info about our budget usage,
if you have free minute please familiarize with this report.
You should remember this personal information
only for you, access code is ::::. Your data i package file.
Datos adjuntos: [uno de los siguientes]
###adult.???
##-photo.???
#HardArt.???
#MyPhoto.???
#Sex.jpg.???
Applic-#.???
Art-####.???
AssFuck#.???
Blondes#.???
Blowjobs.???
CKeeper#.???
Credit##.???
details#.???
Dildos##.???
Fucking#.???
Girls-##.???
HardCor#.???
Image-##.???
Image###.???
Inf-####.???
Inf4You#.???
InfNo###.???
info-###.???
ItsMe-##.???
Keeper##.???
Lesbian#.???
Me-#####.???
MKeep###.???
MKp##Upd.???
MoneyKe#.???
MyImage#.???
MyPhoto#.???
NudeGirl.???
NWUpdate.???
Orgy####.???
Photo###.???
PInform#.???
Porn-###.???
Porno-##.???
PornStar.???
Program#.???
Pussy###.???
Rep-####.???
report##.???
Sadomaso.???
SecRep##.???
SInfo###.???
SoftCor#.???
Teens-##.???
Update##.???
vibrator.???
Xxx#.jpg.???
YouAndI#.???
Your-###.???
YourRep#.???
Donde el caracter "#" es un caracter aleatorio, y "???" es una de las siguientes extensiones:
.exe
.pif
.scr
.zip
Ejemplos:
Applic-8.scr
reportdf.exe
info-0d2.zip
Cuando se ejecuta, el gusano crea una copia de si mismo y un DLL, ambos con nombres aleatorios dentro de la carpeta del sistema de Windows:
c:\windows\system32\[nombre].exe
c:\windows\system32\[nombre].dll
También crea el siguiente archivo, el cual es utilizado para almacenar todas las direcciones obtenidas del equipo infectado:
c:\windows\system32\MSDevBase.dat
El gusano crea las siguientes entradas en el registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
.Net Framework =
{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}
HKLM\Software\Classes\CLSID
\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}
\InProcServer32
(Predeterminado) =
c:\windows\system32\[nombre del archivo].dll
HKCR\CLSID\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}
\InProcServer32
(Predeterminado) =
c:\windows\system32\[nombre del archivo].dll
El gusano abre un puerto TCP aleatorio y queda a la espera de comandos directos ofrecidos por un atacante remoto.
También realiza ataques de denegación de servicio a los siguientes sitios:
http:/ /50sbrotherhood .com/ikAARBbH
http:/ /anypets .com/sotNuSLd
http:/ /bcn4life .com/KMjvnkAc
http:/ /beeslender .com/LzKDMFVx
http:/ /cambodiaclassic .com/tAnwLRRp
http:/ /divasonic .com/zDcdWXDA
http:/ /fresh895fm .com/JnaCMJGA
http:/ /galeriass .com/mRDxxkyz
http:/ /hpbyggematrialer .dk/jEoESVah
http:/ /hydrocut .com/KzfDvbjk
http:/ /linux-bulgaria .org/ZPImndAd
http:/ /opticalinstrument .com .cn/OfRRnhYY
http:/ /organicbabe .com .au/QoGJQIZV
http:/ /pbwga .com/KJvaslsl
http:/ /piraten .dk/BGAiQOtB
http:/ /pitzmedia .com/AGgRBzQd
http:/ /poemas-de-amor .org/sQAAXWrE
http:/ /praha-mesto .cz/VeTBmiUj
http:/ /sakichan .ho8 .com/KDCvKLFh
http:/ /smirkingchimp .com/lldLmfSD
http:/ /snodgers .com/zmvIKkla
http:/ /synodcathedral .org/KVrxusoL
http:/ /therefrisky .com/kjnvaPPa
http:/ /usdacrc .com/gGVrsjlh
http:/ /wildrice .com/kdmvflkz
http:/ /wolfscreek .com/lOnFQYoO
http:/ /www .asis .com/LMlakmvb
http:/ /www .cashetta .com/LlksvIJH
http:/ /www .divasonic .com/zDcdWXDA
http:/ /www .lysbordet .com/OJJAtUEo
http:/ /www .pitzmedia .com/AGgRBzQd
También intenta finalizar cualquier proceso cuyo nombre contenga algunas de las siguientes cadenas:
Detector de OfficeScanNT
McAfee Framework Service
Norton Antivirus Service
Panda Antivirus
sharedaccess
ZoneAlarm
El gusano posee el siguiente texto en su código:
From alqaeda with love
Reparación antivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system32\MSDevBase.dat
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\ShellServiceObjectDelayLoad
3. Haga clic en la carpeta "ShellServiceObjectDelayLoad" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
.Net Framework
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\CLSID
\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}
5. Haga clic en la carpeta "{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\CLSID
\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}
7. Haga clic en la carpeta "{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Más información:
http://www.vsantivirus.com/padowor-a.htm
