Worm.W32/Kelvir.Q@IM
Nueva variante de Kelvir que se propaga a través de MSN Messenger y descarga copias de una variante del gusano SPYBOT.Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Tamaño (bytes): 12288
Alias:W32.Kelvir.Q (Symantec)
Nueva variante de Kelvir que se propaga a través de MSN Messenger y descarga copias de una variante del gusano SPYBOT.
Cuando se ejecuta, realiza las siguientes acciones:
Envía un mensaje a todos los contactos de MSN Messenger con un enlace sobre un sitio deshabilitado.us:81/crazy.scr que ya se encuentra inhabilitado, para descargar el fichero resaltado. El mensaje puede ser alguno de los siguientes:
Hey, i almost pee'd my pants when i saw this
hahaha crazy bust check it out
omg osoma, the feds finally got em
look who they just captured
wow the fbi is awesome
El receptor debe pulsar sobre el enlace para descargar y ejecutar el fichero que es la copia de una variante de SPYBOT.
También copia el fichero %System%\msmmsgr.exe Que es una copia de si mismo.
Nota: %System% es una variable que representa la carpeta del sistema. Por defecto será C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Añade el siguiente valor a los registros indicados para ejecutarse en cada reinicio de Windows:
"MSN MESSENGER" = "msmmsgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
Intenta la conexión con el sitio mon.pj34r.us a través del puerto TCP 8126 para intentar unirse a un canal IRC predeterminado y permanecer a la espera de la recepción de comandos por parte del atacante, quien podrá realizar, entre otras, las siguientes acciones:
Finalizar procesos
Capturar pusaciones del teclado
Ejecutar un servidor HTTP
Redireccionar el tráfico de paquetes
Descargar y ejecutar ficheros
Ejecutar comandos de forma remota
Activar y desactivar las luces del teclado que señalan el bloqueo numérico y mayúsculas.
Abrir y cerrar la unidad de CD-ROM
Renombrar y borrar ficheros
Reiniciar el ordenador
Buscar Puertos abiertos (Scan ports)
Reparación:Desactive restaurar sistema
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC.
Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro: "MSN MESSENGER" = "msmmsgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4911
