« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: VB.CZ (Nopir.B). Borra archivos MP3 y .COM  (Leído 2804 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
VB.CZ (Nopir.B). Borra archivos MP3 y .COM
« en: 23 de Abril de 2005, 07:48:10 pm »
W32/VB.CZ (Nopir.B). Borra archivos MP3 y .COM

Nombre: W32/VB.CZ
Nombre NOD32: Win32/VB.CZ
Nombre más conocido: Nopir.B
Tipo: Gusano de redes P2P
Alias: VB.CZ, Nopir.B, P2P-Worm.Win32.VB.cz, W32/Nopir.B, W32/Nopir-B, W32/Spybot.SC.worm, Win32/VB.CZ, Worm.P2P.Fupi, WORM_NOPIR.B
Plataforma: Windows 32-bit

Este gusano se presenta como un programa para realizar copias de DVDs comerciales. Si el usuario lo ejecuta en su PC, procura borrar todos los archivos MP3 del equipo infectado.

También intenta deshabilitar varias herramientas del sistema y destruye archivos .COM mientras visualiza un gráfico anti-piratería con el siguiente texto:
Intelligence Resource Program
Cyberbob33 Bx
The French Hacker
THE PIRATES.....MP3.....GAMES....ETC!!!!
El gusano intenta propagarse por redes P2P.

Cuando se ejecuta, crea las siguientes copias de si mismo:
[Archivos de Programa]\Projects Visual Studio.NET\Nctrup.exe

[Archivos de Programa]\Restore\??????.exe

[Archivos de Programa]\eMule\Incoming
\AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe
Donde [Archivos de programa] puede ser la carpeta "c:\archivos de programa" o "c:\program files" y "??????.exe" es un nombre de archivo al azar.

El gusano deshabilita el Administrador de tareas, el editor del registro y quita el acceso al panel de control.

Si detecta un debugger intenta deshabilitarlo. Un debugger permite examinar paso a paso la ejecución de un programa para examinarlo y es utilizado a menudo por los investigadores de virus.

Para ejecutarse en cada reinicio, el gusano crea las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
securw = [Archivos de Programa]\Projects Visual Studio.NET\Nctrup.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Verif = [Archivos de Programa]\Restore\??????.exe
El gusano crea también las siguientes entradas en el registro para ejecutarse cada vez que archivos con las extensiones .BAT, .COM, .EXE, .PIF, .SCR, .VBE y .VBS son abiertos por el usuario:
HKCR\batfile\Shell\open\command
(Predetermiando) =
[Archivos de Programa]\Projects Visual Studio.NET\Nctrup.exe

HKCR\comfile\Shell\open\command
(Predetermiando) =
[Archivos de Programa]\Projects Visual Studio.NET\Nctrup.exe

HKCR\exefile\Shell\open\command
(Predetermiando) =
[Archivos de Programa]\Projects Visual Studio.NET\Nctrup.exe

HKCR\piffile\Shell\open\command
(Predetermiando) =
[Archivos de Programa]\Projects Visual Studio.NET\Nctrup.exe

HKCR\scrfile\Shell\open\command
(Predetermiando) =
[Archivos de Programa]\Projects Visual Studio.NET\Nctrup.exe

HKCR\vbefile\Shell\open\command
(Predetermiando) =
[Archivos de Programa]\Projects Visual Studio.NET\Nctrup.exe

HKCR\vbsfile\Shell\open\command
(Predetermiando) =
[Archivos de Programa]\Projects Visual Studio.NET\Nctrup.exe
Para quitar el acceso al panel de control y deshabilitar el Administrador de tareas y las herramientas del registro, las siguientes claves son modificadas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoControlPanel = 1

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = 1

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = 1

Reparación Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Descargue los siguientes archivos (FIXEXE.COM y RESTAURAR2.REG):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=FixExe
http://www.videosoft.net.uy/restaurar2.reg
2. Reinicie Windows en modo a prueba de fallos
3. Haga doble clic sobre el archivo FIXEXE.COM descargado antes.
4. Haga doble clic sobre el archivo RESTAURAR2.REG descargado antes y confirme las modificaciones a realizar.
5. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
6. Borre los archivos detectados como infectados.

Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre las siguientes entradas:
securw
Verif
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Información adicional
Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.

Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/vb-cz.htm
En línea

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
VB.CZ (Nopir.B). Borra archivos MP3 y .COM
« Respuesta #1 en: 26 de Abril de 2005, 02:29:02 pm »
Gracias Danae

un saludo
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.