W32/Opanki.B. Se propaga por AIM Messenger
W32/Opanki.A. Se propaga por AIM Messenger(tanto la descripción como la forma de erradicarlo, es común para los dos)Nombre: W32/Opanki.B
Nombre NOD32: Win32/Opanki.B
Tipo: Gusano de Internet y caballo de Troya
Alias: Opanki.B, IM-Worm.Win32.Opanki.a, W32.Allim.B
Plataforma: Windows 32-bit
Tamaño: 97,331 bytes
Gusano que se propaga a través del America Online Instant Messenger (AIM), y libera una versión de la familia de troyanos Spybot, que puede comprometer la seguridad del sistema infectado.
El gusano se extrae a si mismo de un archivo RAR autoextraíble, y crea los siguientes archivos:
[Archivos de programa]\aolx\as.exe
[Archivos de programa]\aolx\proto.exe
NOTA: [Archivos de programa] puede ser la carpeta "c:\archivos de programa" o "c:\program files"
También crea la siguiente entrada en el registro:
HKEY_CURRENT_USER\Software\WinRAR SFX
[Archivos de programa]\aolx = "C:\Program Files\aolx"
Cuando se ejecuta, envía el siguiente mensaje a todos los contactos del AIM:
hey check out this!
El texto contiene un enlace (en la palabra "this!"), a la siguiente dirección:
http:/ /s????et/mysite/gallery/pictures.php
Si el usuario sigue ese enlace, descarga un archivo con un nombre similar a una dirección de correo. Si ese archivo se ejecuta (doble clic), se produce la infección con una variante del troyano Spybot.
Cuando ello ocurre, el troyano crea la siguiente copia de si mismo en el sistema:
c:\windows\system32\procmsg.exe
También crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Generic Proc = "procmsg.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Generic Proc = "procmsg.exe"
HKLM\SOFTWARE\Microsoft\OLE
Windows Generic Proc = "procmsg.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Generic Proc = "procmsg.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Generic Proc = "procmsg.exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Windows Generic Proc = "procmsg.exe"
Además crea o modifica las siguientes entradas, para deshabilitar las herramientas de edición del registro (REGEDIT) y el Administrador de Tareas de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "0x31"
DisableTaskMgr = "0x31"
El troyano puede realizar las siguientes acciones:
Abrir una puerta trasera en el equipo infectado, permitiendo a un atacante acceder al sistema.
Finalizar procesos y servicios activos seleccionados por el atacante.
Convertir al PC en un repetidor o en un proxy, para el reenvío de spam, etc.
Reparación manualNOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Descargue el archivo indicado en el siguiente enlace:
http://www.videosoft.net.uy/restore.reg 2. Reinicie Windows en modo a prueba de fallos
3. Haga doble clic sobre el archivo descargado antes.
4. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
5. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system32\procmsg.exe
También borre la carpeta "AOLX" y todo su contenido:
[Archivos de programa]\AOLX\
NOTA: [Archivos de programa] puede ser la carpeta "c:\archivos de programa" o "c:\program files"
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Generic Proc = "procmsg.exe"
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Generic Proc = "procmsg.exe"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\WinRAR SFX
7. Haga clic en la carpeta "WinRAR SFX" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\OLE
9. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Generic Proc = "procmsg.exe"
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Generic Proc = "procmsg.exe"
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
13. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Generic Proc = "procmsg.exe"
14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
15. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Generic Proc = "procmsg.exe"
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/opanki-b.htm
