Autor Tema: Opanki.J. Se propaga por AIM Messenger  (Leído 1704 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
Opanki.J. Se propaga por AIM Messenger
« en: 23 de Junio de 2005, 06:33:44 pm »
W32/Opanki.J. Se propaga por AIM Messenger

Nombre: W32/Opanki.J
Nombre NOD32: Win32/Opanki.J
Tipo: Gusano de Internet y caballo de Troya
Alias: Opanki.J, Generic.DG, IM-Worm.Win32.Opanki.j, Malware.h, W32/Oscarbot.AD.worm, Win32.HLLW.Mokh, Win32.Worm.Opanki.D, Win32/Opanki.J
Plataforma: Windows 32-bit
Tamaño: 13,312 bytes (PE_PATCH.MORPHINE, MORPHINE)

Gusano que se propaga a través del America Online Instant Messenger (AIM), y libera una versión de la familia de troyanos Spybot, que puede comprometer la seguridad del sistema infectado.

Cuando se ejecuta, envía un mensaje a todos los contactos del AIM.

El texto contiene un enlace. Si el usuario sigue dicho enlace, descarga un archivo con un nombre similar a una dirección de correo. Si ese archivo se ejecuta (doble clic), se produce la infección con una variante del troyano Spybot.

Cuando ello ocurre, el troyano crea la siguiente copia de si mismo en el sistema:
c:\windows\system32\[nombre del gusano].exe

También crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "[nombre del gusano].exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = "[nombre del gusano].exe"

HKLM\SOFTWARE\Microsoft\OLE
[nombre al azar] = "[nombre del gusano].exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "[nombre del gusano].exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = "[nombre del gusano].exe"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
[nombre al azar] = "[nombre del gusano].exe"

Además crea o modifica las siguientes entradas, para deshabilitar las herramientas de edición del registro (REGEDIT) y el Administrador de Tareas de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "0x31"
DisableTaskMgr = "0x31"
El troyano puede realizar las siguientes acciones:
Abrir una puerta trasera en el equipo infectado, permitiendo a un atacante acceder al sistema.
Finalizar procesos y servicios activos seleccionados por el atacante.
Convertir al PC en un repetidor o en un proxy, para el reenvío de spam, etc.

Reparación Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Descargue el archivo indicado en el siguiente enlace:
http://www.videosoft.net.uy/restore.reg
2. Reinicie Windows en modo a prueba de fallos
3. Haga doble clic sobre el archivo descargado antes y acepte los cambios.
4. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
5. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
6. Borre los archivos detectados como infectados.

Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 5 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 5 del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\OLE
7. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 5 del ítem "Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 5 del ítem "Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
11. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 5 del ítem "Antivirus".
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
13. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 5 del ítem "Antivirus".
14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/opanki-j.htm

----------------------------------
Además de esta versión, han aparecido las i, y h, y una llamada Opanki.damaged, que está dañada por errores en el código y que no puede ejecutarse, por tanto es inofensiva y no puede propagarse
Ver información del mismo en: http://www.vsantivirus.com/opanki-damaged.htm

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License