Autor Tema: Gusano procedente de Microsoft  (Leído 3583 veces)

Desconectado choche

  • Iniciado
  • *****
  • Mensajes: 3698
Gusano procedente de Microsoft
« en: 22 de Septiembre de 2003, 04:47:20 pm »
Un nuevo gusano, Pepex, que se está propagando a través del correo electrónico simulando ser un mensaje de Microsoft.

VSAntivirus

Nombre: W32/Pepex.D
Tipo: Gusano de Internet
Alias: [email protected], W32/[email protected], [email protected]
Plataforma: Windows 32-bit
Fecha: 5/set/03
Tamaño: 28.672 bytes

Variante del Pepex.A (http://www.vsantivirus.com/pepex-a.htm) y Pibi.B (http://www.vsantivirus.com/pibi-b.htm), este gusano se propaga en forma masiva a través del correo electrónico, utilizando su propio motor SMTP.

Se envía a todas las direcciones de correo electrónico que encuentre en archivos de la máquina infectada. También intenta finalizar los procesos de varios productos antivirus.

Está escrito en Microsoft C++ y comprimido con la utilidad UPX.

Los mensajes tienen estas características:
Ejemplo 1:

Asunto: Microsoft Windows Patch
De: "Microsoft"
Reply-To: "Microsoft"
Datos adjuntos: install.exe

Texto:
Please open the attachment if want to get supprise!

Ejemplo 2:

Asunto: Re:hya
De: "Microsoft"
Reply-To: "Microsoft"
Datos adjuntos: install.exe

Texto:
Please open the attachment if want to get supprise!

Cuando se ejecuta el archivo adjunto, el gusano muestra una ventana con el siguiente mensaje:

Happy Birthday My!
Merdeka!
[ OK ]

Luego se copia en la siguiente ubicación:

c:windowssystem[XXX].exe

Donde [XXX] pueden ser uno, dos o tres números al azar.

Ejemplos:

2.exe
567.exe
93.exe

NOTA: "C:Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:Windows" en Windows 9x/ME/XP o "C:WinNT" en Windows NT/2000).

También copia el siguiente archivo, que contiene al gusano, codificado en formato MIME64 (es el código enviado por correo electrónico al propagarse):

c:46.log

Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Nero.ma = c:windowssystem[XXX].exe

El gusano obtiene luego la dirección de correo electrónico y direcciones IP del servidor SMTP del usuario infectado, además de una lista de direcciones electrónicas obtenidas de todos los archivos con extensión .HTM del disco duro, y de todos los archivos de la carpeta de archivos temporales de Internet. Luego utiliza su propia rutina SMTP (no depende del programa de correo instalado), para enviarse a todas las direcciones localizadas, en mensajes como los ya descriptos.

El gusano también puede utilizar un servidor SMTP predefinido en su código, para enviarse.

Cada vez que se ejecuta, el gusano registra su propio proceso como un servicio. De ese modo queda oculto en la lista de procesos de algunas versiones de Windows.

También examina si alguno de los procesos activos contiene algunas de las siguientes palabras en su nombre:

ALERT
ANTIVIR
FIREW
MCAFEE
NOD32
PCCW
SCAN
SWEEP
TDS2-
TRAP
VSHW

Si esto se cumple, finaliza los procesos relacionados, desactivando el antivirus instalado (los nombres corresponden a conocidos productos antivirus).


Reparación manual

Remoción del troyano utilizando "Process Explorer"

Antes de eliminar este troyano, es necesario detener su ejecución en memoria. Puede usarse el administrador de tareas de Windows, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.

Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), el/los siguientes procesos:

[XXX].EXE

Donde [XXX] son uno, dos o tres números al azar. Ejemplos:

2.EXE
567.EXE
93.EXE


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:windowssystem[XXX].exe

Donde [XXX] pueden ser uno, dos o tres números al azar.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Nero.ma

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas".

3. Seleccione la lengüeta "Ver".

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos".

En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo".

6. Pinche en "Aplicar" y en "Aceptar".


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15194
    • http://www.daboblog.com
Gusano procedente de Microsoft
« Respuesta #1 en: 22 de Septiembre de 2003, 06:54:02 pm »
muy bueno choche, es tipo el Gibe C, mucho ojo, Microsoft MUNCA envia actualizaciones por medio de e mails :shock:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado choche

  • Iniciado
  • *****
  • Mensajes: 3698
Gusano procedente de Microsoft
« Respuesta #2 en: 22 de Septiembre de 2003, 07:15:20 pm »
Y si enviaran, para estar más seguros es actualizar desde la propia web de microsoft y nunca desde el mail. Verdad dabo?

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15194
    • http://www.daboblog.com
Gusano procedente de Microsoft
« Respuesta #3 en: 22 de Septiembre de 2003, 07:43:45 pm »
plas plas plas,  :D  un aplauso para choche, si señor, nunca desde un mail con un archivo adjunto, daros cuenta que afectaria a su super usado hotmail no??
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado caminante

  • Member
  • ***
  • Mensajes: 241
    • http://www.batallasgraficas.com/foro/index.php
.....algo parecido
« Respuesta #4 en: 24 de Septiembre de 2003, 11:46:33 pm »
a ese es este:

http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3032

por cierto a mi me llego el dichoso correo.

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15194
    • http://www.daboblog.com
Gusano procedente de Microsoft
« Respuesta #5 en: 25 de Septiembre de 2003, 02:20:36 am »
si alzai, estos dias salen variantes todos los dias sobre los mismos virus, sabeis que yo consulto mucho esa pagina, la info es cojonuda, buena aclaracion alzai  :!:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License