Adware.Look2Me. Envía información, abre ventanasNombre: Adware.Look2Me
Nombre Nod32: Win32/Adware.Look2Me
Tipo: Parásito (Adware)
Alias: Look2Me, Win32/Adware.Look2Me, Adware.Look2Me, Adware.Look2Me.A, Adware/Lookme, Adware-Look2Me, Downloader.Lookme.A, Downloader.Small.9.BK, AdvWare.Look2Me.i, W32/Sillydl.FF, TR/Dldr.Lookme.A, Trojan.Downloader.Lookme.A, Trojan.Trojandownloader.Lookme.A, TrojanDownloader.Win32.Lookme.a, TrojanDownloader.Win32.Small.rg, Win32/TrojanDownloader.Lookme.A, Win32/TrojanDownloader.Lookme.B
Plataforma: Windows 32-bit
Tamaño: variable
Este spyware es agregado por otros programas, que suelen instalarlo sin avisar de ello al usuario.
El parásito monitorea los sitios web que el usuario visita, y envía el registro de esta actividad al servidor del fabricante del software que lo instala.
Cuando se ejecuta suelen abrirse diferentes ventanas emergentes (pop-ups).
Intenta conectarse al siguiente sitio para enviar y recibir información:
www.look2me.com Modifica el registro para asociarse a las extensiones utilizadas por el Explorador de Windows. Si usted intenta simplemente borrarlo mientras está abierto el explorador, el programa vuelve a reinstalarse a si mismo (Explorer es un proceso que está activo desde que se inicia Windows).
No se muestra en el administrador de tareas, ya que se ejecuta mediante dicho proceso.
Crea algunos de los siguientes archivos en la carpeta de Windows o Windows\System:
msg{????????-????-????-????-????????????}????.dll
msg116.dll
msg117.dll
msg118.dll
msg119.dll
msg120.dll
msg121.cpy.dll
msg121.dll
msg122.dll
upd116.exe
upd117.exe
upd118.exe
Donde "?????" representa caracteres al azar.
Procedimiento sugerido de limpiezaNOTA: Eliminar este parásito, puede ocasionar que algunos de los programas que lo instalan, dejen de funcionar o no funcionen correctamente.
Es necesario finalizar el proceso EXPLORER.EXE de Windows, antes de borrar otros archivos de este malware. Para ello siga estos pasos:
1. Desde Inicio, Ejecutar escriba COMMAND y pulse Enter. Mantenga abierta la ventana con la línea de comandos que se desplegará ("Microsoft(R) Windows DOS", "(C)Copyright Microsoft Corp 1990-2001..").
2. SIN CERRAR la ventana anterior, ejecute el Administrador de tareas.
a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización de la herramienta "Process Explorer")
b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta "Procesos"
3. En la lista de programas (nombre de imagen) localice el siguiente proceso:
EXPLORER.EXE
(no lo confunda con IEXPLORE.EXE)
4. Seleccione ese nombre y haga clic en "Terminar proceso" o "Finalizar tarea".
5. Para asegurarse de haberlo quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario.
6. Ejecute una copia nueva de EXPLORER.EXE, escribiendo en la ventana de "Windows DOS" abierta en el paso 1, lo siguiente:
EXPLORER (y pulse Enter)
7. Con el Explorador de Windows, en la carpeta C:\WINDOWS\SYSTEM\ o C:\WINDOWS\SYSTEM32\, busque y elimine los siguientes archivos:
msg{????????-????-????-????-????????????}????.dll
msg116.dll
msg117.dll
msg118.dll
msg119.dll
msg120.dll
msg121.cpy.dll
msg121.dll
msg122.dll
upd116.exe
upd117.exe
upd118.exe
Donde "?????" representa caracteres al azar.
8. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
9. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
10. Seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada lo siguiente:
{DDFFA75A-E81D-4454-89FC-B9FD0631E726}
11. Borre todas las carpetas que coincidan con "{DDFFA75A-E81D-4454-89FC-B9FD0631E726}"
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Más información:
http://www.vsantivirus.com/look2me.htmEasyWebSearch. Modifica páginas de Inicio y búsquedaNombre: EasyWebSearch
Tipo: Parásito (objeto ActiveX)
Alias: EasyWebSearch, EasyWWW
Plataforma: Windows 32-bit
Tamaño: variable
EasyWebSearch es un control ActiveX que cambia las principales configuraciones por defecto del Internet Explorer, para que su página de inicio, de búsqueda, y otras asignadas por defecto, apunten a la siguiente dirección:
easywebsearch.nl
Está relacionado con el adware "EasyWWW":
EasyWWW. Modifica páginas de Inicio y búsqueda
http://www.vsantivirus.com/easywww.htm Otros dominios relacionados:
simpelinternet.nl
blingblingcontent.com
easybar.nl
toolbarcash.nl
klikeuro.nl
easygames.nl
Se trata de un control ActiveX descargado de un enlace como el siguiente:
http:/ /s7 .blingblingcontent .com /toolbarcash
/activex /easywebinstaller .ocx
Se identifica en el registro con la siguiente clase ID:
{3F2705D0-C9D8-4020-A15C-E495A0050EC6}
Este parásito, puede descargar los siguientes archivos en la máquina del usuario:
easybarinstall.exe
easybarinstall-.exe
easywebinstaller.ocx
easywebinstaller2.ocx
easywww.exe
easywww2.exe
ewupdater.exe
iewww.exe
-iewww.exe
iewwwint.exe
optimize.exe
El parásito, modifica los siguientes valores del registro:
CustomSearch
Default_Page_URL
Default_Search_URL
Search Bar
Search Page
SearchAssistant
Start Page CustomizeSearch
Procedimiento sugerido de limpiezaPuede desinstalar este parásito, desde "Agregar o quitar programas" del Panel de control de Windows. Sin embargo, sugerimos el siguiente procedimiento de limpieza.
NOTA: Eliminar este parásito, puede ocasionar que algunos de los programas que lo instalan, dejen de funcionar o no funcionen correctamente.
Más información:
http://www.vsantivirus.com/easywebsearch.htmEasyWWW. Modifica páginas de Inicio y búsquedaNombre: EasyWWW
Tipo: Parásito (Adware)
Alias: EasyWWW, EasyWebSearch
Plataforma: Windows 32-bit
Tamaño: variable
EasyWWW es un adware que cambia las principales configuraciones por defecto del Internet Explorer, para que su página de inicio, de búsqueda, y otras asignadas por defecto, apunten a la siguiente dirección:
searchbar.findthewebsiteyouneed.com
Está relacionado con el control ActiveX "EasyWebSearch":
EasyWebSearch. Modifica páginas de Inicio y búsqueda
http://www.vsantivirus.com/easywebsearch.htm Otros dominios relacionados:
findthewebsiteyouneed.com
Este adware, puede descargar los siguientes archivos en la máquina del usuario:
easywww.exe
easywww2.exe
easywww3.exe
Procedimiento sugerido de limpiezaPuede desinstalar este parásito, desde "Agregar o quitar programas" del Panel de control de Windows. Sin embargo, sugerimos el siguiente procedimiento de limpieza.
NOTA: Eliminar este parásito, puede ocasionar que algunos de los programas que lo instalan, dejen de funcionar o no funcionen correctamente.
Más información:
http://www.vsantivirus.com/easywww.htmCOMUN PARA LOS TRES ANTERIORESBorrar archivos temporales1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Borrar Archivos temporales de Internet1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".
Cambiar la página de inicio del Internet ExplorerCambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".
Cambiar las páginas de búsqueda del Internet Explorer1. Inicie el Internet Explorer.
2. Haga clic en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Haga clic en el botón "Reiniciar" (Reset).
6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
Zerolin.D Codigo JavaScript que redirecciona el navegador hacia una URL predeterminada.
Es efectivo sobre navegadores en ejecución en sistemas Windows 95, 98, ME, NT, 2000, y XP.
Nombre completo: Virus.JS/Zerolin.D
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [JS] - JavaScript
w32
Tamaño (bytes): 192
Alias: JS_ZEROLIN.D (Trend Micro)
Una vez que es ejecutado, se activa el script malicioso de forma inmediata que provocará la redirección de la página actual del navegador hacia la siguiente dirección:
http://212.-bloqueado-.35.144/link.html En el momento de la publicación de este malware, la mencionada dirección no es accesible.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4316 Revcuss.C Troyano que puede acceder a la máquina a través de cualquier puerto abierto, copiándose en ella con los nombre Msnnm.exe y Msndr.exe, aunque también puede usar otros servicios de Internet.
Puede usar cualquier otro servicio de Internet.
Captura las teclas digitadas en tiempo real y roba las contraseñas e información confidencial almacenadas en las carpetas temporales o cache pertenecientes a entidades bancarias británicas.
Envía la información al hacker en un mensaje de correo a una dirección predeterminada.
Nombre completo: PWSteal.W32/Revcuss.C
Tipo: [PWSteal] - Trayano que roba contraseñas u otros datos confidenciales del sistema infectado
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Tamaño comprimido (bytes): 25088
Alias:PWSteal.Revcuss.C (Symantec), Troj/Revcuss.C (Otros)
Una vez dentro del sistema, crea el mutex de nombre "msmcxx" para evitar ejecutarse más de una vez.
Luego se auto-copia al directorio %System% con el nombre de Msnnm.exe y a la carpeta %Windir% como Msndr.exe. Para activarse la siguiente vez que se inicie el sistema crea las siguientes entradas de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUpdate Loader" = "%System%\msnnm.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion]
"run" = "%Windir%\msndr.exe"
En Windows 95/98/Me modifica el WIN.INI agregándole una línea de comando de ejecución:
WIN.INI
[windows]
run=msndr.exe
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
La siguiente vez que se inicie el equipo el troyano capturará las teclas digitadas, en tiempo real y las contraseñas almacenadas en las carpetas temporales o "Cache" del sistema.
Intenta conectar con el sisio
http://cinnam.vibrahost.com/*****.phpa través de Internet Explorer.
Para ocultar su actividad crea un nuevo escritorio(desktop) con el nombre Default000, sobre el que ejecuta el navegador %Windows%\Program Files\Internet Explorer\iexplore.exe as.
Está constantemente verificando que los títulos de las ventanas de navegador abiertas coincidan con alguna de las siguientes cadenas de texto:
Barclays IBank
HSBC Internet Banking
Equifax UK Commercial
Experian candidate verifier
LloydsTSB online - Welcome
Enter memorable information
NatWest OnLine Banking
Online Service
Transfer to another organisation - Create
Nationwide Building Society - Internet banking
Login
Abbey
Si se produce la coincidencia, tratará de identificar con mayor detalle a quién pertenece la dirección accedida contrastándola con las siguientes:
https://ibank.barclays.co.uk/fp/ https://ibank.barclays.co.uk/fp/ https://www.ebank.hsbc.co.uk/logonindex.jsp http://www.candidateverifier.com/ https://www.equifax.co.uk/equifax/commercial/index.html https://online.lloydstsb.co.uk/customer.ibc https://online.lloydstsb.co.uk/logon.ibc https://online-business.lloydstsb.co.uk/customer.ibc https://online-business.lloydstsb.co.uk/logon.ibc https://www.nwolb.com/secure/default.asp https://www.nwolb.com/secure/logon.asp Logon-PinPass.asp
https://www.halifax-online.co.uk/_mem_bin/formslogin.asp https://banking.halifax-online.co.uk/Servicing/App/CreateBillPayment.asp https://olb2.nationet.com/default https://www.natwestfastpay.com/service/default.jsp? https://myonlineaccounts2.abbeynational.co.uk/ffStatic/html/logon.html Si consigue identificarla, capturará cualquier pulsación que realice el usuario durante la navegación y procederá a almacenarlas para enviarlas posteriormente a una dirección predeterminada. En este caso será
http://cinnam.vibrahost.com/****.php
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4315
Noomy.A Gusano que se propaga de forma masiva por correo electronico, y también a través de canales IRC. Los mensajes invitan al usuario a descargar archivos de un servidor HTML oculto en los equipos infectados.
Es capaz de capturar información del equipo infectado y posee rutinas para la intentar ataques de denegación de Servicio sobre determinados sitios Web.
Nombre completo: Worm.W32/Noomy.A@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
W32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32.Noomy.A@mm (Symantec), W32/Noomy-A (Sophos), Win32/Noomy.A (Enciclopedia Virus), W32/Noomy.A (Otros)
Cuando el gusano se ejecuta crea una carpeta llamada "SYSTEMBCK" dentro de Windows, y se copia denrto de ella con varios nombres, además se copia en la carpeta del sistema:
c:\windows\sysconf32.exe
c:\windows\systembck\[nombres al azar]
También crea los siguientes archivos:
c:\windows\emls.tmp
\ReAd_ThiS_ShiT.txt
\StpLogs.vbs
\Pingme.bat
Para ejecutarse en cada inicio del sistema crea la siguiente entrada en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Windows HTML file reader = c:\windows\sysconf32.exe
Se envía en forma masiva por correo electrónico, a todas las direcciones extraídas de archivos con las siguientes extensiones:
.dbx
.htm
.html
.php
Se propaga en mensajes con los siguientes asuntos:
Re: eCard Delivery Error:
Re: VoiceMail to
- Delivery Error You`ve got 1 new eCard!
bad request server not found!
One new VoiceMail! ID:
One new eCard! ID:
New eCard in your inbox!
You got one VoiceMail! See online!
Num: One new eCard from
Num: One new voicemail from
Mail Delivery (error )
Re: Message Error! mail:
Bad Request Server not found!
Re: Mail System Error - Returned Mail
Extended mail system error:
Re: Mail Delivery Error!
Protected Mail Server invalid!
Re: Mail Delivery: - Error
Re: mail error num:
- Returned mail: see transcript for details
Warning!!!
Why you SPAM?
Last notice!
Re: Regard ! Please read...
This is not OK !
Don"t spam!!!!!
Question about YOUR SPAM!!
Information!You spam this email:
Last chance!STOP SPAM THIS EMAIL:
Utiliza nombres de archivos adjuntos seleccionados al azar, y cuando se ejecuta muestra un mensaje de error falso con el siguiente texto:
CRC error: 5418#223 Close file
El gusano utiliza la interfase Winsock para enviarse. Ello requiere que el archivo "MSWINSCK.OCX" esté presente en el sistema. Si no lo encuentra, el gusano intentará descargarlo de un sitio predeterminado de Internet.
También puede propagarse enviando otros mensajes en forma de spam a través del correo electrónico, o de los canales de IRC. Los mensajes invitan al usuario a descargar archivos de un servidor HTML oculto en los equipos infectados.
Este servidor da acceso a los usuarios engañados a la carpeta C:\WINDOWS\SYSTEMBCK\ que contiene copias del propio gusano con diferentes nombres.
El servidor HTML también permite a un intruso registrar y visualizar varios aspectos del equipo infectado.
Existe una opción para eliminar todos los archivos con extensión ".SYS" de la carpeta raíz, lo que puede dificultar el reinicio de Windows.
El intruso puede además, instalar otros programas maliciosos en el sistema.
El archivo PINGME.BAT liberado en la carpeta raíz, contiene las instrucciones para intentar un ataque de denegación de servicio a los siguientes sitios:
www.kaspersky.com www.microsoft.com www.sophos.com Asunto del mensaje (virus que llegan por correo)
Information!You spam this email:
Question about YOUR SPAM!!
Don"t spam!!!!!
Re: Regard ! Please read...
This is not OK !
Last notice!
Why you SPAM?
Warning!!!
- Returned mail: see transcript for details
Re: mail error num:
Re: Mail Delivery: - Error
Protected Mail Server invalid!
Re: Mail Delivery Error!
Extended mail system error:
Re: Mail System Error - Returned Mail
Bad Request Server not found!
Re: Message Error! mail:
Mail Delivery (error )
Num: One new voicemail from
Num: One new eCard from
You got one VoiceMail! See online!
New eCard in your inbox!
One new eCard! ID:
One new VoiceMail! ID:
bad request server not found!
- Delivery Error You`ve got 1 new eCard!
Re: VoiceMail to
Re: eCard Delivery Error:
Last chance!STOP SPAM THIS EMAIL:
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4314
