W32/Bagz.G. Desactiva cortafuegos de WindowsNombre: W32/Bagz.G
Nombre Nod32: Win32/Bagz.G
Tipo: Gusano de Internet
Alias: Bagz.G, Win32/Bagz.G, Bagz.g, I-Worm.Bagz.g, W32.Bagz.H@mm, W32/Bagz.G@mm, W32/Bagz.gen@MM, W32/Bagz-F, Win32.Bagz.F, Win32.Bagz.F!ZIP, Win32/Bagz.166913.Worm, WORM_BAGZ.F
Plataforma: Windows 32-bit
Tamaño: 166,913 bytes
Gusano que intenta deshabilitar varios cortafuegos, incluido el de Windows XP. Su presencia en un sistema infectado, resulta en una notoria caída de rendimiento en la conexión a Internet.
Se propaga por correo electrónico en forma masiva, utilizando su propio motor SMTP, a direcciones obtenidas en archivos de la máquina infectada. Utiliza remitentes falsos.
Los mensajes tienen las siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- Administrator
- Allert!
- Amirecans
- ASAP
- attach
- attachments
- best regards
- contract
- Have a nice day
- Hello
- Money
- office
- please responce
- re: Andrey
- re: order
- re: please
- Read this
- Russian's
- text
- toxic
- urgent
- Vasia
- waiting
- Warning
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
Hi
Did you get the previous document I attached for you?
I resent it in this email just in case, because I
really need you to check it out asap.
Best Regards
Ejemplo 2:
Hi
I made a mistake and forgot to click attach
on the previous email I sent you. Please give me
your opinion on this opportunity when you get a
chance.
Best Regards
Ejemplo 3:
Hi
I was supposed to send you this document yesterday.
Sorry for the delay, please forward this to your
family if possible.
It contains important info for both of you.
Ejemplo 4:
Hi
Sorry, I forgot to send an important
document to you in that last email. I had an important
phone call.
Please checkout attached doc file when you have a
moment.
Best Regards
Ejemplo 5:
Hi
I was in a rush and I forgot to attach an important
document. Please see attached doc file.
Best Regards,
Ejemplo 6:
Sorry to bother you, but I am having a problem
receiving your emails.
I am responding to your last email in the attached
file.
Please get back to me if there is any problem reading
the attachment.
Ejemplo 7:
I am responding to your last email in the attached
file.
I had a delivery problem with your inbox, so maybe
you'll receive this now.
Ejemplo 8:
Can you please check out the email I have attached?
For some reason, I received only part of your last
several emails.
I want to make sure that there are no problems with
either of our accounts.
Ejemplo 9:
This email is being sent as attachment because
it was previously blocked by your email filters.
Please view the attachment and respond.
Thanks
Ejemplo 10:
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks
Ejemplo 11:
I apologize, but I need you to verify
that I have the correct contact info for you.
My system crashed last weekend and
I lost most of my friends and work contacts.
Please check the attached (.pdf) and
please let me know if your info is current.
Ejemplo 12:
My last email to you was returned.
The reason is that I am not currently
added to your allowed contact list.
Please add my updated contact info
provided in the attached (.pdf) file
so I can send you emails in the future.
Sincerely
Ejemplo 13:
I have updated my email address
See the (.pdf) file attached and
please respond if you have any questions.
Ejemplo 14:
We have made recent updates to our database.
Please verify your mailing address on file is correct.
We have attached a (.pdf) sheet for you to use for
your response.
Ejemplo 15:
Hello
Our contact information has changed.
See the attached (.pdf) sheet for details.
Sincerely,
Ejemplo 16:
***URGENT: SERVICE SHUTDOWN NOTICE***
Due to your failure to comply with our email
Rules and Regulations, your email account has been
temporarily suspended for 24 hours unless we are
contacted regarding this situation.
You must read the attached document for further
instructions. Failure to comply will result in
termination of your account.
Regards,
Net Operator
***URGENT: SERVICE SHUTDOWN NOTICE***
Ejemplo 17:
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***
You are currently unable to send emails.
This may be a billing issue.
Please call the billing center.
The # for the billing office is located in the
attached contact list for your convenience.
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***
Ejemplo 18:
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Hello,
The previous email you sent has been recognized as
spam.
This means your email was not delivered to your friend
or client.
You must open the attached file to receive more
information.
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Ejemplo 19:
Hello,
What version of windows you are using?
This last document I received from you came out weird.
Please see the attached word file and resend the file
to me.
Many thanks,
User
Ejemplo 20:
Hello,
My PC crashed while I was sending that last email.
I have re-attached the document of yours that I
discovered.
Please read attached document and respond ASAP.
Sincerely,
User
Ejemplo 21:
Hello,
Your email was sent in an INVALID format.
To verify this email was sent from you,
simply open the attached email (.eml) file
and click yes in the sender options box.
Thank You,
User
Ejemplo 22:
Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User
Ejemplo 23:
Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards,
User
Ejemplo 24:
Hello,
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks,User
Ejemplo 25:
Hello,
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely, User
Datos adjuntos: [uno de los siguientes]
about.doc [espacios] .exe
about.zip
admin.doc [espacios] .exe
admin.zip
archivator.doc [espacios] .exe
archivator.zip
archives.doc [espacios] .exe
archives.zip
ataches.doc [espacios] .exe
ataches.zip
backup.doc [espacios] .exe
backup.zip
docs.doc [espacios] .exe
docs.zip
documentation.doc [espacios] .exe
documentation.zip
help.doc [espacios] .exe
help.zip
inbox.doc [espacios] .exe
inbox.zip
manual.doc [espacios] .exe
manual.zip
outbox.doc [espacios] .exe
outbox.zip
payment.doc [espacios] .exe
payment.zip
photos.doc [espacios] .exe
photos.zip
rar.doc [espacios] .exe
rar.zip
readme.doc [espacios] .exe
readme.zip
save.doc [espacios] .exe
save.zip
zip.doc [espacios] .exe
zip.zip
Los archivos ZIP contienen una copia del gusano con una o dos extensiones separadas por espacios.
NOTA: Los adjuntos son creados en la carpeta del sistema de Windows.
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system32\sqlssl.doc [espacios] .exe
c:\windows\system32\sysinfo32.exe
c:\windows\system32\trace32.exe
También libera los siguientes archivos:
c:\windows\system32\ipdb.dll
c:\windows\system32\jobdb.dll
c:\windows\system32\wdate.dll
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano crea las siguientes entradas en el registro:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XUY_V_PALTO\
HKLM\SYSTEM\CurrentControlSet\Services\Xuy v palto\
Esto genera un servicio llamado "Xuy v palto" (nombre que muestra: "Windows Secure SSL"), ejecutando TRACE32.EXE.
Deshabilita la protección antivirus de KaZaa, borrando la siguiente clave del registro:
HKCU\Software\Kazaa\Settings\Quarantine
También es capaz de deshabilitar el cortafuegos de Windows XP, instalando su propio driver de redes para eludir el cortafuegos de la red local.
Puede descargar y ejecutar otros archivos desde Internet, descargándolos de los siguientes sitios:
groundworm.biz
warfed.biz
Busca direcciones electrónicas a las que luego se envía en mensajes como los descriptos antes, en archivos del equipo infectado con las siguientes extensiones:
.dbx
.htm
.tbb
.tbi
.txt
El gusano evita enviarse a direcciones con las siguientes cadenas en sus nombres:
@avp
@foo
@iana
@messagelab
@microsoft
abuse
admin
administrator@
all@
anyone@
bsd
bugs@
cafee
certific
certs@
contact@
contract@
feste
free-av
f-secur
gold-
gold-certs@
google
help@
hostmaster@
icrosoft
info@
kasp
linux
listserv
local
netadmin@
news
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
spam
support
support@
unix
update
webmaster@
winrar
winzip
También modifica el archivo HOSTS de Windows, para impedir que el usuario infectado pueda acceder a los siguientes sitios de Internet:
ad .doubleclick .net
ad .fastclick .net
ads .fastclick .net
ar .atwola .com
atdmt .com
avp .com
avp .ch
avp .ru
awaps .net
banner .fastclick .net
banners .fastclick .net
ca .com
click .atdmt .com
clicks .atdmt .com
dispatch .mcafee .com
download .mcafee .com
download .microsoft .com
downloads .microsoft .com
engine .awaps .net
fastclick .net
f-secure .com
ftp .f-secure .com
ftp .sophos .com
go .microsoft .com
liveupdate .symantec .com
mast .mcafee .com
mcafee .com
media .fastclick .net
msdn .microsoft .com
my-etrust .com
nai .com
networkassociates .com
office .microsoft .com
phx .corporate-ir .net
secure .nai .com
securityresponse .symantec .com
service1 .symantec .com
sophos .com
spd .atdmt .com
support .microsoft .com
symantec .com
update .symantec .com
updates .symantec .com
us .mcafee .com
vil .nai .com
viruslist .ru
windowsupdate .microsoft .com
www .avp .com
www .avp .ch
www .avp .ru
www .awaps .net
www .ca .com
www .fastclick .net
www .f-secure .com
www .kaspersky .ru
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .ru
www3 .ca .com
Elimina procesos y entradas en el registro, pertenecientes a múltiples aplicaciones de seguridad, relacionadas con los siguientes archivos:
804mbd1.chk
804mbd1.img
aboutplg.dll
alert.zap
appinit.ini
apwcmdnt.dll
apwutil.dll
ashavast.exe
ashbug.exe
ashchest.exe
ashdisp.exe
ashldres.dll
ashlogv.exe
ashmaisv.exe
ashpopwz.exe
ashquick.exe
ashserv.exe
ashsimpl.exe
ashskpcc.exe
ashskpck.exe
aswboot.exe
aswregsvr.exe
aswupdsv.exe
avcompbr.dll
avres.dll
bootwarn.exe
camupd.dll
ccavmail.dll
ccimscan.dll
ccimscn.exe
cerbprovider.pvx
cfgwiz.exe
cfgwzres.dll
defalert.dll
djsalert.dll
dunzip32.dll
edisk.dll
email.zap
emscnres.dll
filter.zap
firewall.zap
framewrk.dll
ftscnres.dll
idlock.zap
imscnbin.inf
imscnres.inf
ltchkres.dll
mcappins.exe
mcavtsub.dll
mcinfo.exe
mcmnhdlr.exe
mcscan32.dll
mcshield.dll
mcshield.exe
mcurial.dll
mcvsctl.dll
mcvsescn.exe
mcvsftsn.exe
mcvsmap.exe
mcvsrte.exe
mcvsscrp.dll
mcvsshl.dll
mcvsshld.exe
mcvsskt.dll
mcvsworm.dll
mghtml.exe
mpfagent.exe
mpfconsole.exe
mpfservice.exe
mpftray.exe
mpfui.dll
mpfupdchk.dll
mpfwizard.exe
mvtx.exe
n32call.dll
n32exclu.dll
naiann.dll
naievent.dll
navap32.dll
navapscr.dll
navapsvc.exe
navapw32.dll
navapw32.exe
navcfgwz.dll
navcomui.dll
naverror.dll
navevent.dll
navlcom.dll
navlnch.dll
navlogv.dll
navlucbk.dll
navntutl.dll
navoptrf.dll
navopts.dll
navprod.dll
navshext.dll
navstats.dll
navstub.exe
navtasks.dll
navtskwz.dll
navui.dll
navui.nsi
navuihtm.dll
navw32.exe
navwnt.exe
netbrext.dll
ntclient.dll
oeheur.dll
officeav.dll
opscan.exe
outscan.dll
outscres.dll
patch25d.dll
patchw32.dll
persfw.exe
pfwadmin.exe
probegse.dll
programs.zap
ptchinst.dll
qconres.dll
qconsole.exe
qspak32.dll
quar32.dll
quarantine
quaropts.dat
s32integ.dll
s32navo.dll
savrt.sys
savrt32.dll
savrtpel.sys
savscan.exe
scan.dat
scandlvr.dll
scandres.dll
scanmgr.dll
scanserv.dll
scriptui.dll
scrpres.dll
scrpsbin.inf
scrstres.inf
sched.exe
sdpck32i.dll
sdsnd32i.dll
sdsok32i.dll
sdstp32i.dll
security.zap
shextbin.inf
shextres.inf
shlres.dll
ssleay32.dll
statushp.dll
symnavo.dll
tutorwiz.dll
vsagntui.dll
vsavpro.dll
vsdb.dll
vsmon.exe
vsoui.dll
vsoupd.dll
vsowow.dll
vsruledb.dll
vsvault.dll
wormres.dll
zatutor.exe
zauninst.exe
zav.zap
zl_priv.htm
zlclient.exe
zlparser.dll
zonealarm.exe
Reparación Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusActualice sus antivirus con las últimas definiciones
2. Ejecutar Administrador de tareas.
a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización de la herramienta "Process Explorer")
b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta "Procesos"
3. En la lista de programas (nombre de imagen) localice el siguiente proceso:
Trace32.exe
4. Seleccione ese nombre y haga clic en "Terminar proceso" o "Finalizar tarea".
5. Para asegurarse de haberlo quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario.
Utilización de la herramienta "Process Explorer"Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtmlUna vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.
Para la finalización de los procesos indicados, localice y "mate" (Kill Process), cada proceso cuyo nombre se menciona en los pasos anteriores (ver "Eliminación de procesos del virus en memoria"), buscándolo bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer".
Buscar y detener el servicio (Windows XP):1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter.
2. En la lista de servicios busque "Windows Secure SSL".
3. Haga doble clic sobre ese servicio, y haga clic en el botón "Detener" si corresponde.
4. Cambie el "Tipo de inicio" a Manual.
5. Haga clic en "Aceptar" y cierre la ventana de Servicios.
Antivirus1. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
2. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\ipdb.dll
c:\windows\system32\jobdb.dll
c:\windows\system32\sqlssl.doc [espacios] .exe
c:\windows\system32\sysinfo32.exe
c:\windows\system32\trace32.exe
c:\windows\system32\wdate.dll
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_XUY_V_PALTO
3. Pinche en la carpeta "LEGACY_XUY_V_PALTO" y bórrela.
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Xuy v palto
5. Pinche en la carpeta "Xuy v palto" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Restaurar archivo HOSTS1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/bagz-g.htmVBS/Yeno.B. Infecta archivos .vbs, .vbe, .htm y .htmlNombre: VBS/Yeno.B
Tipo: Gusano de Internet (Visual Basic Script) y virus
Alias: Yeno.B, VBS.Yeno.B@mm, I-Worm.Yeno.b, VBS/Yeno.gen
Plataforma: Windows 32-bit
Tamaño: 6,945 bytes
Gusano escrito en Visual Basic Script, que se propaga masivamente vía correo electrónico, enviándose a si mismo a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, en mensajes como el siguiente:
Asunto: Fw: I give you again
Texto del mensaje:
Spidey has give you some password of xxx site
(cute) Spidey
Datos adjuntos: Oxney.b.vbs
También es un virus capaz de infectar archivos con las siguientes extensiones, localizados en las unidades de disco C, D y E:
.vbs
.vbe
.htm
.html
Cuando se ejecuta, el gusano muestra una ventana con el siguiente texto:
OXNEY.B
Are you still drunk...???
[ Si ] [ No ]
Si el usuario hace clic en el botón del [Yes], el gusano no se ejecuta.
Si pulsa el botón del [No], entonces se muestra otra ventana con el siguiente texto:
OXNEY.B
____________________YOU GOT MY WORM____________________
It's not dangerous
to disinfect contact you AV center.......!!!
or visit :
www.Spidey.uni.ccfor more info about this worm
by (cute) Spidey
____________________YOU GOT MY WORM____________________
[ Aceptar ]
Cambia los atributos al archivo ejecutado, colocando sus propiedades como archivo (+A), sistema (+S), y oculto (+H).
Luego se copia en la siguiente ubicación:
c:\windows\system\oxney.b.vbs
Crea o modifica las siguientes entradas en el registro, las primeras para autoejecutarse en cada reinicio de Windows:
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
SPINX = "Wscript.exe c:\windows\system\oxney.b.vbs %"
HKU\.DEFAULT\Software\Microsoft
\Windows\CurrentVersion\RunServices
Load-Guard = "wscript.exe c:\windows\lguarg.exe.vbs %"
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SPINX
HKU\.DEFAULT\Software\Policies
\Microsoft\Internet Explorer\Control Panel
GeneralTab = "1"
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = "Spidey.uni.cc"
Window Title = "Micosoft Internet Explorer Provided by : Spidey"
Si en este momento el segundo dígito de la hora actual del sistema es un "2" (02:xx, 12:xx, 22:xx), se copia en el siguiente archivo, siempre que exista un disquete desprotegido contra escritura en la unidad A:
a:\permohonan ma'afku.txt.vbs
El gusano examina las unidades de disco C, D y E, para infectar archivos con extensiones .HTM y .HTML, agregando su código a ellos. Cuando uno de estos documentos infectados es visualizado, pueden ejecutarse los siguientes archivos:
c:\windows\system\oxney.b.vbs
c:\windows\lguarg.exe.vbs
El gusano no crea el segundo de estos archivos, que se supone debería ya estar presente en las máquinas infectadas.
También busca archivos en las unidades C, D y E con extensiones .VBS y .VBE, y los infecta agregándoles su propio código.
Utiliza el Outlook y Outlook para propagarse masivamente por correo electrónico, a todos los contactos de la libreta de direcciones de dichos programas.
Reparación AntivirusActualice sus antivirus con las últimas definiciones
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\oxney.b.vbs
a:\permohonan ma'afku.txt.vbs
IMPORTANTE: El segundo archivo debe ser borrado de todos los disquetes que han sido infectados.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
SPINX
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Load-Guard
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\SPINX
7. Haga clic sobre la carpeta "SPINX" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Policies
\Microsoft
\Internet Explorer
\Control Panel
9. Haga clic en la carpeta "Control Panel" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
GeneralTab = "1"
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main
11. Haga clic en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Start Page = "Spidey.uni.cc"
Window Title = "Micosoft Internet Explorer Provided by : Spidey"
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Seleccionar la página de inicio del Internet ExplorerCambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/yeno-b.htmVBS/Yeno.C. Infecta archivos .vbs, .vbe, .htm y .htmlNombre: VBS/Yeno.C
Tipo: Gusano de Internet (Visual Basic Script) y virus
Alias: Yeno.C, VBS.Yeno.C@mm, VBS/Yeno.gen
Plataforma: Windows 32-bit
Tamaño: variable
Gusano escrito en Visual Basic Script, que se propaga masivamente vía correo electrónico, enviándose a si mismo a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, en mensajes como el siguiente:
Asunto: Fw: I give you again
Texto del mensaje:
Spidey has give you some password of xxx site
(cute) Spidey
Datos adjuntos: Oxney.c.vbs
También es un virus capaz de infectar archivos con las siguientes extensiones, localizados en las unidades de disco C, D y E:
.vbs
.vbe
.htm
.html
Cuando se ejecuta, el gusano se copia en la siguiente ubicación:
c:\windows\system\oxney.c.vbs
Crea o modifica las siguientes entradas en el registro, las primeras para autoejecutarse en cada reinicio de Windows:
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
SPINX = "Wscript.exe c:\windows\system\oxney.c.vbs %"
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices
Load-Guard = "wscript.exe c:\windows\lguarg.exe.vbs %"
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SPINX
HKU\.DEFAULT\Software\Policies
\Microsoft\Internet Explorer\Control Panel
GeneralTab = "1"
HKCU\Software\Microsoft\Internet Explorer\Main
Window Title = "Micosoft Internet Explorer Provided by : Spidey"
Start Page = "Spidey.uni.cc"
Si en este momento el segundo dígito de la hora actual del sistema es un "2" (02:xx, 12:xx, 22:xx), se copia en el siguiente archivo, siempre que exista un disquete desprotegido contra escritura en la unidad A:
a:\i am sorry.txt.vbs
El gusano examina las unidades de disco C, D y E, para infectar archivos con extensiones .HTM y .HTML, agregando su código a ellos. Cuando uno de estos documentos infectados es visualizado, pueden ejecutarse los siguientes archivos:
c:\windows\system\oxney.c.vbs
c:\windows\lguarg.exe.vbs
El gusano no crea el segundo de estos archivos, que se supone debería ya estar presente en las máquinas infectadas.
También busca archivos en las unidades C, D y E con extensiones .VBS y .VBE, y los infecta agregándoles su propio código.
Utiliza el Outlook y Outlook para propagarse masivamente por correo electrónico, a todos los contactos de la libreta de direcciones de dichos programas.
Reparación AntivirusActualice sus antivirus con las últimas definiciones
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\oxney.c.vbs
a:\i am sorry.txt.vbs
IMPORTANTE: El segundo archivo debe ser borrado de todos los disquetes que han sido infectados.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
SPINX
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Load-Guard
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\SPINX
7. Haga clic sobre la carpeta "SPINX" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Policies
\Microsoft
\Internet Explorer
\Control Panel
9. Haga clic en la carpeta "Control Panel" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
GeneralTab = "1"
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main
11. Haga clic en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Start Page = "Spidey.uni.cc"
Window Title = "Micosoft Internet Explorer Provided by : Spidey"
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Seleccionar la página de inicio del Internet ExplorerCambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/yeno-c.htmW32/Swash.A. Se propaga por e-mail y P2PNombre: W32/Swash.A
Nombre Nod32: Win32/Swash.A
Tipo: Gusano de Internet y caballo de Troya
Alias: Swash.A, Win32/Swash.A, W32/Mydoom.AF, I-Worm.Mydoom.ab, I-Worm.Win32.Swash.31744, I-Worm/Swash.A, Mydoom.AF, W32.Mydoom.AG@mm, W32/Mydoom.AF, W32/Mydoom.af@MM, W32/MyDoom-AG, W32/MyDoom-Gen, W32/Swash.A.worm, Win32.Mydoom.AE, Win32.Swash.A, Win32/Mydoom.AE, Win32/Mydoom.AF, Win32/Mydoom.Variant.Worm, Win32/Swash.A@mm, Win32/Swash.D@mm, Worm/MyDoom.AE, WORM_MYDOOM.AG, WORM_SWASH.A
Plataforma: Windows 32-bit
Tamaño: 31,864 bytes (ZIP), 31,744 bytes
Gusano basado en el Mydoom, detectado por primera vez el 26 de octubre de 2004.
Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]:
Donde [Usuario] es uno de los siguientes nombres:
angela
anthony
barbara
betty
cissi
cynthia
charles
christopher
daniel
david
donald
dorothy
edward
elizabeth
emily
ethan
george
hannah
hans
harris
helen
james
jennifer
john
josefine
joseph
karen
kevin
kimberly
lee
len
linda
maria
mark
martin
melissa
michael
nancy
nicholas
olivia
patricia
paul
richard
robert
ronald
sandra
susan
thomas
william
[Dominio] es el dominio del destinatario, o uno de los siguientes:
aol.com
compuserve.com
earthlink.net
hotmail.com
juno.com
msn.com
yahoo.co.uk
yahoo.com
El asunto del mensaje puede ser alguno de los siguientes:
- Attention!!!
- Do not reply to this email
- Error
- Good day
- hello
- Mail Delivery System
- Mail Transaction Failed
- Server Report
- Status
El texto del mensaje puede ser alguno de los siguientes:
The message contains Unicode characters and has
been sent as a binary attachment.
The message cannot be represented in 7-bit
ASCII encoding and has been sent as a binary
attachment.
Mail transaction failed. Partial message is
available.
Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you
can find in the attachment file.
It's a real good choise to go to
WORLDXXXPASS.COM
Attention! New self-spreading virus!
Be careful, a new self-spreading virus called
"RTSW.Smash" spreading very fast via e-mail and
P2P networks. It's about two million people
infected and it will be more.
To avoid your infection by this virus and to
stop it we provide you with full information
how to protect yourself against it and also
including free remover. Your can find it in the
attachment.
c 2004 Networks Associates Technology, Inc. All
Rights Reserved
New terms and conditions for credit card
holders
Here a new terms and conditions for credit card
holders using a credit cards for making
purchase in the Internet in the attachment.
Please, read it carefully. If you are not agree
with new terms and conditions do not use your
credit card in the World Wide Web.
Thank you,
The World Bank Group
c 2004 The World Bank Group, All Rights
Reserved
Attention! Your IP was logged by The Internet
Fraud Complaint Center
Your IP was logged by The Internet Fraud
Complaint Center. There was a fraud attempt
logged by The Internet Fraud Complaint Center
from your IP. This is a serious crime, so all
records was sent to the FBI. All information
you can find in the attachment. Your IP was
flagged and if there will be anover attemption
you will be busted.
This message is brought to you by the Federal
Bureau of Investigation and the National White
Collar Crime Center
El archivo adjunto, puede tener alguno de los siguientes nombres:
body
data
doc
docs
document
file
message
readme
rules
Seguido de alguna de estas extensiones:
.bat
.cmd
.exe
.pif
.scr
.zip
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
\hserv.sys
c:\windows\system32\lsasrv.exe
c:\windows\system32\version.ini
Para autoejecutarse en cada reinicio, modifica las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = "c:\windows\system32\lsasrv.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe c:\windows\system32\lsasrv.exe"
El gusano se propaga por redes P2P como KaZaa, copiándose en la carpeta compartida con los siguientes nombres y la extensión .BAT, .PIF, .SCR, o .EXE:
porno
avpprokey
Ad-awareref01R349
winxp_patch
adultpasswds
dcom_patches
activation_crack
icq2004-final
winamp5
K-LiteCodecPack2.34a
NeroBROM6.3.1.27
El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas:
.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your
Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
Intenta detener los siguientes procesos que pudieran estar en memoria:
bbeagle.exe
d3dupdate.exe
i11r54n4.exe
irun4.exe
MSBLAST.exe
msblast.exe
mscvb32.exe
navapw32.exe
navw32.exe
netstat.exe
outpost.exe
PandaAVEngine.exe
Penis32.exe
rate.exe
ssate.exe
sysinfo.exe
SysMonXP.exe
taskmon.exe
teekids.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zonealarm.exe
Modifica el archivo HOSTS de Windows, para impedir el acceso a los siguientes sitios de Internet, pertenecientes a conocidos antivirus:
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 grisoft.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www .avp .com
127.0.0.1 www .ca .com
127.0.0.1 www .f-secure .com
127.0.0.1 www .grisoft .com
127.0.0.1 www .kaspersky .com
127.0.0.1 www .mcafee .com
127.0.0.1 www .my-etrust .com
127.0.0.1 www .nai .com
127.0.0.1 www .networkassociates .com
127.0.0.1 www .sophos .com
127.0.0.1 www .symantec .com
127.0.0.1 www .trendmicro .com
127.0.0.1 www .viruslist .com
También intenta descargar un archivo de un sitio web (wmspb.net).
Herramienta de limpieza automática:Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.
Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=SwashAntivirusActualice sus antivirus con las últimas definiciones
1. Reinicie Windows en modo a prueba de fallos2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
lsass
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
5. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y modifique la siguiente entrada para que quede solo lo siguiente:
Shell = "explorer.exe"
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Restaurar archivo HOSTS1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble cli sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/swash-a.htm
