VBS/Gaggle.F. y Gaggle.E, Datos adjuntos: "filezip.zip"Nombre: VBS/Gaggle.F
Tipo: Gusano de Internet y virus
Alias: Gaggle.F, Gaggle.E, VBS.Gaggle.E@mm, I-Worm.Gedza, VBS/Gedza.A
Plataforma: Windows 32-bits
Fecha: 9/jul/04
Tamaño: (varios) 260 Kb, 30,721 bytes, 17,409 bytes
Reportado por: Symantec (como VBS.Gaggle.E@mm)
Estos gusanos se propagan a través del correo electrónico, del IRC utilizando el mIRC, del ICQ y también a través de algunas redes P2P
Cuando se ejecutan, crean las siguientes copias de si mismo:
c:\windows\system\backup.vbs
c:\windows\system\file.vbs
c:\windows\system\filezip.zip
c:\windows\system\gedzac.vbs
c:\windows\system\israfel.vbs
c:\windows\system\kernel32.win
c:\windows\system\mouse_configurator.win
c:\windows\system\pubprn.vbs
c:\windows\system\template.htm
c:\windows\system\winmgd.win
El archivo .HTM contiene el gusano embebido en su código, y el archivo .ZIP lo contiene comprimido dentro de él.
También crea los siguientes archivos:
c:\estigma.hta
c:\windows\system\avrillavigne.jpg
c:\windows\system\iw.dat
c:\windows\system\iwn.dat
c:\windows\system\ix.dat
c:\windows\system\ixn.dat
c:\windows\system\pkzip.exe
c:\windows\system\regsrv.exe
c:\windows\system\sendi.exe
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
También copia el archivo COMMAND.COM o CMD.EXE de Windows (según el sistema operativo), a todos los discos duros, con el nombre ISRAFEL.EXE, en la siguiente ubicación:
\inetpub\scripts\israfel.exe
Crea el archivo IISROOT.ASP en las siguientes carpetas y subcarpetas:
\inetpub\wwwroot\iisroot.asp
Crea tambien entradas en el registro de Windows para auto ejecutarse en cada reinicio del sistema:
Mas información:
http://www.vsantivirus.com/gaggle-f.htmBerbew.H Es un troyano que intenta robar claves guardadas en el ordenador y puede mostrar falsas ventanas para capturar información confidencial.
Nombre completo: Trojan.W32/Berbew.H
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 2000, Windows 64-bit (AMD64), Windows 64-bit (IA64), Windows 95, Windows 98, Windows Me, Win
Tamaño (bytes): 46592
Alias:Backdoor.Berbew.H (Symantec)
Desinfección:
Abra el Administrador de tareas (presione Control+Mayúsculas+Esc).
En la clave del registro:
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
borre los valores:
"(Default)" = "%System%/<8 random characters>.dll"
"ThreadingModel" = "Apartment"
En la clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Borre el valor:
"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"
En la clave
HKEY_CURRENT_USER\Software\Microsoft
Borre el valor:
"QueenKarton" = 0xc
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4064