Tema: Que tipo de virus es este
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 23/09/2008, 12:20
Avatar de martinsp
martinsp
 
Fecha de Ingreso: septiembre-2008
Mensajes: 130
Antigüedad: 16 años, 5 meses
Puntos: 3
Respuesta: Que tipo de virus es este
Buenasss, como estas??? Te dejo algo de informacion sobre ese virus,espero que te sirva.

Es un Gusano que se propaga por correo electrónico a todos los contactos encontrados en el equipo infectado.


Cuando el gusano se ejecuta crea una copia de si mismo con el nombre "services.exe" dentro de la carpeta de inicio de Windows, Plantillas y carpetas utilizadas por otras aplicaciones.

Crea las siguientes entradas en el registro de Windows para ejecutarse en cada reinicio.

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
Services Logon = services.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
Services Startup = services.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
Services Logon = services.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
Services Startup = services.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
Services Logon = services.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
Services Startup = services.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Services Logon = services.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Services Startup = services.exe

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Services Logon = services.exe

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Services Startup = services.exe

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
Services Logon = services.exe

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
Services Startup = services.exe

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
Services Logon = services.exe

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
Services Startup = services.exe

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Services Logon = services.exe

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Services Startup = services.exe

También libera el archivo "services.dll" dentro de la siguiente carpeta:

C:\Windows\System

El gusano abre una ventana del navegador con el siguiente sitio:

http://www.cnn.com/WORLD

Luego abre el sitio http://cocorosa.ath.cx

Después de ejecutarse el gusano borra las entradas creadas para ejecutarse en cada reinicio.

Borra todos los archivos dentro de la carpeta Cookies.

El gusano se conecta al sitio "cocoazul.ath.cx" por el puerto 80 y espera instrucciones de un atacante remoto.

Captura la salida del teclado, los datos obtenidos son guardados en el archivo "keys.tmp" dentro de la siguiente carpeta:

C:\Windows\Temp

La ubicación de la carpeta "TEMP" puede ser:

En Windows 9x/ME:

c:\windows\TEMP

En Windows NT, XP, 2000 y Server 2003:

c:\documents and settings\[usuario]\local settings\TEMP

Los datos obtenidos son enviados a las direcciones "[email protected]" o "[email protected]"

El gusano intenta enviarse a si mismo utilizando su propio motor SMTP a todos los contactos de la libreta de direcciones de Windows.

El asunto del mensaje y el nombre del archivo adjunto están creados con datos obtenidos del sitio http://www.cnn.com.



> INSTRUCCIONES PARA ELIMINARLO


1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", las entradas "Services Logon" y "Services Startup" en las siguientes claves del registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunOnce

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunOnce

6. Cierre el editor del Registro del sistema.

7. Busque y elimine el siguiente archivo:

C:\Windows\System\services.dll

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Un abrazo.