
Buenasss, como estas??? Te dejo algo de informacion sobre ese virus,espero que te sirva.
Es un Gusano que se propaga por correo electrónico a todos los contactos encontrados en el equipo infectado.
Cuando el gusano se ejecuta crea una copia de si mismo con el nombre "services.exe" dentro de la carpeta de inicio de Windows, Plantillas y carpetas utilizadas por otras aplicaciones.
Crea las siguientes entradas en el registro de Windows para ejecutarse en cada reinicio.
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
Services Logon = services.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
Services Startup = services.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
Services Logon = services.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
Services Startup = services.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
Services Logon = services.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
Services Startup = services.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Services Logon = services.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Services Startup = services.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Services Logon = services.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Services Startup = services.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
Services Logon = services.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
Services Startup = services.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
Services Logon = services.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
Services Startup = services.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Services Logon = services.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Services Startup = services.exe
También libera el archivo "services.dll" dentro de la siguiente carpeta:
C:\Windows\System
El gusano abre una ventana del navegador con el siguiente sitio:
http://www.cnn.com/WORLD
Luego abre el sitio http://cocorosa.ath.cx
Después de ejecutarse el gusano borra las entradas creadas para ejecutarse en cada reinicio.
Borra todos los archivos dentro de la carpeta Cookies.
El gusano se conecta al sitio "cocoazul.ath.cx" por el puerto 80 y espera instrucciones de un atacante remoto.
Captura la salida del teclado, los datos obtenidos son guardados en el archivo "keys.tmp" dentro de la siguiente carpeta:
C:\Windows\Temp
La ubicación de la carpeta "TEMP" puede ser:
En Windows 9x/ME:
c:\windows\TEMP
En Windows NT, XP, 2000 y Server 2003:
c:\documents and settings\[usuario]\local settings\TEMP
Los datos obtenidos son enviados a las direcciones "
[email protected]" o "
[email protected]"
El gusano intenta enviarse a si mismo utilizando su propio motor SMTP a todos los contactos de la libreta de direcciones de Windows.
El asunto del mensaje y el nombre del archivo adjunto están creados con datos obtenidos del sitio http://www.cnn.com.
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y elimine los archivos infectados.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", las entradas "Services Logon" y "Services Startup" en las siguientes claves del registro:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunOnce
6. Cierre el editor del Registro del sistema.
7. Busque y elimine el siguiente archivo:
C:\Windows\System\services.dll
8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Un abrazo.