Worlgraphic
Navegación
  NUEVOS VIRUS
 


Las siguientes son las principales alertas de la actualidad:

Alertas de virus

Nombre Fecha Gravedad
Win32/Mytob.PI 23-02-2006 Baja
Win32/Sober.Y 18-11-2005 Media
Win32/Bagle.BI 26-06-2005 Media
Win32/Sober.R 05-10-2005 Baja
Win32/Zafi.D 14-12-2004 Media
Win32/Bagle.AS 29-10-2004 Media

Soluciones e info:

Win32/Conficker.AE
nombre: Win32/Conficker.AE
aliases: Net-Worm.Win32.Kido.ih, W32/Conficker.worm.gen.a, W32.Downadup.B
tipo: Gusano de Internet
fecha: 28/05/2009
gravedad general:Media
distribución:Media
daño: Medio
tamaño: 161,977 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION
Gusano que intenta conectarse a distintos sitios web. Intenta descargar varios archivos de distintas direcciones. También puede ser controlado en forma remota.

> CARACTERISTICAS


Cuando se ejecuta se copia a si mismo en una de las siguientes ubicaciones:

c:windowssystem32[nombre al azar].dll
c:archivos de programaInternet Explorer[nombre al azar].dll
c:archivos de programaMovie Maker[nombre al azar].dll
c:archivos de programaWindows NT[nombre al azar].dll
c:Users[nombre del usuario]AppData[nombre al azar].dll
c:windowstemp[nombre al azar].dll

El gusano se inyecta en los siguientes procesos:

explorer.exe
services.exe
svchost.exe

Se registra como un servicio utilizando alguno de los siguientes textos como nombre, también pueden ser combinaciones de los mismos:

App
Audio
DM
ER
Event
help
Ias
Ir
Lanman
Net
Ntms
Ras
Remote
Sec
SR
Tapi
Trk
W32
win
Wmdm
Wmi
wsc
wuau
xml
access
agent
auto
logon
man
mgmt
mon
prov
serv
Server
Service
Srv
srv
Svc
svc
System
Time

El nombre del servicio mostrado puede ser uno de los siguientes:

64
Adobe
Agent
App
Assemblies
assembly
Boot
Build
Calendar
Collaboration
Common
Components
Cursors
Debug
Defender
Definitions
Digital
Distribution
Documents
Downloaded
en
Explorer
Files
Fonts
Gallery
Games
Globalization
Google
Help
inf
Installer
Intel
Inter
Internet
Java
Journal
Kernel
L2S
Live
Logs
Mail
Maker
Media
Microsoft
Mobile
Modem
Movie
MS
msdownld
NET
New
Office
Offline
Options
Packages
Pages
Patch
Performance
Photo
PLA
Player
Policy
Prefetch
Profiles
Program
Publish
Reference
Registered
registration
Reports
Resources
schemas
Security
Service
Setup
Shell
Software
Speech
System
Tasks
Temp
tmp
tracing
twain
US
Video
Visual
Web
winsxs
Works
Zx

Para ejecutarse en cada reinicio del sistema crea las siguientes claves del registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
"[valor al azar 1]" = "rundll32.exe "[nombre del archivo].dll",[valor al azar 3]"

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
"[valor al azar 1]" = "rundll32.exe "[nombre del archivo].dll",[valor al azar 2]"

HKLMSYSTEMCurrentControlSetServices[nombre del servicio]Parameters
"ServiceDll" = "c:windowssystem32[nombre del archivo].dll"

HKLMSYSTEMCurrentControlSetServices[nombre del servicio]Parameters
"ServiceDll" = "c:windowssystem32[nombre del archivo].dll"

Intenta terminar cualquier proceso que contenga en su nombre alguna de las siguientes cadenas:

autoruns
avenger
confick
downad
filemon
gmer
hotfix
kb890
kb958
kido
klwk
mbsa.
mrt.
mrtstub
ms08-06
procexp
procmon
regmon
scct_
sysclean
tcpview
unlocker
wireshark

También desactiva distintos servicios como el Centro de Seguridad, Actualizaciones automáticas y Windows Defender, entre otros:

Se conecta a los siguientes sitios:

2ch.net
4shared.com
56.com
adobe.com
adsrevenue.net
more...
2ch.net
4shared.com
56.com
adobe.com
adsrevenue.net
adultadworld.com
***
aim.com
alice.it
allegro.pl
ameba.jp
ameblo.jp
answers.com
apple.com
ask.com
aweber.com
awempire.com
badongo.com
badoo.com
baidu.com
bbc.co.uk
bebo.com
biglobe.ne.jp
bigpoint.com
blogfa.com
clicksor.com
co.cc
comcast.net
conduit.com
craigslist.org
cricinfo.com
dell.com
depositfiles.com
digg.com
disney.go.com
doubleclick.com
download.com
ebay.co.uk
ebay.com
ebay.de
ebay.it
espn.go.com
facebook.com
fastclick.com
fc2.com
files.wordpress.com
flickr.com
fotolog.net
foxnews.com
friendster.com
geocities.com
go.com
goo.ne.jp
google.com
googlesyndication.com
gougou.com
hi5.com
hyves.nl
icq.com
imagevenue.com
imdb.com
imeem.com
kaixin001.com
kooora.com
***
linkedin.com
live.com
livedoor.com
livejasmin.com
livejournal.com
mail.ru
mapquest.com
mediafire.com
megaclick.com
megaporn.com
megaupload.com
metacafe.com
metroflog.com
miniclip.com
mininova.org
mixi.jp
msn.com
multiply.com
myspace.com
mywebsearch.com
narod.ru
naver.com
nba.com
netflix.com
netlog.com
nicovideo.jp
ning.com
odnoklassniki.ru
orange.fr
partypoker.com
paypopup.com
tagged.com
taringa.net
terra.com.br
thepiratebay.org
tianya.cn
tinypic.com
torrentz.com
tribalfusion.com
tube8.com
tudou.com
tuenti.com
typepad.com
ucoz.ru
veoh.com
verizon.net
vkontakte.ru
vnexpress.net
wikimedia.org
wikipedia.org
wordpress.com
xhamster.com
xiaonei.com
xnxx.com
xvideos.com
yahoo.co.jp
yahoo.com
pconline.com.cn
pcpop.com
perfspot.com
photobucket.com
pogo.com
pornhub.com
rambler.ru
rapidshare.com
rediff.com
reference.com
sakura.ne.jp
seesaa.net
seznam.cz
skyrock.com
sonico.com
soso.com
sourceforge.net
studiverzeichnis.com
yandex.ru
youporn.com
youtube.com
zedo.com
ziddu.com
zshare.net

Para obtener la fecha y hora actuales se conecta a los siguientes sitios de Internet:

ask.com
baidu.com
facebook.com
google.com
more...
ask.com
baidu.com
facebook.com
google.com
rapidshare.com
w3.org
yahoo.com

Bloquea el acceso a cualquier dominio que contenga alguno de los siguientes textos en su nombre:

agnitum
ahnlab
anti-
antivir
arcabit
avast
avgate
avira
bothunter
castlecops
ccollomb
centralcommand
clamav
comodo
computerassociates
conficker
cpsecure
cyber-ta
defender
downad
drweb
dslreports
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
free-av
freeav
gdata
grisoft
hauri
ikarus
jotti
k7computing
kaspersky
kido
malware
mcafee
microsoft
mirage
msftncsi
msmvps
mtc.sri
networkassociates
nod32
norman
norton
onecare
panda
pctools
prevx
ptsecurity
quickheal
removal
rising
rootkit
safety.live
securecomputing
secureworks
sophos
spamhaus
spyware
sunbelt
symantec
technet
threat
threatexpert
trendmicro
trojan
virscan
virus
wilderssecurity
windowsupdate

Si la hora y fecha cumplen ciertas condiciones, le gusano intenta descargar distintos archivos de Internet. La dirección es generada automáticamente y los archivos descargados son guardados en la carpeta temporal de Windows.

El gusano contiene su propia lista negra de direcciones IP, abre puertos TCP y UDP en forma aleatoria, también puede recibir datos e instrucciones desde Internet o equipos remotos.



> INSTRUCCIONES PARA ELIMINARLO


1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

HKLMSYSTEMCurrentControlSetServices[nombre del servicio]Parameters

HKLMSYSTEMCurrentControlSetServices[nombre del servicio]Parameters

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.



nombre: Win32/Chip.A
aliases: Trojan-GameThief.Win32.Tibia.bwr, PWS-Tibia
tipo: Troyano
fecha: 28/05/2009
gravedad general:Media
distribución:Media
daño: Medio
tamaño: 22,064 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION
Troyano que roba contraseñas y otros datos del equipo infectado.

> CARACTERISTICAS


Cuando se ejecuta crea una copia de si mismo en la siguiente carpeta:

C:Windowslsass.exe

Para ejecutarse en cada reinicio del sistema crea la siguiente clave del registro:

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
lsass.exe" = "%windir%lsass.exe

El troyano obtiene nombres de cuentas y contraseñas de juego en linea Tibia.

Los datos obtenidos son enviados a una dirección ip, luego de ello el malware se elimina a si mismo.



> INSTRUCCIONES PARA ELIMINARLO


1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.


WIN32/TROJANDOWNLOADER.WIGON.BS


nombre: Win32/TrojanDownloader.Wigon.BS
aliases: Trojan-Downloader.Win32.Agent.bhhw, Trojan.Pandex, Generic Dropper.ez
tipo: Troyano
fecha: 28/05/2009
gravedad general:Media
distribución:Media
daño:Medio
tamaño: 10,320 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION
Troyano que descarga de Internet distintos archivos peligrosos.

> CARACTERISTICAS


Cuando se ejecuta crea una copia de si mismo en la siguiente carpeta:

C:Users[usuario][usuario].exe

Para ejecutarse en cada reinicio del sistema crea la siguiente clave del registro:

HKCUSoftwareMicrosoftWindows
CurrentVersionRun
[usuario] = C:Users[usuario][usuario].exe /i

Intenta descargar distintos archivos de Internet, los mismos son guardados en la carpeta temporal de Windows.

El troyano crea un nuevo hilo con su propio código en el proceso svchost.exe.

Ejecuta el siguiente proceso para eludir el cortafuegos de Windows:

netsh firewall set allowedprogram " C:Users[usuario][usuario].exe"
ENABLE



> INSTRUCCIONES PARA ELIMINARLO


1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.


WIN32/AGENT.PHT


nombre: Win32/Agent.PHT
aliases: Email-Worm.Win32.Joleee.tl, Spam-Mailbot.m, Spammer:Win32/Tedroo.I
tipo: Troyano
fecha: 11/05/2009
gravedad general:Media
distribución:Media
Daño:Medio
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION
Troyano que envía spam utilizando el equipo infectado.

> CARACTERISTICAS


Cuando se ejecuta crea el siguiente archivo:

c:WindowsSystem32services.exe

Para ejecutarse en cada reinicio del sistema crea las siguientes claves del registro:

HKCUSoftwareMicrosoftWindows
CurrentVersionRun
"servises" = "c:WindowsSystem32servises.exe"

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
"servises" = "c:WindowsSystem32servises.exe"

HKLMSOFTWAREMicrosoftWindows
CurrentVersionpoliciesExplorerRun
"servises" = "c:WindowsSystem32servises.exe"

El troyano puede ser utilizado por un atacante remoto. Contiene una lista de direcciones a las cuales enviar datos.

También puede descargar y ejecutar archivos desde Internet.



> INSTRUCCIONES PARA ELIMINARLO


1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en las siguientes claves del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

HKCUSoftwareMicrosoftWindows
CurrentVersionRun

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.


WIN32/RANSOM.H


nombre: Win32/Ransom.H
aliases: Trojan-Ransom.Win32.BlueScreen.f, Trojan.Ransom.BlueScr.F
tipo: Troyano
fecha: 11/05/2009
gravedad general:Media
distribución:Media
daño:Medio
tamaño: 421,383 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

> INFORMACION
Troyano que bloquea el acceso al sistema operativo del sistema infectado.

> CARACTERISTICAS


Cuando se ejecuta crea una copia de si mismo en la siguiente carpeta

c:windowstempsysstem.exe

Para ejecutarse en cada reinicio del sistema crea las siguientes claves del registro:

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
"sysman = "c:windowstempsysstem.exe"

HKCUSoftwareMicrosoftWindows
CurrentVersionRun
"sysman = "c:windowstempsysstem.exe"

También modifica las siguientes claves:

HKLMSOFTWAREMicrosoftWindows NT
CurrentVersionWinlogon
"AutoRestartShell" = 0

HKCUSoftwareMicrosoftWindows
CurrentVersionPoliciesSystem
"DisableTaskMgr" = 1
"DisableRegistryTools" = 1

El troyano muestra en pantalla un mensaje que solicita al usuario que envié un mensaje de texto a un número específico, de esta forma se le enviara la clave para ingresar al sistema.

La contraseña que permite el acceso puede ser la siguiente:

himydarling



> Instrucciones para eliminarlo


1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.


nombre: Win32/Autorun.KS
aliases: W32.SillyFDC, Worm.Win32.AutoRun.fgj, WORM_AUTORUN.DNN
tipo: Gusano de Internet
fecha: 23/04/2009
gravedad general:Baja
distribución:Media
Daño:Medio
tamaño: 38,400 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

> Información
Gusano que se propaga por unidades removibles. También tiene una puerta trasera.

> Carectiristicas


Crea un nuevo hilo inyectando su código en el proceso del explorer.exe.

Al ejecutarse crea la siguienta carpeta:

C:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013

En dicha carpeta libera los siguientes archivos, estos también son creados en unidades extraibles:

vsounds.exe
Desktop.ini
autorun.inf

Crea la siguiente clave del registro:

HKLMSOFTWAREMicrosoftActive SetupInstalled
Components{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
"StubPath" =
"C:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013vsounds.exe"

Instala una puerta trasera que puede ser controlada en forma remota.



> Instrucciones para eliminarlo


1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoftActive SetupInstalled
Components{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.



WIN32/CONFICKER.AQ
descripción
nombre: Win32/Conficker.AQ
aliases: Win32/Conficker.AQ, Trojan-Dropper.Win32.Kido.o, W32/Conficker.worm.dr, WORM_DOWNAD.E
tipo: Gusano de Internet
fecha: 16/04/2009
gravedad general:Media
distribución:Media
daño:Medio
tamaño: 119,296 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

> Información
Gusano que intenta conectarse a distintos sitios web. Intenta descargar varios archivos de distintas direcciones. También puede ser controlado en forma remota.

> Caracteristicas


Cuando se ejecuta se copia a si mismo en una de las siguientes ubicaciones:

c:windowssystem32[nombre al azar].dll
c:archivos de programaInternet Explorer[nombre al azar].dll
c:archivos de programaMovie Maker[nombre al azar].dll
c:archivos de programaWindows NT[nombre al azar].dll
c:Users[nombre del usuario]AppData[nombre al azar].dll
c:windowstemp[nombre al azar].dll

El gusano se inyecta en los siguientes procesos:

explorer.exe
services.exe
svchost.exe

Se registra como un servicio utilizando alguno de los siguientes textos como nombre, también pueden ser combinaciones de los mismos:

App
Audio
DM
ER
Event
help
Ias
Ir
Lanman
Net
Ntms
Ras
Remote
Sec
SR
Tapi
Trk
W32
win
Wmdm
Wmi
wsc
wuau
xml
access
agent
auto
logon
man
mgmt
mon
prov
serv
Server
Service
Srv
srv
Svc
svc
System
Time

El nombre del servicio mostrado puede ser uno de los siguientes:

64
Adobe
Agent
App
Assemblies
assembly
Boot
Build
Calendar
Collaboration
Common
Components
Cursors
Debug
Defender
Definitions
Digital
Distribution
Documents
Downloaded
en
Explorer
Files
Fonts
Gallery
Games
Globalization
Google
Help
inf
Installer
Intel
Inter
Internet
Java
Journal
Kernel
L2S
Live
Logs
Mail
Maker
Media
Microsoft
Mobile
Modem
Movie
MS
msdownld
NET
New
Office
Offline
Options
Packages
Pages
Patch
Performance
Photo
PLA
Player
Policy
Prefetch
Profiles
Program
Publish
Reference
Registered
registration
Reports
Resources
schemas
Security
Service
Setup
Shell
Software
Speech
System
Tasks
Temp
tmp
tracing
twain
US
Video
Visual
Web
winsxs
Works
Zx

Para ejecutarse en cada reinicio del sistema crea las siguientes claves del registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
"[valor al azar 1]" = "rundll32.exe "[nombre del archivo].dll",[valor al azar 3]"

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
"[valor al azar 1]" = "rundll32.exe "[nombre del archivo].dll",[valor al azar 2]"

HKLMSYSTEMCurrentControlSetServices[nombre del servicio]Parameters
"ServiceDll" = "c:windowssystem32[nombre del archivo].dll"

HKLMSYSTEMCurrentControlSetServices[nombre del servicio]Parameters
"ServiceDll" = "c:windowssystem32[nombre del archivo].dll"

Intenta terminar cualquier proceso que contenga en su nombre alguna de las siguientes cadenas:

autoruns
avenger
confick
downad
filemon
gmer
hotfix
kb890
kb958
kido
klwk
mbsa.
mrt.
mrtstub
ms08-06
procexp
procmon
regmon
scct_
sysclean
tcpview
unlocker
wireshark

También desactiva distintos servicios como el Centro de Seguridad, Actualizaciones automáticas y Windows Defender, entre otros:

Se conecta a los siguientes sitios:

2ch.net
4shared.com
56.com
adobe.com
adsrevenue.net
more...
2ch.net
4shared.com
56.com
adobe.com
adsrevenue.net
adultadworld.com
***
aim.com
alice.it
allegro.pl
ameba.jp
ameblo.jp
answers.com
apple.com
ask.com
aweber.com
awempire.com
badongo.com
badoo.com
baidu.com
bbc.co.uk
bebo.com
biglobe.ne.jp
bigpoint.com
blogfa.com
clicksor.com
co.cc
comcast.net
conduit.com
craigslist.org
cricinfo.com
dell.com
depositfiles.com
digg.com
disney.go.com
doubleclick.com
download.com
ebay.co.uk
ebay.com
ebay.de
ebay.it
espn.go.com
facebook.com
fastclick.com
fc2.com
files.wordpress.com
flickr.com
fotolog.net
foxnews.com
friendster.com
geocities.com
go.com
goo.ne.jp
google.com
googlesyndication.com
gougou.com
hi5.com
hyves.nl
icq.co
imagevenue.com
imdb.com
imeem.com
kaixin001.com
kooora.com
***
linkedin.com
live.com
livedoor.com
livejasmin.com
livejournal.com
mail.ru
mapquest.com
mediafire.com
megaclick.com
megaporn.com
megaupload.com
metacafe.com
metroflog.com
miniclip.com
mininova.org
mixi.jp
msn.com
multiply.com
myspace.com
mywebsearch.com
narod.ru
naver.com
nba.com
netflix.com
netlog.com
nicovideo.jp
ning.com
odnoklassniki.ru
orange.fr
partypoker.com
paypopup.com
tagged.com
taringa.net
terra.com.br
thepiratebay.org
tianya.cn
tinypic.com
torrentz.com
tribalfusion.com
tube8.com
tudou.com
tuenti.com
typepad.com
ucoz.ru
veoh.com
verizon.net
vkontakte.ru
vnexpress.net
wikimedia.org
wikipedia.org
wordpress.com
xhamster.com
xiaonei.com
xnxx.com
xvideos.com
yahoo.co.jp
yahoo.com
pconline.com.cn
pcpop.com
perfspot.com
photobucket.com
pogo.com
pornhub.com
rambler.ru
rapidshare.com
rediff.com
reference.com
sakura.ne.jp
seesaa.net
seznam.cz
skyrock.com
sonico.com
soso.com
sourceforge.net
studiverzeichnis.com
yandex.ru
youporn.com
youtube.com
zedo.com
ziddu.com
zshare.net

Para obtener la fecha y hora actuales se conecta a los siguientes sitios de Internet:

ask.com
baidu.com
facebook.com
google.com
more...
ask.com
baidu.com
facebook.com
google.com
rapidshare.com
w3.org
yahoo.com

Bloquea el acceso a cualquier dominio que contenga alguno de los siguientes textos en su nombre:

agnitum
ahnlab
anti-
antivir
arcabit
avast
avgate
avira
bothunter
castlecops
ccollomb
centralcommand
clamav
comodo
computerassociates
conficker
cpsecure
cyber-ta
defender
downad
drweb
dslreports
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
free-av
freeav
gdata
grisoft
hackerwatch
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
kido
malware
mcafee
microsoft
mirage
msftncsi
msmvps
mtc.sri
networkassociates
nod32
norman
norton
onecare
panda
pctools
prevx
ptsecurity
quickheal
removal
rising
rootkit
safety.live
securecomputing
secureworks
sophos
spamhaus
spyware
sunbelt
symantec
technet
threat
threatexpert
trendmicro
trojan
virscan
virus
wilderssecurity
windowsupdate

Si la hora y fecha cumplen ciertas condiciones, le gusano intenta descargar distintos archivos de Internet. La dirección es generada automáticamente y los archivos descargados son guardados en la carpeta temporal de Windows.

El gusano contiene su propia lista negra de direcciones IP, abre puertos TCP y UDP en forma aleatoria, también puede recibir datos e instrucciones desde Internet o equipos remotos.



> Instrucciones para eliminarlo


1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

HKLMSYSTEMCurrentControlSetServices[nombre del servicio]Parameters

HKLMSYSTEMCurrentControlSetServices[nombre del servicio]Parameters

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.



WIN32/XORER.BU
descripción
nombre: Win32/Xorer.BU
aliases: Win32/Xorer.BU, Virus.Win32.Xorer.bu, W32/Fujacks
tipo: Troyano
fecha: 16/04/2009
gravedad general:Media
distribución:Media
daño:Medio
destructivo: No
origen: Desconocido
nombre asignado por: EnciclopediaVirus.com

> Informacion
Malware que infecta archivos htm, tml y .js

> Caracteristicas


Cuando se ejecuta se ejecuta libera los siguientes archivos en la carpeta system32:

netcfg.000
netcfg.dll
lsass.exe
smss.exe

El siguiente archivo es liberado en la carpeta de inicio:

~.exe

Crea las siguientes claves del registro:

HKLMSoftwareMicrosoftWindows
CurrentVersionRun

HKLMSYSTEMControlSet001ControlSafeBoot
Minimal{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSYSTEMCurrentControlSetControl
SafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSYSTEMControlSet001ControlSafeBoot
Network{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSYSTEMCurrentControlSetControl
SafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSOFTWAREMicrosoftWindows NT
CurrentVersionImage File Execution Options

HKLMSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedFolderSuperHidden
"Type" = "radio"

HKCUSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer
"NoDriveTypeAutorun" = 91

Infecta archivos con las siguientes extensiones:

*htm
*tml
*.js

Se copia a si mismo en el raíz de todos los discos con el siguiente nombre:

pagefile.pif

Intenta terminar cualquier ventana que contenga en su nombre alguno de las siguientes cadenas:

asm
ollydbg
ida
softice
tapplication
360
##vso##



> Instrucciones para eliminarlo


1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del malware.



Estos son los últimos virus incorporados:

Ùltimos virus
Nombre Fecha Gravedad
Win32/Conficker.AE 28-05-2009 Media
Win32/Chip.A 28-05-2009 Media
Win32/TrojanDownloader.Wigon.BS 28-05-2009 Media
Win32/Agent.PHT 11-05-2009 Media
Win32/Ransom.H 11-05-2009 Media
Win32/Ransom.B 23-04-2009 Media
Win32/Drowor.A 23-04-2009 Media
Win32/Autorun.KS 23-04-2009 Baja
Win32/Conficker.AQ 16-04-2009 Media
Win32/Sality.T 16-04-2009 Media
Win32/Xorer.BU 16-04-2009 Media
Win32/Rovud.B 26-03-2009 Media
Win32/Conficker.X 26-03-2009 Media
Win32/Virut.NBM 23-03-2009 Media
Win32/MonaGray.A 23-03-2009 Media

Aca un video gracioso sobre una animacion en flash de un virus destruyendo los programas¡¡¡Estamos en guerra!!!:


 
  Hoy habia 20 visitantes (22 clics a subpáginas) ¡Aqui en esta página!  
 
Este sitio web fue creado de forma gratuita con PaginaWebGratis.es. ¿Quieres también tu sitio web propio?
Registrarse gratis