Win32:Banker

Nombre: Spy.Banker.AHY Tipo: Caballo de Troya Alias: Banker.AHY, Logger.Banker.anv, Logger.Banker.ark, Malware.n, PSW.Banker.XQZ, PWSBanker.gen.b, Spy.Banker.AHY, Spy/Banker!07335, TR/Dldr.Ban.ly.39.A, Trj/Banbra.BWK, Troj/BancbFam, Troj/Bnkmr-Fam, Trojan.Banker.Delf.09D6D659, Trojan.PWS.Banker.based, Trojan.Spy.Banker, Trojan.Spy.Banker.ARK, Trojan.Spy.Win32.Banker, Trojan/Dldr.Ban.ly.39.A, Trojan/Spy.Banker.ark, Trojan-Spy.Win32.Banker.anv, Trojan-Spy.Win32.Banker.ARK, Trojan-Spy.Win32.Banker.ark, W32/Banker.UYU, Win32/Bancos.CGC, Win32/Bancos.Variant!Trojan, Win32/Spy.Banker.AHY, Win32:Banker-ACI, Win32:Banker-AGA Fecha: 23/nov/05 Actualizado: 13/abr/06 Plataforma: Windows 32-bit Tamao: 501,546 bytes (UPACK), 369,152 bytes (ASPACK), variable Troyano que intenta robar informacin relacionada con las transacciones comerciales y bancarias del usuario infectado. Puede ser descargado por otros troyanos. Cuando se ejecuta, examina si ya ha sido instalado en la mquina actual. Si no existe, crea uno o varios archivos en la siguiente ubicacin: c:\windows\system32\[nombre de archivo] NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [valor] = c:\windows\system32\[nombre de archivo] Donde [valor] es un nombre al azar. El troyano permanece en memoria y monitorea las ventanas del navegador abiertas por el usuario. Cuando ste accede a determinadas pginas, pertenecientes a instituciones bancarias, captura la salida del teclado, capturando datos crticos, como por ejemplo nombre de usuario, datos de tarjetas de crditos, nmeros de cuentas bancarias, y todo lo que el usuario ingrese en cualquier formulario dentro de varios sitios. La informacin capturada es almacenada en un archivo que luego ser enviado a una direccin electrnica predeterminada. El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaos de algn sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, tambin podra enviar el troyano a su vctima en un mensaje electrnico individual o masivamente por medio de spam a otros usuarios.

Reparacin manual Deshabilitar cualquier conexin a Internet o una red Es importante desconectar cada computadora de cualquier conexin a Internet, o red local, antes de proceder a su limpieza.

Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las ltimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artculo: Cmo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. 5. Pinche con el botn derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro Nota: algunas de las ramas en el registro aqu mencionadas, pueden no estar presentes ya que ello depende de que versin de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del tem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows

\CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del tem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Informacin adicional Cambio de contraseas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, as como toda otra informacin que comprometa la informacin relacionada con cualquier clase de transaccin bancaria, incluidas sus tarjetas electrnicas y cuentas bancarias.

Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y adems visualizar aquellos con atributos de "Oculto", proceda as: 1. Ejecute el Explorador de Windows 2. Seleccione el men 'Ver' (Windows 95/98/NT) o el men 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengeta 'Ver'. 4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'.

Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deber deshabilitar antes de cualquier accin, la herramienta "Restaurar sistema" como se indica en estos artculos:

Win32:Beagle

Bagle.DP. Crea proxy, enva spam, desactiva antivirus

http://www.vsantivirus.com/bagle-dp.htm Nombre: Bagle.DP Nombre NOD32: Win32/Bagle.DP Tipo: Caballo de Troya Alias: Bagle.DP, Dropped:Win32.Worm.Bagle.PAC, Email-Worm.Bagle.pac, EmailWorm.Win32.Bagle.EE, Email-Worm.Win32.Bagle.pac, I-Worm/Bagle, Trj/Mitglieder.gen, Troj/Lohav-U, Trojan.Mitglieder.Q, Trojan/Bagle.Gen.B, W32/Bagle.gen, W32/Bagle.GEN@MM, W32/Bagle.PAC-mm, W32/Bagle.U-mm, W32/Malware, Win32.Bagle.PAC, Win32.HLLM.Beagle.20271, Win32.HLLM.Beagle.3317, Win32.Mitglieder.DG, Win32/Bagle.DP, Win32:Beagle-gen5, Worm.Beagle.Pac Fecha: 8/nov/05 Plataforma: Windows 32-bit Tamao: 3,317 bytes; 20,271 bytes Gusano y caballo de Troya descargado por variantes del Bagle, que intenta desactivar diversos productos antivirus y cortafuegos. Puede enviar correo masivo desde el PC infectado. Fue detectado el 8 de noviembre de 2005 por la heurstica avanzada de NOD32 sin necesidad de actualizacin de firmas. Cuando se ejecuta, crea los siguientes archivos en el sistema infectado: c:\windows\system32\for.exe c:\windows\system32\noat.exe c:\windows\system32\wintems.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Crea las siguientes entradas en el registro, la primera de ella para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\WindowsCurrentVersion\Run german.exe = c:\windows\system32\wintems.exe HKCU\Software\DateTime1 uid = [valor] port = [valor] wdrn = [valor] Cuando se ejecuta WINTEMS.EXE, el troyano inyecta en el proceso del EXPLORER el archivo NOAT.EXE, quedando oculto en la lista de procesos en ejecucin. NOAT.EXE carga el archivo FOR.EXE que contiene las principales funciones del troyano. Intenta enviar informacin del equipo infectado a un script PHP, conectndose a cualquiera de los siguientes servidores: artesproduction .com avistrade .ru bernlocher .de blackwidow .nsk .ru comdat .de dabigbadboy .de

die-cliquee .de egogo .ru gaz-service .ru gnet30 .gamesnet .de hannes-wacker .de investexpo .ru komtel .spb .ru mc-figga .de mir-auto .ru mir-vesov .ru monomah-city .ru multi-gaming .com partiyazerna .1gb .ru plastikp .ru prizmapr .ru promco .ru pvcps .ru rdwufa .ru roszvetmet .com schiffsparty .de service6 .valuehost .ru shop-of-innovations .de sound-cell .de st-agnes .de stroyindustry .ru tpoint .ru unbound .de vladzernoproduct .ru web298 .server7 .webplus24 .de www .13tw22rigobert .de www .admlaw .ru www .deadlygames .de www .emil-zittau .de www .etype .hostingcity .net www .eurostretch .ru www .ferienwohnung-in-masuren .de www .gasterixx .de www .gay-traffic .de www .hhc-online .de www .komandor .ru www .levada .ru www .lowenbrau .ru www .metzgerei-gebhart .de www .mirage .ru www .ordendeslichts .de www .progame .de www .psnr .ru www .thomas-we .de Detiene los siguientes servicios, y modifica su configuracin para deshabilitarlos: SharedAccess wscsvc

SharedAccess es el servicio de "Conexin de seguridad a Internet (ICF)/Conexin compartida a Internet (ICS)", y "wscsvc" corresponde al "Centro de Seguridad de Windows". El troyano tambin finaliza los siguientes procesos pertenecientes a antivirus y otras aplicaciones de seguridad, si alguno de ellos se encuentra activo en la mquina infectada: agentsvr.exe anti-trojan.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe atcon.exe atguard.exe atro55en.exe atupdater.exe atwatch.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avgserv9.exe avltmain.exe avprotect9x.exe avpupd.exe avsynmgr.exe avwupd32.exe avxquar.exe bd_professional.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe bootwarn.exe borg2.exe bs120.exe cdp.exe cfgwiz.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe clean.exe cleaner.exe cleaner3.exe cleanpc.exe cmgrdian.exe cmon016.exe cpd.exe cpf9x206.exe cpfnt206.exe

cv.exe cwnb181.exe cwntdwmo.exe defwatch.exe deputy.exe dpf.exe dpfsetup.exe drvddll.exe drvsys.exe drwatson.exe drwebupw.exe ent.exe escanh95.exe escanhnt.exe escanv95.exe exantivirus-cnet.exe fast.exe firewall.exe flowprotector.exe fp-win_trial.exe frw.exe fsav.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe gbmenu.exe gbpoll.exe guard.exe guarddog.exe hacktracersetup.exe htlog.exe hwpe.exe iamapp.exe iamserv.exe icload95.exe icloadnt.exe icmon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe ifw2000.exe iparmor.exe iris.exe jammer.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe ldpro.exe localnet.exe lockdown.exe lockdown2000.exe lsetup.exe luall.exe

lucomserver.exe luinit.exe mcagent.exe mcupdate.exe mfw2en.exe mfweng3.02d30.exe mgui.exe minilog.exe moolive.exe mrflux.exe msconfig.exe msinfo32.exe mssmmc32.exe mu0311ad.exe nav80try.exe navapw32.exe navdx.exe navstub.exe navw32.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe netarmor.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netstat.exe nisserv.exe nisum.exe nmain.exe norton_internet_secu_3.0_407.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe nsched32.exe ntvdm.exe nupgrade.exe nvarch16.exe nwinst4.exe nwtool16.exe ostronet.exe outpost.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe pavproxy.exe pcc2002s902.exe pcc2k_76_1436.exe pcciomon.exe pcdsetup.exe pcfwallicon.exe pcip10117_0.exe pdsetup.exe

periscope.exe persfw.exe pf2.exe pfwadmin.exe pingscan.exe platin.exe poproxy.exe popscan.exe portdetective.exe ppinupdt.exe pptbc.exe ppvstop.exe procexplorerv1.0.exe proport.exe protectx.exe pspf.exe purge.exe pview95.exe qconsole.exe qserver.exe rav8win32eng.exe regedit.exe regedt32.exe rescue.exe rescue32.exe rrguard.exe rshell.exe rtvscn95.exe rulaunch.exe safeweb.exe sbserv.exe sd.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe sh.exe shellspyinstall.exe shn.exe smc.exe sofi.exe spf.exe sphinx.exe spyxx.exe ss3edit.exe st2.exe supftrl.exe supporter5.exe symproxysvc.exe sysedit.exe taskmon.exe taumon.exe tauscan.exe tc.exe tca.exe tcm.exe

tds2-98.exe tds2-nt.exe tds-3.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tracert.exe trjscan.exe trjsetup.exe trojantrap3.exe undoboot.exe update.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vfsetup.exe virusmdpersonalfirewall.exe vnlan300.exe vnpc3000.exe vpc42.exe vpfw30s.exe vptray.exe vscenu6.02d30.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webscanx.exe wgfe95.exe whoswatchingme.exe winrecon.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe zauinst.exe zonalm2601.exe zonealarm.exe

El troyano abre un servidor proxy que acta como intermediario entre Internet y un atacante remoto, para realizar acciones como las siguientes: - Actualizar el propio troyano - Descargar y ejecutar archivos - Desinstalar el troyano - Iniciar un servidor SMTP para el reenvo de spam - Modificar el puerto por defecto del proxy El troyano se conecta al siguiente servidor SMTP por el puerto TCP 25, para enviar mensajes en forma de spam: smtp.wanadoo.fr Puede enviar informacin a numerosas pginas web, mediante un script PHP. Algunos de los sitios contactados: artesproduction .com avistrade .ru bernlocher .de blackwidow .nsk .ru dabigbadboy .de die-cliquee .de egogo .ru gaz-service .ru gnet30 .gamesnet .de hannes-wacker .de investexpo .ru komtel .spb .ru mc-figga .de mir-auto .ru mir-vesov .ru monomah-city .ru multi-gaming .com partiyazerna .1gb .ru plastikp .ru prizmapr .ru promco .ru pvcps .ru rdwufa .ru roszvetmet .com schiffsparty .de service6 .valuehost .ru shop-of-innovations .de sound-cell .de st-agnes .de stroyindustry .ru tpoint .ru unbound .de vladzernoproduct .ru web298 .server7 .webplus24 .de www .13tw22rigobert .de www .admlaw .ru www .deadlygames .de www .emil-zittau .de

www .etype .hostingcity .net www .eurostretch .ru www .ferienwohnung-in-masuren .de www .gasterixx .de www .gay-traffic .de www .hhc-online .de www .komandor .ru www .levada .ru www .lowenbrau .ru www .metzgerei-gebhart .de www .mirage .ru www .ordendeslichts .de www .progame .de www .thomas-we .de Tambin descarga cada 60 minutos, una lista de direcciones para filtrar conexiones, de los siguientes dominios: avistrade .ru comdat .de die-cliquee .de gaz-service .ru mir-vesov .ru monomah-city .ru partiyazerna .1gb .ru prizmapr .ru promco .ru pvcps .ru rdwufa .ru service6 .valuehost .ru www .13tw22rigobert .de www .lowenbrau .ru www .psnr .ru www .thomas-we .de La lista es guardada en el siguiente archivo: c:\windows\system32\ban_list.txt Crea los siguientes mutex para no autoejecutarse ms de una vez en memoria y para otras funciones de control: zorr10 zorro10

Reparacin manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripcin genrica.

Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cul detendr y

advertir la conexin de este y cualquier otro troyano con Internet, as como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), adems de ser un excelente cortafuegos, tambin impide la ejecucin de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versin de un virus).

Win32:Blaster
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm Nombre: W32/Lovsan.A (Blaster) Tipo: Gusano de Internet, caballo de Troya Alias: W32/Lovsan.worm, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster-A, Win32/Lovsan.A, Poza, Win32.Poza, Blaster Fecha: 11/ago/03 Plataforma: Windows 2000, XP Reportado por: varios Tamao: 6,176 bytes Este gusano fue reportado por primera vez el 11 de agosto de 2003, y rpidamente se propag a travs de computadoras con Windows 2000 y XP principalmente, que no tenan el parche que soluciona la vulnerabilidad en la interface RPC (Remote Procedure Call) que permite la ejecucin arbitraria de cdigo (ver el parche MS03-026 en el siguiente artculo: http://www.vsantivirus.com/vulms03-026-027-028.htm). En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, se muestra el siguiente mensaje antes de que el sistema se cierre: Apagar el sistema Se est apagando el sistema. Guarde todo trabajo en curso y cierre la sesin. Se perder cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM Tiempo restante para el apagado: xx:xx:xx Mensaje Windows debe reiniciar ahora porque el servicio Llamada a procedimiento remoto (RPC) termin de forma inesperada

Esto ocurrir continuamente hasta que sea limpiada la infeccin y se tomen otras precauciones que se detallan ms adelante en este artculo. IMPORTANTE: Se debe tener en cuenta que este mensaje no es exclusivo de este gusano, sino de cualquier cdigo maligno que se aproveche de ciertos exploits para la vulnerabilidad DCOM/RPC. Adems de ello, recuerde que existen otros exploits que no producen este mensaje. De todos modos, la aparicin de un mensaje similar, amerita como opcin ms segura, la reinstalacin del sistema operativo, previo formateo. Esto es as, puesto que es un indicador de que hay puertas abiertas en el PC infectado, y por consiguiente cualquier clase de archivo malicioso pudo haber sido instalado (ms informacin al final del artculo). Respecto a este gusano, tambin se han recibido reportes de otras inestabilidades causadas por el mismo en un sistema infectado, con cuelgues incluidos. Esto afecta principalmente al componente SVCHOST.EXE de Windows 2000 y XP (lanzador de servicios). El gusano hace uso de los siguientes archivos: msblast.exe tftp.exe MSBLAST.EXE es el gusano propiamente dicho, un archivo comprimido con la utilidad UPX. TFTP.EXE es un cliente FTP (Trivial FTP), incluido por defecto en la instalacin de Windows 2000, XP y Server 2003. El gusano simula su propio servidor TFTP. Este archivo no es propagado por el gusano, y solo se menciona porque en los primeros reportes se haca referencia a l. TFTP (Trivial File Transfer Protocol), es una versin simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red. El gusano se propaga a travs del puerto TCP/135, copindose en las computadoras que no poseen el parche para la vulnerabilidad DCOM/RPC. Esto solo ocurre en Windows 2000 y XP (tambin es vulnerable Windows Server 2003). Una forma fcil de evitar esto, es habilitar el cortafuegos del propio Windows XP, o instalar un cortafuegos personal como Zone Alarm (recomendamos esta segunda opcin). Vea como hacerlo al final del artculo.

RPC (Llamada a Procedimiento Remoto), es un protocolo que proporciona a Windows un mecanismo de comunicacin entre procesos para que un programa que se est ejecutando en un equipo ejecute fcilmente cdigo en un equipo remoto. La vulnerabilidad afecta las interfaces del protocolo DCOM. DCOM (Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse. Usando una interface DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (RPC) a un objeto de otro programa. La falla mencionada (un desbordamiento de bfer), permite que se pueda ejecutar cdigo en forma aleatoria, enviando mensajes construidos maliciosamente entre procesos especficos. Cuando se ejecuta MSBLAST.EXE, el gusano crea un MUTE en memoria con el nombre de BILLY (un MUTE es un semforo que le indica a otros procesos que el gusano est activo). Luego, el gusano agrega la siguiente clave en el registro, para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows auto update = msblast.exe I just want to say LOVE YOU SAN!! bill

En ocasiones, solo ser el nombre del ejecutable en la misma rama del registro:
Windows auto update = msblast.exe

Una vez en memoria, el gusano escanea direcciones IP al azar, buscando otros sistemas vulnerables en el puerto TCP/135. Aprovechndose de la vulnerabilidad DCOM RPC, crea un shell remoto (ejecutando CMD.EXE) en el puerto TCP/4444 de la mquina infectada (un SHELL es un intrprete de comandos que interpreta y activa los comandos o utilidades introducidos por el usuario). No hay indicios de que el puerto siga abierto despus del envo de las instrucciones. Usando este shell, el gusano ejecuta un comando TFTP (get) para descargar el gusano propiamente dicho en el directorio System32 de Windows (la carpeta "System32" est en C:\Windows (Windows XP) o C:\WinNT (Windows NT y 2000), por defecto): c:\windows\system32\msblast.exe Valindose de la mencionada vulnerabilidad, ejecuta luego a este archivo, repitiendo el ciclo visto antes. El gusano utiliza una rutina de propagacin que optimiza la infeccin en las redes ms cercanas al host infectado. Para ello, genera 20 direcciones al azar por vez, tomando como base la direccin IP actual de la computadora infectada. Por ejemplo, si la direccin IP del host es AAA.BBB.CCC.DDD, las direcciones generadas por el gusano al comienzo tendrn AAA y BBB iguales a los del host. DDD siempre ser cero, y CCC ser un nmero al azar entre 0 y 253. Si el nmero es mayor de 20, se le restar otro valor menor de 20 tambin al azar. Despus de ello, alternar las siguientes combinaciones: AAA ser un nmero de 1 a 254 BBB ser un nmero de 0 a 253

CCC ser un nmero de 0 a 253 DDD ser siempre 0 Con las direcciones generadas, el gusano escanea otras computadoras vulnerables, siempre hasta 20 direcciones IP al mismo tiempo. Intentar conectarse al puerto 135 en cada una de las 20 computadoras examinadas por vez, registrando cada conexin exitosa. En esos casos, utiliza uno de los exploits que se aprovechan de la vulnerabilidad DCOM/RPC, para infectar a su vctima como ya se explic (el exploit, DCOM.C o similar, est en el cdigo del propio gusano). Como resultado de toda esta actividad, la subred local ser saturada con pedidos al puerto 135. Adems de todo ello, el gusano est preparado para realizar ataques distribuidos de denegacin de servicio (DDoS), al servidor de actualizaciones de Microsoft, con la intencin es impedir la descarga del parche que evita que el propio gusano pueda propagarse. Para ello, y comenzando el 16 de agosto de 2003, todas las mquinas infectadas pueden enviar en forma masiva, una gran cantidad de paquetes de 40 bytes, en intervalos de 20 milisegundos, al puerto 80 de "windowsupdate.com". Los ataques se produciran desde el da 16 hasta el ltimo da de cada uno de los meses de enero, febrero, marzo, abril, mayo, junio, julio y agosto. Tambin ocurriran cualquier da de los meses de setiembre y diciembre. El gusano tambin se ejecuta como un servidor TFTP en la computadora atacada usando el puerto UDP/69, con lo que permite que la vctima sirva de host a otros usuarios para que descarguen de all una copia del gusano (MSBLAST.EXE). En su cdigo, el gusano contiene el siguiente texto (no mostrado al usuario): I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Estas son todas las cadenas presentes en el gusano:
bash-2.05b$ strings -8 /tmp/msblast.exec !This program cannot be run in DOS mode. msblast.exe I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! windowsupdate.com start %s tftp -i %s GET %s %d.%d.%d.%d %i.%i.%i.%i windows auto update SOFTWARE\Microsoft\Windows\CurrentVersion\Run ioctlsocket inet_addr inet_ntoa recvfrom setsockopt gethostbyname gethostname closesocket WSAStartup WSACleanup getpeername

getsockname WSASocketA InternetGetConnectedState ExitProcess ExitThread GetCommandLineA GetDateFormatA GetLastError GetModuleFileNameA GetModuleHandleA CloseHandle GetTickCount RtlUnwind CreateMutexA TerminateThread CreateThread RegCloseKey RegCreateKeyExA RegSetValueExA __GetMainArgs WS2_32.DLL WININET.DLL KERNEL32.DLL ADVAPI32.DLL CRTDLL.DLL

Win32:Bugbear-B
W32/Bugbear.B. Peligroso gusano de gran propagacin
http://www.vsantivirus.com/bugbear-b.htm Nombre: W32/Bugbear.B Tipo: Gusano de Internet, caballo de Troya e infector Alias: PE_BUGBEAR.B, W32/Kijmo.A-mm, I-Worm.Tanatos.b, Tanatos.B, W32.Shamur, Bugbear.B, W32/Bugbear.B@mm, W32/Kijmo.A, I-Worm.Tanatos.B, Win32.Bugbear.B, Win32/Bugbear.B Plataforma: Windows 32-bit Tamao: 72,192 bytes Fecha: 5/jun/03 Herramientas para quitar el W32/Bugbear.B de un sistema infectado

Esta nueva variante del gusano, incluye todas las funcionalidades del primero, con el agregado de una rutina que le permite infectar archivos. Algunos sntomas de una infeccin: - Reiteracin del tilde cuando se pretende poner un acento: Por ejemplo, al querer escribir: "infeccin", aparece "infeccion". Solo ocurre en principio con Windows en espaol (y tal vez en otros idiomas que utilicen tildes). Esto se debe a la rutina de captura de lo tecleado (keylogger), que est preparada para Windows en ingls. - Un cortafuegos (ZoneAlarm por ejemplo), pide la conexin a Internet de un archivo desconocido de cuatro letras y extensin .EXE; por ejemplo SQCC.EXE, FGRR.EXE, EHTR.EXE, etc. Este archivo es el gusano que pretende conectarse a Internet para llevar a cabo sus rutinas de propagacin. - El gusano, tambin interrumpe las conexiones a Internet cuando se intentan ciertas acciones.

- Las impresoras de una red pueden comenzar a imprimir basura sin sentido. Este comportamiento se debe a que el gusano intenta infectar todos los dispositivos de una red, inclusive los PRN y LPT. Lo que debemos saber del Bugbear.B Una de las caractersticas que ha permitido que este gusano se propague masivamente, es su habilidad para aadirse a correos electrnicos existentes al ser estos enviados, o adjuntarse y reenviarse en mensajes ya enviados anteriormente. Tambin puede fingir ser la respuesta a un mensaje ya enviado. Combinado esto con direcciones de remitente falsificadas (obtenidas de la misma forma que las direcciones de los destinatarios), hace que la recepcin de un mensaje infectado sea algo muy difcil de distinguir por usuarios sin experiencia. Un remitente muchas veces conocido, un mensaje en espaol con algn tema afn, e incluso una posible respuesta a otro mensaje, hacen que la curiosidad puedan ms que la precaucin, y el doble clic sobre el adjunto inicie la infeccin. A esto se suma la falta de actualizacin de los antivirus, pero por culpa de los usuarios, que, o bien confan nicamente en una actualizacin automtica, o no la realizan por pereza o por evitarse la molestia muchas veces de una larga descarga. Los consejos para no infectarse son obvios, pero para muchos es necesario recordarlos continuamente: - No confe ciegamente en archivos adjuntos - Nunca abra un adjunto no solicitado - No asuma que su correo es seguro porque lo manda un conocido. Esta persona podra estar infectada sin saberlo - Asegrese de saber como actualizar su antivirus rpidamente. No espere estar infectado para aprenderlo - Evite mandar usted mismo adjuntos a sus conocidos, como chistes, etc. Eso alienta a pensar que un adjunto puede ser seguro, cuando en cualquier momento se podra recibir un adjunto infectado Descripcin del gusano El gusano utiliza su propia rutina de envo de mensajes (motor SMTP), por lo que no depende del cliente de correo instalado en la mquina de la vctima para propagarse. Los mensajes infectados pueden fingir ser la respuesta a otros verdaderos. La mayora de las veces se trata de un mensaje en espaol con temas conocidos o que despiertan nuestra curiosidad. Incluso puede ser una posible respuesta a otro mensaje. Los asuntos estn en relacin con el mensaje. Sin embargo, en ocasiones (y en las primeras infecciones), el gusano se propagaba con alguno de los siguientes asuntos: $150 FREE Bonus! 25 merchants and rising Announcement bad news CALL FOR INFORMATION! click on this! Correction of errors Cows Daily Email Reminder empty account

fantastic free shipping! Get 8 FREE issues - no risk! Get a FREE gift! Greets! Hello! Hi! history screen hmm.. I need help about script!!! Interesting... Introduction its easy Just a reminder Lost & Found Market Update Report Membership Confirmation My eBay ads New bonus in your cash account New Contests new reading News Payment notices Please Help... Re: Report SCAM alert!!! Sponsors needed Stats Today Only Tools For Your Online Business update various Warning! wow! Your Gift Your News Alert Texto del mensaje: Vaco o el texto de algn mensaje anterior recibido por la vctima (como respuesta a ste). El adjunto puede tener el nombre de un archivo tomado de la carpeta apuntada por la siguiente entrada del registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Shell Folders\Personal Generalmente (en las versiones en espaol), esta carpeta es "Mis documentos". El gusano busca all archivos con las siguientes extensiones: .bat .bmp .c .com

.cpl .cpp .diz .dll .exe .gif .h .htm .html .ini .jpeg .jpg .lnk .reg .sys .txt .vxd Luego, se agrega al mensaje con dicho nombre (incluido el adjunto), y le agrega una de estas extensiones: .exe .ini .scr .pif De ese modo, el gusano queda con doble extensin, y cualquier nombre, por ejemplo: Carta a mi madre.doc.pif Mi cachorrito.jpg.exe Curriculum.doc.scr La segunda extensin queda oculta en una instalacin por defecto de Windows, ver en las referencias "Mostrar las extensiones verdaderas de los archivos". En ocasiones el adjunto tambin puede incluir algunas de estas cadenas: Card data Docs image images music news photo pics resume Setup song video En ocasiones, el gusano enva adjuntos corruptos (incompletos), los cules son inofensivos. Algunos antivirus lo identifican como Bugbear.B.dam (la extensin .DAM por "damaged" o daado) o Bugbear.B.corrupted. Estos adjuntos pueden tener cualquier tamao (o incluso no existir). Es capaz de infectar al solo leer o ver en la vista previa el mensaje que lo contenga, en aquellos sistemas que

no han sido actualizados con los parches correspondientes (vulnerabilidad "Incorrect MIME Header"). Esto incluye Internet Explorer 5.0 y anteriores - no soportados por Microsoft - e Internet Explorer 5.01 a 5.5 sin parches. El gusano se vale de los siguientes tipos MIME para que el Internet Explorer ejecute el archivo adjunto automticamente en aquellos sistemas vulnerables. text/html text/plain application/octet-stream image/jpeg image/gif MIME (Multipurpose Internet Mail Extensions), es un protocolo que especifica la codificacin y el formato de los contenidos de los mensajes. En la cabecera del mensaje se aaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qu grupo de la clasificacin se incluira el cdigo contenido en el cuerpo del mensaje. Vea al final del artculo: "Actualizar Internet Explorer" El gusano evita enviar mensajes a direcciones de correo que incluyan parte de los siguientes textos en su nombre: list localdomain localhost lyris mailer-daemon majordom nobody@ noreply postmaster@ recipients remove root@ spam talk ticket trojan undisclosed virus Cuando se ejecuta, se copia a la carpeta indicada por la siguiente entrada del registro, para poder ejecutarse en el inicio de cualquier nueva sesin de Windows: HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Shell Folders\ Common Startup = [carpeta de inicio todos los usuarios] Generalmente, dicha carpeta puede ser alguna de las siguientes: Windows 95, 98 y Me: C:\WINDOWS\All Users\Men Inicio\Programas\Inicio

Windows XP y 2000: C:\Documents and Settings \All Users\Men Inicio\Programas\Inicio Windows NT: C:\WinNT\Profiles \All Users\Men Inicio\Programas\Inicio En otros idiomas: C:\WINDOWS\All Users\Start Menu\Programs\StartUp C:\Documents and Settings \All Users\Start Menu\Programs\Startup El nombre que utiliza para copiarse en esa carpeta est compuesta por cuatro caracteres al azar y la extensin .EXE. Ejemplos (las combinaciones son infinitas): sqxp.exe sqcc.exe fgrr.exe ehtr.exe Tambin copia un componente de 5,632 bytes (el keylogger) en la carpeta del sistema, con extensin .DLL: c:\windows\system\[nombre variable].DLL El [nombre variable] est formado por 7 caracteres al azar. Adems del componente .DLL mencionado (que contiene la rutina de "keylogger" con la que captura todo lo tecleado por la vctima infectada), el gusano crea dos archivos tambin con extensin .DLL pero conteniendo solo texto, totalmente inofensivos. En la carpeta Windows\System crea un subdirectorio con un nombre al azar, donde almacena lo capturado por el keylogger. Esta carpeta contendr toda la informacin capturada, y la misma podr ser accesible por alguna de las rutinas del componente caballo de Troya del gusano. NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Luego de la instalacin, el gusano finaliza su propia ejecucin y lanza un nuevo proceso desde la copia creada en la carpeta de inicio mencionada. Para impedir ejecutarse varias veces en memoria, el gusano crea un mutex con el siguiente nombre: w32shamur Un mutex es un objeto que acta como "semforo" para controlar el acceso a cualquier tipo de programa o aplicacin, evitando que ms de un proceso acceda al mismo tiempo al mismo recurso. Para propagarse, el gusano obtiene del registro de Windows los datos del servidor SMTP a utilizar de los

valores de la cuenta por defecto del usuario infectado. Los mensajes tienen las caractersticas vistas arriba. Las direcciones utilizadas son obtenidas del cach de mensajes, libreta de direcciones y carpetas de mensajes encontradas en la mquina infectada. Para ello examina en todo el disco aquellos archivos o carpetas que contengan los siguientes textos en su nombre: .dbx .eml .mbx .mmf .nch .ods .tbb inbox Esta versin del gusano puede infectar los siguientes archivos con extensin .EXE, ubicados tanto en el disco local como en recursos compartidos en red: En la carpeta de Windows: \scandskw.exe \regedit.exe \mplayer.exe \hh.exe \notepad.exe \winhelp.exe En la carpeta de "Archivos de programa": \ACDSee32\ACDSee32.exe \Adobe\Acrobat 4.0\Reader\AcroRd32.exe \adobe\acrobat 5.0\reader\acrord32.exe \AIM95\aim.exe \CuteFTP\cutftp32.exe \DAP\DAP.exe \Far\Far.exe \ICQ\Icq.exe \Internet Explorer\iexplore.exe \kazaa\kazaa.exe \Lavasoft\Ad-aware 6\Ad-aware.exe \MSN Messenger\msnmsgr.exe \Outlook Express\msimn.exe \QuickTime\QuickTimePlayer.exe \Real\RealPlayer\realplay.exe \StreamCast\Morpheus\Morpheus.exe \Trillian\Trillian.exe \Winamp\winamp.exe \Windows Media Player\mplayer2.exe \WinRAR\WinRAR.exe \winzip\winzip32.exe \WS_FTP\WS_FTP95.exe \Zone Labs\ZoneAlarm\ZoneAlarm.exe

La carpeta de "Archivos de programa", es la definida en la siguiente entrada del registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ProgramFilesDir = [nombre de la carpeta] Por ejemplo: "C:\Archivos de programa" El gusano, adems de infectar los archivos mencionados en cualquier unidad de red compartida, tambin intenta conectarse al recurso C$ pero por un error en su cdigo falla en su intento. Cuando se ejecuta, el gusano puede finalizar cualquiera de los siguientes procesos pertenecientes a conocidos antivirus y cortafuegos: _avp32.exe _avpcc.exe _avpm.exe ackwin32.exe anti-trojan.exe apvxdwin.exe autodown.exe avconsol.exe ave32.exe avgctrl.exe avkserv.exe avnt.exe avp.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avptc32.exe avpupd.exe avsched32.exe avwin95.exe avwupd32.exe blackd.exe blackice.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe claw95.exe claw95cf.exe cleaner.exe cleaner3.exe dvp95.exe dvp95_0.exe ecengine.exe esafe.exe espwatch.exe f-agnt95.exe findviru.exe f-prot.exe fprot.exe f-prot95.exe

fp-win.exe frw.exe f-stopw.exe iamapp.exe iamserv.exe ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icsupp95.exe icsuppnt.exe iface.exe iomon98.exe jedi.exe lockdown2000.exe lookout.exe luall.exe moolive.exe mpftray.exe n32scanw.exe navapw32.exe navlu32.exe navnt.exe navw32.exe navwnt.exe nisum.exe nmain.exe normist.exe nupgrade.exe nvc95.exe outpost.exe padmin.exe pavcl.exe pavsched.exe pavw.exe pccwin98.exe pcfwallicon.exe persfw.exe rav7.exe rav7win.exe rescue.exe safeweb.exe scan32.exe scan95.exe scanpm.exe scrscan.exe serv95.exe smc.exe sphinx.exe sweep95.exe tbscan.exe tca.exe tds2-98.exe tds2-nt.exe vet95.exe

vettray.exe vscan40.exe vsecomr.exe vshwin32.exe vsstat.exe webscanx.exe wfindv32.exe zonealarm.exe El caballo de Troya Adems de su posibilidad de capturar todo lo tecleado por la vctima, el componente troyano, abre el puerto 1080 y queda a la "escucha" de posibles comandos de un usuario remoto. Estos comandos pueden realizar las siguientes acciones: Borrar, copiar y ejecutar archivos Bsqueda de archivos Descarga y ejecucin de archivos Envo de las contraseas del cach Escribir datos en archivos Finalizar cualquier proceso activo Iniciar un servidor HTTP en la mquina infectada Lista de procesos activos Obtener datos de la computadora infectada (hardware) Obtener datos del software instalado Obtener datos del usuario infectado

El usuario remoto tambin puede abrir un puerto 80 (HTTP) en la computadora infectada para acceder a un servidor provisto por el propio gusano. Esto le permite un acceso total al sistema infectado. Adems, no se requiere autenticacin segura para obtener acceso a este servidor, quedando la computadora infectada "abierta" a todo el mundo. Modifica las computadoras de los bancos En su cdigo, el gusano guarda una larga lista de dominios pertenecientes en su mayora a instituciones bancarias (son 1375 direcciones que se muestran detalladamente aqu: http://www.vsantivirus.com/bugbear-bbancos.htm). Cuando infecta una computadora, compara su direccin IP con esta lista. Si alguna coincide, puede modificar la caracterstica de autodiscado de esa mquina. La lista de bancos incluye pases como Argentina, Espaa, Brasil, Mxico, Colombia, Francia, el Reino Unido, Alemania, Australia, Italia, Grecia, Dinamarca, Nueva Zelanda, Rumania, Polonia, Suiza, Finlandia, Taiwan, Turqua, Islandia, Eslovaquia, Corea, Estados Unidos, Africa del Sur, Austria, Hungra, Noruega, Repblica Checa, etc. Imprimiendo basura Al igual que la primera versin, el gusano intenta copiarse a todos los recursos compartidos en red, incluyendo impresoras (dispositivo LPT o PRN). La respuesta visible a este intento de copiar el cdigo binario del gusano en estos dispositivos, es imprimir dicho cdigo, generando basura ininteligible. Es lo mismo que usar el comando COPY con un dispositivo LPT o PRN. El resultado de la "copia" es una impresin en papel. En concreto, el gusano enva basura a las colas de impresin. Esto puede ocasionar mltiples atascos e inconvenientes, sobre todo en redes de gran tamao. Cada una de las mquinas infectadas intenta infectar toda impresora que est compartida en la red.

Es muy importante desconectar cada PC de la red, fsicamente, antes de proceder a su limpieza individual.

Herramientas para quitar el W32/Bugbear.B de un sistema infectado BitDefender Descargue la utilidad "Antibugbear-es.exe" (57 Kb) y ejectela en su sistema: http://www.bitdefender.com/descarga/evaluacion/Antibugbear-es.exe Copyright (C) BitDefender 2003. Panda Descargue "Pqremove.com" de este enlace (1.2Mb) y ejectelo en su sistema: http://updates.pandasoftware.com/pq/gen/bugbearb/pqremove.com Copyright (C) Panda Software 2003. Symantec Descargue la utilidad "FixBugb.exe" (159 Kb) y ejectela en su sistema: http://securityresponse.symantec.com/avcenter/FixBugb.exe Copyright (C) Symantec 2003.

Reparacin manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cul detendr y advertir la conexin de este y cualquier otro troyano con Internet, as como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), adems de ser un excelente cortafuegos, tambin impide la ejecucin de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versin de un virus).

Win32:Dumaru
W32/Dumaru.NAD. Redirige el trfico de Internet
http://www.vsantivirus.com/dumaru-nad.htm Nombre: W32/Dumaru.NAD Nombre NOD32: Win32/Dumaru.NAD Tipo: Gusano de Internet y caballo de Troya Alias: Dumaru.NAD, Downloader.Small.9.C, Downloader-ML, I-Worm.Turta.b, W32/Sillydl.EL, TR/Dldr.Small.OC, Trj/Delnetdall.A, Troj/Daemoni-E, Trojan.DL.Small.JU, Trojan.Downloader.Small.OC, Trojan.Trojandownloader.Small.Oc, Trojan.ZStealth, TrojanDownloader.Win32.Small.oc, TrojanDownloader.Win32.Small.OC, TrojanDownloader:Win32/Small.OC, W32.Turta@mm, W32/Dumaru.ax, W32/Dumaru-Gen, Win32.Dent.A, Win32/Dumaru.NAD, Win32/Sillydl.EL.Trojan, Win32/ZombieCode.Variant, Win32:Bagent [Trj], Win32:Trojano-216 [Trj], Worm.Turta.B Fecha: 19/nov/04 Plataforma: Windows 32-bit Tamao: variable

Se trata de un caballo de Troya que acta como un Proxy de puerta trasera (backdoor), y que permite a un intruso remoto redirigir el trfico de Internet a travs de la computadora infectada. El troyano consiste en dos partes, que se copian en la siguiente ubicacin: c:\windows\system32\socket.exe c:\windows\system32\svchostz.exe El componente principal permite el acceso remoto y tambin descarga e instala otro componente que es capaz de descargar de un sitio determinado nuevas versiones del troyano, o cualquier otra clase de software, incluidos otros troyanos o gusanos. El componente descargado se copia a si mismo en la carpeta de inicio actual del usuario infectado, y en la carpeta del sistema de Windows, y modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio del equipo: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe svchostz.exe Este componente libera otro capaz de actuar furtivamente, que es copiado en la carpeta de Windows y luego ejecutado: c:\windows\st.exe El troyano crea las siguientes entradas en el registro para que SVCHOSTZ.EXE se ejecute automticamente en cada reinicio del sistema: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Socket Utility = svchostz.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce Socket Utility = svchostz.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices Socket Utility = svchostz.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Socket Utility = svchostz.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Socket Utility = svchostz.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Socket Utility = svchostz.exe Finalmente ejecuta a SVCHOST.EXE, el cul ejecuta a su vez a SOCKET.EXE para iniciar el proxy y poder conectarse a un sitio remoto notificando que la computadora es vulnerable. NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). La carpeta de inicio del usuario, puede ser alguna de las siguientes:

* Windows XP, 2000 (espaol e ingls) c:\documents and settings \all users\men inicio\programas\inicio c:\documents and settings \all users\start menu\programs\startup c:\documents and settings \[nombre usuario]\men inicio\programas\inicio c:\documents and settings \[nombre usuario]\start menu\programs\startup * Windows 95, 98, Me (espaol e ingls) c:\windows\all users\men inicio\programas\inicio c:\windows\all users\start menu\programs\startup c:\windows\men inicio\programas\inicio c:\windows\start menu\programs\startup c:\windows\profiles\[nombre usuario] \men inicio\programas\inicio c:\windows\profiles\[nombre usuario] \start menu\programs\startup

Reparacin manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cul detendr y advertir la conexin de este y cualquier otro troyano con Internet, as como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), adems de ser un excelente cortafuegos, tambin impide la ejecucin de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versin de un virus). Ms informacin: Cmo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm

Antivirus 1. Actualice sus antivirus con las ltimas definiciones 2. Ejectelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados

Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\st.exe c:\windows\system32\socket.exe c:\windows\system32\svchostz.exe Pinche con el botn derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre tambin los mensajes electrnicos similares al descrito antes.

Editar el registro Nota: algunas de las ramas en el registro aqu mencionadas, pueden no estar presentes ya que ello depende de que versin de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunOnce 5. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft

\Windows \CurrentVersion \RunServices 7. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 9. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunOnce 11. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 13. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 15. Pinche en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre": Shell 16. Modifique el valor de "Shell" para que aparezca solo esto: Shell = Explorer.exe 17. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

Informacin adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y adems visualizar aquellos con atributos de "Oculto", proceda as: 1. Ejecute el Explorador de Windows 2. Seleccione el men 'Ver' (Windows 95/98/NT) o el men 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengeta 'Ver'. 4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'.

Win32:Fizzer
W32/Fizzer.A. Usa correo e IRC, finaliza antivirus
http://www.vsantivirus.com/fizzer-a.htm Nombre: W32/Fizzer.A Tipo: Gusano de Internet

Alias: Fizzer, W32/Fizzer@MM, Win32/Fizzer.A, W32/Fizzer Fecha: 8/may/03 Plataforma: Windows 32-bit Este gusano es descripto por VSAntivirus.com desde el 9 de mayo de 2003, pero se ha detectado en las ltimas horas un aumento significativo de incidencias. Herramientas para quitar el W32/Fizzer.A de un sistema infectado

Fizzer captura todo lo tecleado por su vctima, y lo guarda en un archivo que luego puede ser descargado por un intruso, obteniendo as datos que comprometen la seguridad y privacidad del usuario infectado. Adems, puede finalizar procesos correspondientes a conocidos antivirus, dejando desprotegida a la computadora ante el ataque de otros virus y gusanos. Se propaga a travs de canales de IRC y va correo electrnico, envindose a todos los contactos de la libreta de direcciones de Windows. Cuando se ejecuta, no muestra ningn mensaje ni advertencia visible. Una vez en memoria, todo lo que teclea el usuario es guardado en el siguiente archivo: c:\windows\ISERVC.KLG La informacin es guardada en forma encriptada. Tambin crea los siguientes archivos: c:\windows\INITBAK.DAT c:\windows\ISERVC.EXE c:\windows\ISERVC.DLL c:\windows\PROGOP.EXE Los dos primeros son copias del propio gusano, y los dems, son utilizados internamente por el mismo. NOTA: En todos los casos, "C:\Windows" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como "C:\WinNT" en Windows NT/2000). Luego modifica el registro de Windows para ejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemInit = c:\windows\ISERVC.EXE Tambin se modifica la siguiente clave, con lo que el virus se ejecutar cada vez que se abra un archivo de texto con el bloc de notas: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Predeterminado) = c:\windows\PROGOP.EXE 0 7 ' c:\windows\NOTEPAD.EXE %1' 'c:\windows\INITBAK.DAT' 'c:\windows\ISERVC.EXE' Adems crea una nueva clave "class root" con similar asociacin: HKCR\Applications\ProgOp.exe\shell\Open\Command (Predeterminado) =

c:\windows\PROGOP.EXE 0 7 ' c:\windows\NOTEPAD.EXE %1' 'c:\windows\INITBAK.DAT' 'c:\windows\ISERVC.EXE' En Windows NT, 2000 y XP, el gusano crea un servicio llamado "S1TRACE". El gusano enva una copia de si mismo a todos los contactos de la libreta de direcciones de Windows, utilizando su propio motor SMTP, de modo que no depende del cliente de correo instalado para hacerlo. El nombre del remitente de estos mensajes es formado al azar, y los adjuntos (todos copias del gusano), tienen diferentes nombres con extensiones .COM, .EXE, .PIF y .SCR. Por ejemplo: Asunto: why? Texto: The peace Datos adjuntos: desktop.scr Asunto: Re: You might not appreciate this... Texto: lautlach Datos adjuntos: service.scr Asunto: Re: how are you? Texto: I sent this program (Sparky) from anonymous places on the net Datos adjuntos: Jesse20.exe Asunto: Fwd: Mariss995 Texto: There is only one good, knowledge, and one evil, ignorance. Datos adjuntos: Mariss995.exe Asunto: Re: The way I feel - Remy Shand Texto: Nein Datos adjuntos: Jordan6.pif Adems de ello, se enva a direcciones generadas al azar: [nombre]@[dominio] [nombre] es seleccionado de una lista interna y el dominio puede ser alguno de los siguientes: aol.com earthlink.com gte.net hotmail.com juno.com msn.com netzero.com yahoo.com Tambin enva copias a los usuarios conectados a los canales de chat que visite la vctima. Adems, enva PINGS a diferentes servidores de IRC (generalmente por el puerto TCP/6667). PING (Packet INternet Groper) es un comando usado para comprobar las conexiones a uno o ms hosts remotos enviando un paquete de bytes que normalmente es devuelto como un eco.

Cuando recibe una respuesta, se conecta a un canal usando diferentes nombres de una lista interna, y espera las instrucciones de un atacante, actuando como un BOT (copia de un usuario en un canal de IRC, preparado para responder ciertos comandos que se les enva en forma remota, de modo de lograr mltiples acciones coordinadas en forma simultnea). La lista de servidores IRC incluye: irc2p2pchat.net irc.idigital-web.com irc.cyberchat.org irc.othernet.org irc.beyondirc.net irc.chatx.net irc.cyberarmy.com irc.gameslink.net Finalmente, el gusano intenta finalizar cualquier proceso cuyo nombre contenga algunos de estos textos: ANTIV AVP F-PROT NMAIN SCAN TASKM VIRUS VSHW VSS

Win32:Ganda
W32/Ganda.A. Usa la actual situacin poltica mundial
http://www.vsantivirus.com/ganda-a.htm Nombre: W32/Ganda.A Tipo: Virus y Gusano de Internet Alias: W32/Ganda.A-mm, WORM.SwedenSux, Densux, W32/Densux, Densus, W32/Ganda@MM, Ganda, W32.Ganda.A@mm, Myzli, SwedenSux, Win32/Ganda.A@mm, PE_GANDA.A, Win32.Roger.45056, W32/densus@mm Fecha: 16/mar/03 Tamao: 45,056 bytes (aumenta 567 bytes los archivos PE) Plataformas: Windows 32-bit El 16 de marzo, MessageLabs report la primera copia de este gusano, que aparentemente tiene su origen en Suecia. Se trata de un gusano programado en assembler, con capacidad de envo masivo a contactos obtenidos de la libreta de direcciones de Windows. El gusano tambin funciona como parsito, infectando archivos PE (Portable Executable) en la mquina infectada. Los archivos infectados aumentan su tamao en 567 bytes. Se les llama parsitos a los virus que

requieren de un portador (o host) para propagarse. Se adjuntan a otro programa y se activan cuando ese programa es ejecutado. El virus en los archivos infectados no se reproduce a si mismo. La infeccin solo sirve para volver a ejecutar al gusano. Los archivos infectados son reconocidos como infectados por W32/Ganda. El gusano crea un "mutex" llamado "SWEDENSUX" para asegurarse que una sola copia est activa en memoria al mismo tiempo. Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que ms de un proceso acceda al mismo tiempo al mismo recurso. Posee su propia rutina SMTP para el envo de los mensajes, de modo que no depende del cliente de correo que tenga instalado el usuario infectado. Para el envo, hace uso de un servidor de correo abierto en Suecia. El asunto de los mensajes propagados pueden venir en ingls o en sueco. El archivo adjunto tiene extensin .SCR (Screen Saver). El remitente que aparece en los mensajes infectados no es el verdadero. Los mensajes creados contienen en su cdigo, el exploit de una vieja vulnerabilidad del Internet Explorer conocida como "IFRAME vulnerability". De este modo, no es necesario abrir el adjunto para que se infecte nuestra computadora con el gusano, si utilizamos una versin anterior a la 5.5 del Outlook Express (o la 5.01 sin el parche correspondiente). El gusano construye el mensaje con direcciones tomadas de la libreta de Windows (Windows Address Book), y otros archivos en la computadora infectada. En concreto, examina archivos con extensiones ".lnk", ".exe", ".scr", ".eml", ".htm", ".html", ".dbx" en la carpeta del escritorio (Por ejemplo: C:\WINDOWS\Escritorio), en el men de inicio (C:\WINDOWS\Men Inicio\Programas\Inicio), y en todos los subdirectorios. Utiliza diferentes rutinas para extraer las direcciones, de acuerdo al tipo de archivo examinado. Una de las direcciones seleccionada al azar, es usada para construir la direccin del remitente falso. El mensaje puede tener alguno de los varios asuntos seleccionados de una lista. Tambin se utilizan varios textos en el cuerpo del mensaje, relacionados con el asunto seleccionado. Los textos intentan explotar diversas circunstancias polticas actuales, como por ejemplo el actual momento relacionado con la situacin entre Irak y Estados Unidos. El hecho que no estn en espaol, disminuye bastante las posibilidades de propagacin entre usuarios de habla hispana. Estos son los mensajes enviados en ingls (todos con formato HTML): Ejemplo 1: Asunto: Is USA always number one? Texto del mensaje: Some misguided people actually believe that an american life has a greater value than those of other nationalities. Just have a look at this pathetic screensaver and then you'll know what i'm talking about. All the best. Ejemplo 2:

Asunto: LINUX. Texto del mensaje: Are you a windows user who is curious about the linux environment? This screensaver gives you a preview of the KDE and GNOME desktops. What's more, LINUX is a free system, meaning anyone can download it. Ejemplo 3: Asunto: GO USA !!!! Texto del mensaje: This screensaver animates the star spangled banner. Please support the US administration in their fight against terror. Thanx a lot! Ejemplo 4: Asunto: Nazi propaganda? Texto del mensaje: This screensaver has been banned in Germany. It contains a number of animated symbols that can be related to the nazi culture. What do you think, is it a legitimate ban or not? Please answer asap. Thanx! Ejemplo 5: Asunto: Disgusting propaganda. Texto del mensaje: Hello! My 12 year old doughter received this screensaver on a CDROM that was sent to her through advertising. I find it disturbing that children are now being targets of nazi organizations. I would appreciate to hear from you on this matter, as soon as possible. Thank you. Ejemplo 6: Asunto: Spy pics. Texto del mensaje: Here's the screensaver i told you about. It contains pictures taken by one of the US spy satellites during one of it's missions over iraq. If you want more of these pic's you know where you can find me. Bye! Ejemplo 7:

Asunto: Screensaver advice. Texto del mensaje: Do you think this screensaver could be considered illegal? Would appreciate if you or any one of your friends could check it out and answer as soon as humanly possible. Thanx ! Ejemplo 8: Asunto: Catlover. Texto del mensaje: If you like cats you'll love this screensaver. It's four animated kittens running around on the screen. Contact me for more clipart. Have fun! ;-) Ejemplo 9: Asunto: G.W Bush animation. Texto del mensaje: Here's the animation that the FBI wants to stop. Seems like the feds are trying to put an end to peoples right to say what they think of the US administration. Have fun! Ejemplo 10: Asunto: Is USA a UFO? Texto del mensaje: Have a look at this screensaver, and then tell me that George.W Bush is not an alien ;-) Archivos adjuntos: Cada mensaje lleva un adjunto cuyo nombre consta de dos caracteres seleccionados al azar, y con la extensin .SCR. Por ejemplo: qu.scr sg.scr hg.scr ev.scr Adems, el gusano enva un solo mensaje en sueco, con el asunto "DISKRIMINERAD !!!!" a las siguientes direcciones: qruvabzabr@hotmail.com red@fna.se debatt@svt.se

susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se Este mensaje aparenta ser enviados por la direccin skrattahaha@hotmail.com, pero se trata de una direccin falsa. Luego, se enva a todas las direcciones recogidas de la libreta y de archivos, como ya vimos, con los siguientes asuntos en sueco y un mensaje correspondiente a cada asunto, en el mismo idioma (el remitente es elegido al azar de la libreta de direcciones): r_USA_ett_UFO? Avskyv rd_reklam. Go ack ack ack.... Hakkors. Katt, hund, kanin. Korkad president. Olaglig_skrmslckare? verviktiga_frnedras. Rashets eller inte? Suspekta semaforer. Infeccin de archivos PE: El gusano intenta infectar archivos con formato PE, como forma de volver a ejecutarse en la mquina infectada. No hay rutina de propagacin en los archivos infectados, es decir, un archivo infectado no puede volver a infectar a otro. Aunque si lo puede hacer el gusano una vez en memoria. Los archivos infectados aumentan su tamao en 567 bytes, que es lo que ocupa el virus. El virus intercepta una llamada a la funcin API ExitProcess() desde el archivo infectado, redireccionndolo a su propio cdigo, aadido al final del archivo infectado. Esto ejecuta el gusano en memoria y luego contina el proceso normal. El gusano coloca una marca en los archivos infectados para no volver a hacerlo. En el cdigo del gusano pueden encontrarse el siguiente texto: [WORM.SWEDENSUX] Coded by Uncle Roger in Hrnsand, Sweden, 03.03. I am being discriminated by the swedish schoolsystem. This is a response to eight long years of discrimination I support animal-liberators worldwide Otros sntomas de la infeccin del gusano: La creacin de un archivo llamado SCANDISK.EXE en el directorio C:\Windows (el verdadero SCANDISK.EXE en las versiones de Windows que lo traen, est en C:\Windows\System o en C:\Windows\Options\Install). En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo

instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Archivos de 45,056 byte con nombres al azar y extensin .EXE en c:\Windows La existencia de las siguientes claves en el registro de Windows (se guardan all las direcciones recolectadas para el envo de los mensajes): HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent2 Cuando se ejecuta el gusano, el mismo se copia en C:\Windows con el nombre de "Scandisk.exe", "tmpworm.exe", y como "xxxxxxxx.exe" (las "xxxxxxxx" representan 8 caracteres al azar). De este archivo pueden llegar a existir una gran cantidad de copias con diferentes nombres, ya que lo genera el gusano cada vez que se ejecuta. Las siguientes entradas son agregadas al registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ScanDisk = C:\Windows\SCANDISK.exe El gusano posee adems la capacidad de finalizar la ejecucin de varios programas relacionados con la seguridad (antivirus, cortafuegos, etc.), buscando entradas en las claves de inicio del registro ("Run" y "RunServices" de "HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion") cuyos nombres coincidan con algunas de estas referencias: firewall f-secure kaspersky mcafee norton pc-cillin sophos symantec trend micro virus En Windows 95, 98 y Me, tambin examina la clave (y subclaves) "HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \VxD".

Win32:Gatina-B
Gatina.A. Se propaga por e-mail y recursos compartidos
http://www.vsantivirus.com/gatina-a.htm Nombre: Gatina.A Nombre NOD32: Win32/Gatina.A Tipo: Gusano de Internet Alias: Gatina, W32/Gatina-A, Email-Worm.Win32.Gatina.a, W32/Namuki, W32.Filukin.A@mm Fecha: 4/jul/05 Plataforma: Windows 32-bit

Este gusano se propaga por correo electrnico y recursos compartidos de redes. Cuando se ejecuta, crea los siguientes archivos: [carpeta de inicio]\MSKernell.bat c:\windows\Exit to DosPrompt.pif c:\windows\system32\AutoRun.bat Donde [carpeta de inicio] es una de las siguientes: * Windows XP, 2000 (espaol e ingls) c:\documents and settings \all users\men inicio\programas\inicio c:\documents and settings \all users\start menu\programs\startup c:\documents and settings \[nombre usuario]\men inicio\programas\inicio c:\documents and settings \[nombre usuario]\start menu\programs\startup * Windows 95, 98, Me (espaol e ingls) c:\windows\all users\men inicio\programas\inicio c:\windows\all users\start menu\programs\startup c:\windows\men inicio\programas\inicio c:\windows\start menu\programs\startup c:\windows\profiles\[nombre usuario] \men inicio\programas\inicio c:\windows\profiles\[nombre usuario] \start menu\programs\startup NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run NOYPI_KANG_ASTIG = c:\windows\Exit to DosPrompt.pif HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run TANG_INA_MO = c:\windows\system\AutoRun.bat

Para enviarse por correo electrnico, el gusano obtiene direcciones de archivos del equipo infectado con las siguientes extensiones: .asp .dbx .doc .eml .hta .hte .htm .html .htt .htx .ini .jsp .php .php3 .pthml .rtf .shtml .sql .stm .tbb .tbi .txt .xml Los mensajes que utiliza para propagarse tienen las siguientes caractersticas: De: [direccin falsa] Asunto: [uno de los siguientes] - FILIPINO'S SECRETS - LYRICS OF BAMBOO AND OTHER BOY BAND - Philippines Government Top Secret - New Virus Information - Ukinnam Virus Information Texto del mensaje: [uno de los siguientes] Hi! Look the Attach Document for more details about FILIPINOS... HOY! PINOY AKO! BUO AKING LOOB MAY AGIMAT AKO... FOR MORE LYRICS CHECK THE ATTACH FILE... The Government of the Philippines revealed the truth. For more information please read the Attach file... Please read the attach file for more information about computer virus... If your computer has been infected by Ukinnam Virus.

Open the attach file and follow the instruction to remove the virus.. Datos adjuntos: [uno de los siguientes] data.doc.exe info.doc.exe readme.doc.exe taetae.txt.exe El gusano intenta finalizar la ejecucin de aquellas aplicaciones cuyo ttulo coincida con los siguientes textos: Ad-aware 6.0 Personal Ad-Aware SE Personal Anti-Trojan - Infection Monitor AntiViral Toolkit Pro Anti-Virus AVG E-Mail Server Edition - Advanced Interface AVG E-Mail Server Edition - Basic Interface AVG E-Mail Server Edition - Control Centerr AVP AVP Monitor BitDefender BitDefender Sheild BlackICE Command Prompt Control Panel eTrust Antivirus - Local Scanner F-Secure Anti-Virus HijackThis Kaspersky Anti-Virus Monitor Kaspersky Anti-Virus personal Kaspersky Anti-Virus Scanner My Computer My Documents NOD32 Antivirus Program - [My Profile] NOD32 Control Center Norton Norton Antivirus Norton AntiVirus Porfessional Pop3trap Process Explorer - Sysinternals: www.sysinternals.com Registry Editor Registry Monitor Registry Monitor - Sysinternals: www.sysinternals.com Services Sophos Anti-Virus - SWEEP Spybot - Search & Destroy Sygate Personal Firewall Pro System Configuration Utility System Restore Windows Firewall Windows Security Center Windows Task Manager WinPatrol

El gusano tambin intenta propagarse por redes con recursos compartidos, copindose con el siguiente nombre: README.EXE

Reparacin manual Antivirus Actualice sus antivirus con las ltimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artculo: Cmo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados.

Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del tem "Antivirus". Haga clic con el botn derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro Nota: algunas de las ramas en el registro aqu mencionadas, pueden no estar presentes ya que ello depende de que versin de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del tem "Antivirus". 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Informacin adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y adems visualizar aquellos con atributos de "Oculto", proceda as: 1. Ejecute el Explorador de Windows 2. Seleccione el men 'Ver' (Windows 95/98/NT) o el men 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengeta 'Ver'. 4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'.

Win32:Kapucen-B

Win32:MiMail-A, Win32:Mimail-C, Win32:Mimail-E, Win32:Mimail-I, Win32:MiMail-J, Win32:Mydoom, Win32:Mydoom-M, Win32:Naith (also known as Avril, Lirva), Win32:Netsky-B, Win32:Polip, Win32:Sasser, Win32:Sober-A, Win32:Sober-H, Win32:Sobig,

Win32:Sobig-B, Win32:Sobig-C, Win32:Sobig-E, Win32:Sobig-F, Win32:SQLSlammer, Win32:Swen, Win32:VB-CD alias Kamasutra, Win32:Virut, Win32:Warezov family, Win32:Zafi-D, Win32:Zlob-JN, Win32:Zotob, WMF Exploit
Script viruses description VBS:Bubbleboy, VBS:LoveLetter, VBS:NewLove, VBS:SST-A, VBS:Stages, VBS:Tune, VBS:VBSWG-AC, VBS:VBSWG-X (known also as VBS:HomePage)