VSantivirus No. 989 - Año 7 - Domingo 23 de marzo de 2003
W32/Genky. Se propaga vía KaZaA e iMesh
http://www.vsantivirus.com/genky.htm
Nombre: W32/Genky
Tipo: Gusano de Internet (P2P)
Alias: W32.HLLW.Genky
Fecha: 19/mar/03
Tamaño: 3,968 bytes
Plataforma: Windows 32-bit
Este gusano, escrito en Microsoft Visual Basic 6 y comprimido con la utilidad FSG, se propaga a través de las redes de intercambio de archivos entre usuarios KaZaA e iMesh. Intenta descargar de un determinado sitio Web el troyano Backdoor Sdbot (ver
http://www.vsantivirus.com/slacker-a.htm).
Cuando se ejecuta por primera vez, el gusano crea 261 copias de si mismo en la carpeta "System" de Windows.
Cada uno de esos archivos posee un nombre diferente de acuerdo al siguiente criterio:
Los primeros 5 archivos tienen estos nombres:
A+ Certification Test.exe
Cisco Certification Test.exe
MSCE Certification Test.exe
Unix Certification Test.exe
Windows Nt Certification Test.exe
Los nombres de los restantes 256, están compuestos de la siguiente lista, alternándose de esta forma:
[nombre lista1]+[nombre lista 2].exe
Lista 1:
Airport Tycoon II
Alex Ferguson's Player Manager 2003
American Conquest
Apache AH-64 Air Assault
Battlefield 1942 The Road to Rome
Bridge Baron 13
Command and Conquer Generals
Eonix Realm Of Hepmia
Fetish Fighters
Filbert Fledgling
Freelancer
Global Power
Grom
I Was An Atomic Mutant
IGI-2 Covert Strike
Impossible Creatures
Ipswich Town Official Management Game
Las Vegas Casino Player's Collection
Nascar Racing 2003 Season
Private Nurse
Robot Arena Design And Destroy
Serious Sam - Gold Edition
Shadow of Memories
Sim City 4
Slot City 3
Test Drive
The Campaigns of La Grande Armee
The Emperors Mahjong
Tom Clancy's Splinter Cell
Tombstone 1882
Unreal II The Awakening
World Of Outlaws Sprint Car Racing 2002
Nombre 2:
CD Crack
Cd Key Changer
CD Key Generator
CD Keygen
Keygen
NoCd
Update
Update Crack
Ejemplos:
Freelancer NoCd.exe
Apache AH-64 Air Assault CD Crack.exe
Unreal II The Awakening Update.exe
[etc.]
El gusano también intenta agregar las siguientes entradas en el registro:
HKCU\Software\iMesh\Client\LocalContent
Dir0 = 012345:%System%\Windows
HKCU\Software\Kazaa\Transfer
Dir0 = 012345:%System%\Windows
HKCU\Software\Kazaa\LocalContent
Dir0 = 012345:%System%\Windows
La primera de las entradas le permite compartir sus archivos con usuarios de la aplicación iMesh, y las dos últimas con KaZaa.
Luego de ello, el gusano intenta descargar del siguiente sitio el troyano Sdbot:
http:/ /cnets.0catch.com/
Luego de la descarga, procede a ejecutarlo.
Reparación manual
Para la limpieza del troyano SDBot siga estos enlaces:
Troj/Slacker.A (Slackor, Yabinder, SDBot, SDBot-S)
http://www.vsantivirus.com/slacker-a.htm
W32/Deborm.B. Propagación a través de puertos 139 y 445
http://www.vsantivirus.com/deborm-b.htm
Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
HKEY_CURRENT_USER
\Software
\iMesh
\Client
\LocalContent
2. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Dir0
3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\Transfer
4. Pinche en la carpeta "Transfer" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Dir0
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
6. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Dir0
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
