« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: VBbot.I. Puede propagarse a través de MSN Messenger  (Leído 1735 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
VBbot.I. Puede propagarse a través de MSN Messenger
« en: 04 de Octubre de 2005, 08:15:07 pm »
VBbot.I. Puede propagarse a través de MSN Messenger

Nombre: VBbot.I
Nombre NOD32: Win32/VBbot.I
Tipo: Gusano de Internet y caballo de Troya
Alias: VBbot.I, Backdoor.VBbot.i, Backdoor.Win32.VBbot.i, Bck/Botmail.E, BDS/VBbot.I.12, Trojan-Spy.Win32.Bancos.JU, W32/Chode-F, W32/VBbot.I-bdr, Win32/VBbot.I
Plataforma: Windows 32-bit
Tamaño: 98,816 bytes

Se propaga vía MSN Messenger. Para ello envía uno de los siguientes mensajes a toda la lista de contactos del programa:
LMAO, this is freaking me out!!
[enlace]

looooooool....check this out !!!
[enlace]

Automessage : download the new MSN update here!
[enlace]

rofl, this ownz!!
[enlace]

Hej, you already updated your MSN?
[enlace]

Get the new MSN Messenger here :
[enlace]

Click here if you want more MSN emotions:
[enlace]

w0000t, you have to check this out!
[enlace]

lmao, this roxXxX!!
[enlace]

wow wow wow.....you have to check this out!!!
[enlace]
El usuario que recibe y acepta el mensaje, debe hacer clic en el enlace para descargar otro archivo, que es el gusano propiamente dicho. La infección ocurre si ejecuta dicho archivo.

Cuando se ejecuta, crea una carpeta con nombre al azar y el siguiente archivo:
c:\windows\system32\[nombre al azar]\svshost.exe

Puede crear las siguientes entradas en el registro, las primeras tres para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
svshost = C:\windows\system32\[nombre al azar]\svshost.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = C:\windows\system32\[nombre al azar]\svshost.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svshost = C:\windows\system32\[nombre al azar]\svshost.exe

HKCU\Software\Chode
Installed = 1

HKCR\Chode
Installed = 1
El gusano también instala una puerta trasera en el equipo infectado, que un atacante remoto podrá utilizar para realizar las siguientes acciones, entre otras:
- Actualizarse a si mismo.
- Desactivar algunos antivirus.
- Enviar correos electrónicos.
- Modificar el archivo HOSTS.
- Realizar ataques de denegación de servicios.
- Robar contraseñas.
Los siguientes sitios son bloqueados por el troyano, al modificar el archivo HOSTS de Windows:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
grisoft.com
housecall.trendmicro.com
kaspersky.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
merijn.org
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
phpbb.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spywareinfo.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.avp.com
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.merijn.org
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.phpbb.com
www.sophos.com
www.spywareinfo.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.zonelabs.com
www3.ca.com
zonelabs.com

Reparación Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.

Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\Chode
3. Haga clic en la carpeta "Chode" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Chode
5. Haga clic en la carpeta "Chode" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
7. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1   localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.

Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/vbbot-i.htm
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.