W32/Mexer.D W32/Vuxer W32/Neroma.B W32/Panoil.B W32/Neroma W32/Waxpow W32/MsBlast.F DIRECCIONES PARA BAJAR ACTUALIZACIONES DE ANTIVIRUS Información provista de www.virusattack.com.ar |
||
NOTICIAS WINDOWS Grabar CD's Como optimizar la conexion a Internet Internet-Informática Jóvenes Juegos Manuales Música/mp3 Noticias Recursos Web Todo Gratis Turismo Surtidos Underground Servicios |
Aliases: Worm.P2P.Harex.c , W32.Mexer.D.Worm, Win32/Mexer.D Variantes: W32/Mexer.C Fecha de Descubrimiento: 08/09/2003 Tipo: Gusano de internet (Kazaa - iMesh) Gravedad: Baja Origen: Desconocido Información: Se propaga unicamente mediante las aplicaciones KaZaa e iMesh de intercambio de archivos P2P. Características: Al ser ejecutado, dentro del directorio C:\Windows\System es creado el directorio sys32 donde luego son copiados los siguientes archivos: DvdToVcd Crack.exe Luego intenta descargar un archivo desde un sitio web incluido dentro del código del virus. Éste será copiado como C:\Autoexec.bat.exe y luego ejecutado. El valor "Dir0"="012345:C:\Windows\System\sys32" es agregado en las siguientes 2 claves: HKCU\Software\Imesh\Client\LocalContent También es agregado el valor "DlDir0=C:\Windows\System\sys32" a la clave HKCU\Software\Kazaa\Transfer. Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Eliminar el valor "DlDir0=C:\Windows\System\sys32" de la clave HKCU\Software\Kazaa\Transfer. Eliminar el valor "Dir0"="012345:C:\Windows\System\sys32" de las siguientes claves: HKCU\Software\Imesh\Client\LocalContent Si existe eliminar el archivo C:\Autoexec.bat.exe. Eliminar el directorio sys32 de la ubicación C:\Windows\System. Aliases: W32.HLLW.Vuxer@mm, Win32/Vuxer.A Variantes: Ninguna Fecha de Descubrimiento: 06/09/2003 Tipo: Gusano de internet Gravedad: Baja Origen: Desconocido Información: Se propaga por correo electrónico haciendo uso del Microsoft Outlook dado que no cuenta con un motor SMTP propio. Características: El virus puede llegar a nuestra casilla en un mensaje de correo electrónico con la siguiente apariencia: Asunto: Here
it is! Una vez ejecutado, se copia a si mismo en las siguientes ubicaciones: C:\Windows\System\WinBooter.exe
Al finalizar, es mostrado el mensaje Are you sure you want to Uninstall Windows?. Si el botón No es presionado el virus renombrará el archivo Notepad.exe a C:\Windows\Allison.b.exe.w32aw y muestra un nuevo mensaje: W32.Allison.b.Worm, payload activated!. Además, agrega el valor "load"="C:\WINDOWS\SYSTEM\WinBooter.exe" a la clave HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows. Utilizando la Libreta de direcciones recolecta direcciones y se envía a si mismo en un mensaje como el antes mencionado haciendo uso del Microsoft Outlook para realizar el envío. Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus Eliminar el valor "load"="C:\WINDOWS\SYSTEM\WinBooter.exe" de la clave HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows. Reiniciar el equipo. Eliminar los siguientes archivos: C:\Windows\System\WinBooter.exe
Renombrar el archivo C:\Windows\Allison.b.exe.w32aw a Notepad.exe. Aliases: W32.Neroma.B@mm, Win32/Neroma.B Variantes: W32/Neroma Fecha de Descubrimiento: 05/09/2003 Tipo: Gusano de internet Gravedad: Baja Origen: Desconocido Información: Se propaga mediante el correo electrónico simulando ser una imagen relacionada con el ataque a las torres gemelas. Características: El virus puede llegar a nuestra casilla de correo en un mensaje con las siguientes características: Asunto: Time to 911! A pesar de parecer una imagen, el archivo se trata de una copia del virus la cual ha modificado el nombre de la etiqueta del archivo adjunto en el mensaje. Al ser ejecutado, se copia como Nrs.exe en el directorio C:\Windows. Luego, modificará el archivo System.ini agregando la linea shell= Explorer.exe nrs.exe bajo la sección [boot]. De esta manera logrará autoejecutarse bajo Windows 9x/Me. En algunos días del mes es posible que elimine algunos archivos. Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Eliminar del archivo System.ini la linea shell= Explorer.exe nrs.exe bajo la sección [boot]. Reiniciar el equipo. Eliminar el archivo C:\Windows\Nrs.exe. Aliases: I-Worm.Panoil, W32/Panoil.b@MM, WORM_PANOIL.B, Win32/Panoil.B Variantes: W32/Panoil Fecha de Descubrimiento: 04/09/2003 Tipo: Gusano de internet Gravedad: Baja Origen: Desconocido Información: Es capaz de apagar el equipo luego de haber mostrado algunos mensajes al usuario. Se propaga a través del correo electrónico. Características: Al ser ejecutado, se copia en la raíz del disco C:\ como Virus_Scanner.exe y en el directorio C:\Windows como Virus_Cleaner.exe. Luego, para poder ejecutarse en cada inicio del sistema agrega el valor Virus_Scanner = "C:\Windows\Virus_Cleaner.exe" en la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Con el mismo fin, bajo Windows 9x/Me, agrega en el archivo Win.ini la linea Run=C:\Windows\Virus_Cleaner.exe bajo la sección [windows]. Son agregados también los valores Name = "Panolili" y Possessor en la clave HKCU\Software\Microsoft\Infected. El gusano busca direcciones de correo electrónico en archivo .htm y .html que encuentre en el disco duro. A ellas les envía un mensaje de correo electrónico como el mostrado a continuación: Asunto: The easy, automatic way to keep your PC virus-free Cuerpo: Archivo adjunto: Virus_Scanner.exe En intervalos aleatorios de tiempo el virus muestra uno de los siguientes mensajes y es posible que apague el equipo cuando el usuario presiona el botón OK:
Por último, establece la página de inicio del Internet Explorer como http://www.ankara.edu.tr. Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí. Eliminar el valor Virus_Scanner = "C:\Windows\Virus_Cleaner.exe" de la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Bajo Windows 9x/Me, eliminar en el archivo Win.ini la linea Run=C:\Windows\Virus_Cleaner.exe bajo la sección [windows]. Eliminar los valores Name = "Panolili" y Possessor en la clave HKCU\Software\Microsoft\Infected. Reiniciar el equipo. Con un antivirus actualizado realizar un escaneo completo en busca de virus y eliminar todos los archivos que sean detectados como infectados. Aliases: W32.Neroma@mm, W32/Neroma@MM, W32/Neroma.A, W32/Generic.a@MM, WORM_NEROMA.A, I-Worm.Nearby, Worm/Icebut.A2, W32.NEROMA@MM, Worm.Win32.Maro.5632, Win3 Variantes: Ninguna Fecha de Descubrimiento: 04/09/2003 Tipo: Gusano de internet Gravedad: Baja Origen: Desconocido Información: Se propaga a todos los contactos de la Libreta de direcciones simulando ser una imagen relacionada con el atentado del 11 de septiembre, del cual se cumple su segundo aniversario en pocos días. Características: Dicho virus puede llegar a nuestro equipo en un mensaje de correo electrónico con las siguientes características: Asunto: It"s Near 911! A simple vista el archivo 911.jpg se trataría de una imagen, pero en verdad el archivo es llamado Nerosys.exe. Esta modificación del nombre del archivo adjunto es llevada a cabo mediante la alteración de una etiqueta en las propiedades del mensaje. Al ejecutar el archivo, éste se copia a si mismo en el directorio C:\Windows utilizando el nombre original, Nerosys.exe. Una vez copiado en el equipo procederá a enviarse en un mensaje como el antes mostrado a todos los contactos de la Libreta de direcciones. Para poder ejecutarse en cada inicio del equipo, bajo Windows XP/2000/NT, el valor shell = Explorer.exe Nerosys.exe bajo la clave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Si la plataforma es Windows 9x/Me será agregada la linea shell = Explorer.exe nerosys.exe bajo la sección [boot] del archivo System.ini. Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí. Si utiliza Windows XP/2000/NT, debe eliminar el valor shell = Explorer.exe Nerosys.exe de la clave HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. En el caso de utilizar Windows 9x/Me, abrir el archivo System.ini y eliminar bajo la sección [boot] la linea shell = Explorer.exe Nerosys.exe. En ambos casos reiniciar el equipo. Utilizando un antivirus actualizado realizar un escaneo completo en busca de virus y eliminar todos los archivos que sean detectados como infectados. Aliases: W32.Waxpow.Worm, Win32/Waxpow.A Variantes: Ninguna Fecha de Descubrimiento: 02/09/2003 Tipo: Gusano de internet Gravedad: Baja Origen: Desconocido Información: Utilizando aplicaciones P2P se propaga a través de los usuarios. Dentro de sus rutinas posee un ataque de Denegación de Servicios. Características: Al ser ejecutado se copia a si mismo en las siguientes ubicaciones: C:\Windows\App.exe
Luego, es agregado el valor "(nombre del archivo ejecutado)"="C:\Windows\App.exe" en las claves HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y Además intenta extraer y ejecutar el archivo C:\Win1.bat el cual es usado para llevar a cabo un Ataque de Denegación de Servicios. Intenta luego conectarse a un servidor de IRC específico. Por último envía el siguiente mensaje a ciertas direcciones de correo electrónico: Asunto: Hi
Everyone Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Eliminar el valor "(nombre del archivo
ejecutado)"="C:\Windows\App.exe" de las claves HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y Reiniciar el equipo. Realizar un escaneo en busqueda de virus con un antivirus actualizado y eliminar todos los archivos que sean detectados como infectados. Aliases: W32/Lovsan.worm.f, W32/Lovsan.F, Worm.Blaster.F, W32/Blaster.F Variantes: W32/MsBlast, W32/MsBlast.B, W32/MsBlast.C, W32/MsBlast.D, W32/MsBlast.E Fecha de Descubrimiento: 01/09/2003 Tipo: Gusano de internet Gravedad: Baja Origen: Desconocido Información: Esta versión posee textos en rumano y se encuentra comprimida dos veces con diferentes utilidades. No presenta cambios en su funcionamiento. Características: La versión F del MsBlast no incluye cambios técnicos relevantes, salvo que está doblemente comprimida con ASPack y UPX. Además, los textos que incluye se encuentran en rumano. El nombre utilizado por el ejecutable está vez, será C:\Windows\System32\enbiei.exe. Y agregará el valor www.hidro.4t.com = C:\Windows\System32\enbiei.exe en la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run del registro de configuraciones. El blanco para el ataque de denegación de servicio, en lugar de windowsupdate.com, es el siguiente: tuiasi.ro Incluye el siguiente mensaje en su código: Nu datzi
la fuckultatea de Hidrotehnica!!! |
|
DIRECCIONES PARA BAJAR ACTUALIZACIONES DE ANTIVIRUS Antiviral Toolkit Pro (AVP) AVAST y AVAST32 AVG Dr. Solomon's AVTK ESafe F-Prot IBM Antivirus InoculateIT McAfee VirusScan Norton Antivirus (NAV) QUICKHEAL Panda Antivirus Pc-Cillin Sophos Antivirus Thunder Byte AntiVirus (TBAV) |