Los virus

Troyano que infecta a un equipo a través de documentos word modificados maliciosamente explotando la vulnerabilidad CVE-2008-2244.

Detalles técnicos
Peligrosidad: 2 - Baja
[Explicación de los criterios]
Difusión: Baja
Daño: Alto
Dispersibilidad: Media
Fecha de alta: 26/02/2009
Última actualización: 26/02/2009
Nombre completo del virus: Trojan.W32/DUI.DR
Tipo de código: Trojan Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo.
Plataformas afectadas: W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95
Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.

Propagación
Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
El troyano no dispone de rutina de difusión propia, por lo que requiere de la participación de un usuario malicioso o de otro código malicioso para su propagación.

Infección/Efectos
Cuando DUI.DR se ejecuta, realiza las siguientes acciones:
Un equipo es infectado por este troyano a través de documentos word modificados maliciosamente explotando la vulnerabilidad CVE-2008-2244 .
Cuando se ejecuta copia los siguientes ficheros al equipo infectado:
%Temp% wins.exe: tiene un tamaño de 107,584 bytes.
%ProgramFiles% \Startup\Microsoft Office Helper\s.exe: tiene un tamaño de 107,584 bytes.
%Temp% svohost.exe: tiene un tamaño de 83,008 bytes.
Notas:
%Temp% es una variable que representa la carpeta temporal de Windows. Por defecto es C:\Windows\temp (Windows 95/98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\{ nombre de usuario }\local settings\temp (Windows XP).
%ProgramFiles% es una variable que hace referencia al directorio de instalación por defecto de aplicaciones en sistemas Windows. Por defecto es C:\Archivos de Programa\ (Windows98/Me/2000/XP). También puede ser C:\Program Files (Windows NT) y en instalaciones de Windows en inglés.
Crea a continuación la siguiente entrada del registro de Windows para ejecutarse de nuevo con cada reinicio del sistema: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run Valor: Microsoft office = "%Temp%\wins.exe"
También modifica las siguientes entradas del registro para deshabilitar algunos avisos de seguridad: Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings Valor: WarnOnPostRedirect = 0x00000000 Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings Valor: WarnOnZoneCrossing = 0x00000000
El troyano se conecta a una dirección web de la que puede descargar e instalar otros códigos maliciosos que pueden variar ya que la web esta controlada por el creador del troyano. La página web es la siguiente:
http://trade{OCULTO}.2288.org:80
El fin último del troyano es robar información confidencial, descargar y ejecutar otros ficheros remotos.

Contramedidas
Desinfección
Si utiliza Windows Me , XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ´Restauración del Sistema´ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista .
En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me . A continuación siga estos pasos para la eliminación del virus:
Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos .
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos .
Elimine los siguientes ficheros:
%Temp% wins.exe: tiene un tamaño de 107,584 bytes.
%ProgramFiles% \Startup\Microsoft Office Helper\s.exe: tiene un tamaño de 107,584 bytes.
%Temp% svohost.exe: tiene un tamaño de 83,008 bytes.
Notas:
%Temp% es una variable que representa la carpeta temporal de Windows. Por defecto es C:\Windows\temp (Windows 95/98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\{ nombre de usuario }\local settings\temp (Windows XP).
%ProgramFiles% es una variable que hace referencia al directorio de instalación por defecto de aplicaciones en sistemas Windows. Por defecto es C:\Archivos de Programa\ (Windows98/Me/2000/XP). También puede ser C:\Program Files (Windows NT) y en instalaciones de Windows en inglés.
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/ Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE .
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\Explorer\run Valor: Microsoft office = "%Temp%\wins.exe"
Restaure las siguientes entradas del registro al valor que tuviesen anteriormente, a continuación se indican los valores que activan los avisos de seguridad a los que hacen referencia (puede que ya estuvieran desactivadas antes de la infección del virus): Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings Valor: WarnOnPostRedirect = 0x00000001 Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings Valor: WarnOnZoneCrossing = 0x00000001
Instale el parche que soluciona la vulnerabilidad, para ello, puede encontrar más información en la siguiente página web:
MS08-042
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

Troyano/backdoor para la plataforma Windows que se propaga a través de servicios de Internet o por el puerto 80 HTTP. Tiene funcionalidades de Rootkit y capturador de pulsaciones.

Detalles técnicos
Peligrosidad: 2 - Baja
[Explicación de los criterios]
Difusión: Baja
Daño: Alto
Dispersibilidad: Baja
Fecha de alta: 26/02/2009
Última actualización: 26/02/2009
Nombre completo del virus: Backdoor.W32/Syzoor@Otros
Tipo de código: Backdoor Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataformas afectadas: W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95
Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
Tamaño (bytes): 92.160

Alias:
Syzoor (PerAntivirus)

Propagación
Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
Se propaga a través de servicios de Internet o por el puerto 80(HTTP).

Infección/Efectos
Cuando Syzoor se ejecuta, realiza las siguientes acciones:
Para escalar privilegios explota la vulnerabilidad Microsoft Windows AFD Driver Local Privilege Escalation , que gestiona el protocolo Winsock TCP/IP.
Una vez que infecta el sistema se copia en:
%Windir%\system32\drivers\[caracteres_aleatorios].sys
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows. Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
Para evitar infectar más de una vez crea el Mutex:
___b0th____
El troyano registra el archivo copiado como un nuevo dispositivo (controlador) de servicio con las siguientes características:
Nombre de Servicio: [11_caracteres_aleatorios]
Ruta de Imagen: %Windir%\system32\drivers\[11_caracteres_aleatorios].sys
Modo de Inicio: Automático
Para ejecutarse al iniciarse el sistema crea la clave: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Valor: "tdss" = "%Temp%\[Número_aleatorio].exe"
Nota: %Temp% es una variable que representa la carpeta temporal de Windows. Por defecto es C:\Windows\temp (Windows 95/98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\{ nombre de usuario }\local settings\temp (Windows XP).
Al siguiente inicio del equipo el troyano deshabilita la mayoría de antivirus instalados en el sistema y el Firewall de Windows.
A continuación revisa las unidades de disco tratando de identificar drivers sospechosos con el archivo checking .sys ubicado en %Windir%\system32\drivers e intenta borrar los drivers sospechosos y servicios relacionados. También borra drivers legítimos.
Termina todos los procesos que tengan las siguientes cadenas:
FIREFOX.EXE
IEXPLORE.EXE
SHELLPRO.EXE
STOCKS.EXE
WAOL.EXE
El driver tiene funcionalidad de Rootkit, capturador de teclas e inserta un hilo (Backdoor) en el proceso services.exe Posteriormente el Backdoor se conecta y recibe instrucciones y comandos de los siguientes sitios web:
http://update-product.net
http://updb-update.com
A través del Backdoor, los atacantes podrán ejecutar las siguientes acciones remotamente:
Descargar y ejecutar archivos con código malicioso.
Robar la información de acceso (login) a aplicaciones, direcciones de correo y sitios web relacionados con bancos por ejemplo.
Capturar imagenes de la pantalla.
Enviar el historial de navegación.
Extraer información confidencial del sistema tales como estadísticas, aplicaciones instaladas, etc.
Deshabilitar sistemas de seguridad.
Otros detalles
Está desarrollado en Assembler y encriptado con rutinas propias.

Contramedidas
Desinfección
Si utiliza Windows Me , XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ´Restauración del Sistema´ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista .
En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me . A continuación siga estos pasos para la eliminación del virus:
Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos .
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos .
Elimine los siguientes ficheros:
%Windir%\system32\drivers\[caracteres_aleatorios].sys
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows. Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/ Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE .
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes claves del registro y todo su contenido: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Valor: "tdss" = "%Temp%\[Número_aleatorio].exe"
Nota: %Temp% es una variable que representa la carpeta temporal de Windows. Por defecto es C:\Windows\temp (Windows 95/98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\{ nombre de usuario }\local settings\temp (Windows XP).
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

Gusano cuya propagación se realiza mediante el envío masivo de correo electrónico a direcciones contenidas en el sistema infectado. Las características del mensaje son variables, aunque siempre en inglés. Para el envío, utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa. También puede propagarse a través de redes de intercambio de ficheros (P2P).

Detalles técnicos
Peligrosidad: 2 - Baja
[Explicación de los criterios]
Difusión: Baja
Daño: Medio
Dispersibilidad: Alta
Fecha de alta: 22/03/2004
Última actualización: 29/09/2008
Nombre completo del virus: Worm.W32/Netsky.P@MM +P2P
Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
Mecanismo principal de difusión: MM Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado. + P2P Se difunde por redes de compartición de ficheros P2P (peer to peer).
Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
Tamaño (bytes): 29.568

Alias:
HTML_NETSKY.P (Trend Micro)
WORM_NETSKY.P (Trend Micro)
W32/Netsky-P (Sophos)
W32/Netsky.P.worm (Panda Security)
W32/Netsky.eml!dam (McAfee)
W32/Netsky.p.eml!exe (McAfee)
W32/Netsky.p@M (McAfee)
W32/Netsky.p@MM (McAfee)
W32/Netsky.p@MMi (McAfee)
W32/Netsky.p@MM!zip (McAfee)
http://www.symantec.com/avcenter/venc/data/w32.netsky.p@mm.html
W32.Netsky.P@mm (Symantec)
Worm.SomeFool.P (ClamAV)
NetSky.P (F-Secure)
Email-Worm.Win32.NetSky.q (F-Secure)
Win32.Netsky.P (Computer Associates)
Win32/Netsky.P (Computer Associates)
W32/Netsky.P@mm) (Computer Associates)
Win32:Netsky-AF (Otros)
W32/NetskyP-Dam (Otros)
http://www.bitdefender-es.com/bd/site/virusinfo.php?menu_id=1&v_id=237
Netsky.P@mm (Norman)
I-Worm.NetSky.p (Kaspersky)
Win32.Netsky.p (E-safe Aladdin)
http://www.perantivirus.com/sosvirus/virufamo/netskyp.htm
Win32/Netsky.Q (ESET)
Worm/Netsky.HB (AVIRA)
Win32.HLLM.Netsky.35328 (Doctor Web)

Propagación
Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Correo Electrónico Masivo
Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Asunto: Alguno de los siguientes
Re: Mail Authentification
Re: Delivery Protection
Re: Secure delivery
Re: Protected Mail Delivery
Re: Protected Mail System
Re: Protected Mail Request
Re: Secure SMTP Message
Re: Extended Mail System
Re: Error
Re: Message Error
Re: Administration
Re: Test
Re: Thank you for delivery
Re: Failure
Re: Bad Request
Re: Delivery Server
Re: Mail Server
Re: SMTP Server
Re: Notify
Re: Status
Re: Extended Mail
Re: Encrypted Mail
Adjunto: Alguno de los mostrados a continuación
your_document
game_xxo
websites03
document05
Redes de Compartición de Ficheros P2P
Se difunde por redes de compartición de ficheros P2P (peer to peer).

Infección/Efectos
Cuando Netsky.P se ejecuta, realiza las siguientes acciones:
Otros detallesEste gusano utiliza una antigua vulnerabilidad (MIME header vulnerability) de Internet Explorer en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa.
Puede obtener mayor infomación sobre esta vulnerabilidad en el siguiente enlace: http://download.nai.com/products/mcafee-avert/stinger.exe?
Cuando Worm.W32/Netsky.P@P2P+MM es ejecutado, realiza las siguientes acciones:
Crea el mutex "_-oO]xX -S-k-y-N-e-t- Xx[Oo-_" para asegurarse de no ser ejecutado varias veces al mismo tiempo.
Se copia a sí mismo como %Windir%\FVProtect.exe . Nota: %Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt ) y se replica en esa ubicación.
Deposita y ejecuta en el sistema, el fichero %Windir%\userconfig9x.dll (26.624 Bytes).
Crea los siguientes ficheros en ese mismo directorio %Windir% :
base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)
zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882 bytes)
zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894 bytes)
zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886 bytes)
zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes)
Para ejecutarse automáticamente cada vez que el sistema sea reiniciado, el gusano intenta añadir el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: "Norton Antivirus AV"="%Windir%\FVProtect.exe"
Elimina los valores indicados de las siguientes claves del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valores: Explorer system. msgsvr32 winupd.exe direct.exe jijbl service Sentry Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Valores: system Video Clave: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valores: Explorer au.exe direct.exe d3dupdate.exe OLE gouday.exe rate.exe Taskmon Windows Services Host sysmon.exe srate.exe ssate.exe winupd.exe
Elimina las siguientes subclaves del registro de Windows: Subclaves: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32
Realiza una búsqueda en todo el disco duro del sistema infectado. Si los nombres de directorio que encuentra, contienen alguna de las siguientes cadenas de caracteres:
shared files
kazaa
mule
donkey
morpheus
lime
bear
icq
shar
upload
http
htdocs
ftp
download
my shared folder el gusano se copia a sí mismo en esos directorios con alguno de los siguientes nombres:
Kazaa Lite 4.0 new.exe
Britney Spears Sexy archive.doc.exe
Kazaa new.exe
Britney Spears porn.jpg.exe
Harry Potter all e.book.doc.exe
Britney sex xxx.jpg.exe
Harry Potter 1-6 book.txt.exe
Britney Spears blowjob.jpg.exe
Harry Potter e book.doc.exe
Britney Spears cumshot.jpg.exe
Harry Potter.doc.exe
Britney Spears fuck.jpg.exe
Harry Potter game.exe
Britney Spears.jpg.exe
Harry Potter 5.mpg.exe
Britney Spears and Eminem porn.jpg.exe
Matrix.mpg.exe
Britney Spears Song text archive.doc.ex...
Britney Spears full album.mp3.exe
Eminem.mp3.exe
Britney Spears.mp3.exe
Eminem Song text archive.doc.exe
Eminem Sexy archive.doc.exe
Eminem full album.mp3.exe
Eminem Spears porn.jpg.exe
Ringtones.mp3.exe
Eminem sex xxx.jpg.exe
Ringtones.doc.exe
Eminem blowjob.jpg.exe
Altkins Diet.doc.exe
Eminem Poster.jpg.exe
American Idol.doc.exe
Cloning.doc.exe
Saddam Hussein.jpg.exe
Arnold Schwarzenegger.jpg.exe
Windows 2003 crack.exe
Windows XP crack.exe
Adobe Photoshop 10 crack.exe
Microsoft WinXP Crack full.exe
Teen Porn 15.jpg.pif
Adobe Premiere 10.exe
Adobe Photoshop 10 full.exe
Best Matrix Screensaver new.scr
Porno Screensaver britney.scr
Dark Angels new.pif
XXX hardcore pics.jpg.exe
Microsoft Office 2003 Crack best.exe
Serials edition.txt.exe
Screensaver2.scr
Full album all.mp3.pif
Ahead Nero 8.exe
netsky source code.scr
E-Book Archive2.rtf.exe
Doom 3 release 2.exe
How to hack new.doc.exe
Learn Programming 2004.doc.exe
WinXP eBook newest.doc.exe
Win Longhorn re.exe
Dictionary English 2004 - France.doc.ex...
RFC compilation.doc.exe
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
Keygen 4 all new.exe
Windows 2000 Sourcecode.doc.exe
Norton Antivirus 2005 beta.exe
Gimp 1.8 Full with Key.exe
Partitionsmagic 10 beta.exe
Star Office 9.exe
Magix Video Deluxe 5 beta.exe
Clone DVD 6.exe
MS Service Pack 6.exe
ACDSee 10.exe
Visual Studio Net Crack all.exe
Cracks & Warez Archiv.exe
WinAmp 13 full.exe
DivX 8.0 final.exe
Opera 11.exe
Internet Explorer 9 setup.exe
Smashing the stack full.rtf.exe
Ulead Keygen 2004.exe
Lightwave 9 Update.exe
The Sims 4 beta.exe
Recopila direcciones de correo electrónico incluidas en ficheros con las siguientes extensiones localizados en las unidades desde la C: a la Z: .
.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml
Utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones electrónicas encontradas anteriormente. El mensaje enviado tiene las siguientes caracterísitcas: Remitente: - falsificado - Asunto: algunas posibilidades se muestran a continuación:
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification Cuerpo del mensaje: algunas posibilidades se muestran a continuación:
Please see the attached file for details
Please read the attached file!
Your document is attached.
Please read the document.
Your file is attached.
Your document is attached.
Please confirm the document.
Please read the important document.
See the file.
Requested file.
Authentication required.
Your document is attached to this mail.
I have attached your document.
I have received your document. The corrected document is attached.
Your document.
Your details. Ficheros Anexos: algunas posibilidades se muestran a continuación:
document05
websites03
game_xxo
your_document seguido de una de las siguientes:
".txt "
".doc " seguido de una de las siguientes:
.exe
.pif
.scr
.zip Si la extensión del anexo es .exe , .scr o .pif , el anexo será una copia del gusano. En caso de que la extensión sea .zip , el anexo será un fichero comprimido que contiene un ejecutable del fichero. El nombre del fichero contenido en el .zip será uno de los siguientes:
"document.txt .exe"
"data.rtf .scr"
"details.txt .pif"
El gusano evita enviar el mensaje a direcciones de correo que contienen alguna de las siguientes cadenas de texto:
"@microsof"
"@antivi"
"@symantec"
"@spam"
"@avp"
"@f-secur"
"@bitdefender"
"@norman"
"@mcafee"
"@kaspersky"
"@f-pro"
"@norton"
"@fbi"
"abuse@"
"@messagel"
"@skynet"
"@pandasof"
"@freeav"
"@sophos"
"ntivir"
"@viruslis"
"noreply@"
"spam@"
"reports@"
Enlaces Asociados:
http://www.enciclopediavirus.com/virus/vervirus.php?id=785(Enciclopedia Virus)

Contramedidas
Desinfección
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos . Repare o borre el fichero infectado.
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\base64.tmp
c:\windows\fvprotect.exe
c:\windows\userconfig9x.dll
c:\windows\zip1.tmp
c:\windows\zip2.tmp
c:\windows\zip3.tmp
c:\windows\zipped.tmp
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano se ejecute automáticamente cada vez que el sistema sea reiniciado, elimine el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: "Norton Antivirus AV"="%Windir%\FVProtect.exe"
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Adicionalmente, puede usar alguna de las siguientes herramientas gratuitas de desinfección automática de virus:
Bit Defender Antinetsky (58 KB) elimina todas las variantes de Netsky.
McAfee AVERT Stinger (734 KB)
Future Time Srl (NOD 32) (290 KB)
FxNetsky.exe (Symantec) (156 KB)

ACTUALIZADO 03/02/2009, Listado de dominios. En los últimos días se está detectando una infección masiva de ordenadores producida por el gusano Downadup, también conocido como Conficker.
La infección se puede realizar de tres formas:
Aprovechando la vulnerabilidad CVE-2008-4250, solucionada por Microsoft en su parche extraordinario de Octubre MS08-067.
A través de carpetas compartidas en red protegidas con contraseñas débiles.
A través de dispositivos extraíbles, por ejemplo, lápices USB, creando un fichero con nombre autorun.inf cuya acción sea autoejecutar la copia del gusano cada vez que un usuario conecta el dispositivo extraíble a un ordenador.
No se descarta que en los próximos días el gusano pueda mutar e intentar acceder a los ordenadores a través de nuevas formas de acceso.
Es importante mencionar que, aunque un ordenador tenga instalado el parche MS08-067, también se puede quedar infectado si se conecta en el equipo un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft.
Los mecanismos de propagación utilizados por Downadup son muy comunes y se basan en la relajación de los usuarios para seguir unas pautas de buenas prácticas. Recomendamos a todos los usuarios que sigan estos consejos para evitar la infección:
Actualizar el Sistema Operativo, asegurándose especialmente de tener instalado el parche MS08-067, que soluciona la vulnerabilidad explotada por el gusano.
Tener instalado un antivirus actualizado en el ordenador, el siguiente enlace contiene un listado de antivirus de escritorio gratuitos.
Proteger con contraseñas fuertes las carpetas compartidas (más información sobre las carpetas compartidas para Windows Vista y Windows XP).
Asegurarse de que todos los dispositivos extraíbles que se vayan a conectar al equipo están libres de virus, para ello conviene analizarlos con un antivirus actualizado antes de que se ejecute su contenido.
Para evitar problemas de seguridad y prevenir las infecciones más comunes, seguir nuestros Consejos de Seguridad.
Entre las acciones de Downadup está la de acceder a determinadas direcciones de Internet que tiene en su código, F-Secure ha sacado el siguiente listado de direcciones de control hasta el 31 de enero y un nuevo listado dominios hasta 28 de febrero. El gusano aprovecha el acceso a estas páginas para descargarse otros programas maliciosos, aunque no se descarta que, de este modo, el servidor remoto cree un listado de las direcciones infectadas y que en un futuro se utilicen estos ordenadores comprometidos para crear una red zombie (botnet).
Sistemas afectados
Windows 2000
Windows XP
Windows Vista
Descripción
Se ha detectando una infección masiva de ordenadores por el virus gusano Downadup - también conocido como Conficker por varias compañías antivirus – como se ha podido ver a lo largo de estos días en numeroso medios de comunicación.
Un aspecto a destacar es que el principal mecanismo utilizado por el gusano para infectar los equipos aprovecha un agujero de seguridad que fue solucionado el pasado mes de Octubre. Es decir, que simplemente con tener actualizado el sistema operativo, una de las normas más básicas de prevención y protección, la mayoría de estas infecciones se podrían haber evitado.
Solución
Prevenir la infección del gusano
Si el equipo no está infectado por el virus, para prevenir la infección aplicar los siguientes consejos de seguridad:
Mantener el sistema operativo actualizado, puede obtener más información en Actualizar sistemas.
Tener instalado un antivirus actualizado en el ordenador, si no tiene uno consulte nuestro listado de antivirus de escritorio gratuitos.
Dado que el gusano también se propaga copiándose en dispositivos extraíbles, por ejemplo, lápices USB:
Analizar con el antivirus todos dispositivos extraíbles, cuando los conecte al equipo, antes de que se ejecute su contenido.
Ser precavido a la hora de usarlos en ordenadores poco confiables o públicos, como cibercafés, estaciones, bibliotecas, universidades, colegios…. Recomendamos utilizar dispositivos extraíbles que tengan la opción de proteger contra escritura, para minimizar el riesgo de infección.
Utilizar una cuenta limitada para las actividades cotidianas en el equipo (navegación, correo, multimedia, etc.), nunca de administrador. De esta forma, hay muchas más posibilidades de reducir los efectos nocivos del virus.
Desinfección del gusano
En caso de que el ordenador esté infectado, realizar las siguientes acciones para eliminarlo del equipo:
Actualizar el sistema operativo, más información en Actualizar sistemas.
Analizar todo el ordenador con un antivirus actualizado, si no dispone de ninguno, en el siguiente enlace encontrará un listado de antivirus de escritorio gratuitos.
Analice con el antivirus actualizado todos los dispositivos extraíbles, por ejemplo, lápices USB, que haya conectado recientemente al equipo, asegúrese de que están libres de virus.
Siga los pasos indicados en el apartado anterior de Evitar la infección del gusano, para evitar que se vuelva a quedar infectado.
Adicionalmente también puede utilizar alguna de las herramientas de desinfección del gusano Downadup qeu han creado algunas casas antivirus:
Kaspersky
Symantec
ESET (NOD32)
F-Secure
BitDefender
Microsoft Malware Removal Tool . Herramienta completa de Microsoft para eliminar malware, sus definiciones están actualizadas para que sea más sencillo eliminar el gusano Downadup.
Importante: Aunque las herramientas gratuitas eliminan el gusano del ordenador, no instalan el parche que impide que Downadup acceda al equipo aprovechando la vulnerabilidad CVE-2008-4250 . Para solucionar esta vulnerabilidad, asegúrese de tener su sistema operativo actualizado, especialmente, tener instalado el parche MS08-067
Detalle
Downadup, además de impedir la actualización de los antivirus, tiene la capacidad de acceder a determinadas direcciones de Internet para descargase más programas maliciosos. También es posible que se utilicen los ordenadores infectados para crear una red zombie (botnet).
Es importante mencionar que, aunque el ordenador esté correctamente actualizado, puede quedar infectado si se conecta en el equipo un dispositivo extraíble infectado.
Actualmente la gran mayoría de los antivirus detectan el gusano Downadup y todas sus versiones.
Puede obtener una información más completa sobre las acciones que realiza el gusano, en nuestro Aviso Técnico de Seguridad.