Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Bagz.B. Desactiva cortafuegos de Windows
 
VSantivirus No. 1551 Año 8, martes 5 de octubre de 2004

 W32/Bagz.B. Desactiva cortafuegos de Windows
http://www.vsantivirus.com/bagz-b.htm

Nombre: W32/Bagz.B
Nombre Nod32: Win32/Bagz.B
Tipo: Gusano de Internet
Alias: I-Worm.Bagz.A, I-Worm.Bagz.b, Trojan.BagzProxy, Trojan.Dropper.Agent.AI, Trojan.Proxy.Growom.B, TrojanProxy.Growom.A, TrojanProxy.Win32.Growom.b, W32.Bagz@mm, W32/Bagz!proxy, W32/Bagz.b@MM, Win32.HLLM.Bagz, Win32/Bagz.B
Fecha: 4/oct/04
Plataforma: Windows 32-bit

Gusano que intenta deshabilitar el cortafuegos de Windows XP. Su presencia en un sistema infectado, resulta en una notoria caída de rendimiento en la conexión a Internet.

Se propaga por correo electrónico en forma masiva, utilizando su propio motor SMTP, a direcciones obtenidas en archivos de la máquina infectada. Utiliza remitentes falsos.

Los mensajes tienen las siguientes características:

De: [una dirección falsa]
Asunto: [uno de los siguientes]

- [Fwd: Broken link]
- big announcements
- building maintenance
- Cost Inquiry
- Deactivation Notice
- failure notice
- find a solution with this customer
- Fwd: Password
- Fwd: Your Funds are Eligible for Withdrawal
- Knowledge Base Article
- Message recieved, please confirm
- My funny stories
- Need help pls
- No Subject
- Open Invoices
- Order Approval
- progress news
- Questions
- Re: Help Desk Registration
- Re: payment
- RE: quote request
- RE: Re: A question
- Re: User ID Update
- referrences
- Returned mail: see transcript for details
- troubles are back again
- units available
- Webmail Invite
- What is this ????
- when should i call you?
- WinXP
- You have recieved an eCard!

Texto del mensaje: [uno de los siguientes]

Ejemplo 1:

Hello,
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User

Ejemplo 2:

Hello,
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks,
User

Ejemplo 3:

Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards,
User

Ejemplo 4:

Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User

Ejemplo 5:

Hello,
Your email was sent in an INVALID format.
To verify this email was sent from you,
simply open the attached email (.eml) file
and click yes in the sender options box.
Thank You,
User

Ejemplo 6:

Hello,
My PC crashed while I was sending that last email.
I have re-attached the document of yours that I discovered.
Please read attached document and respond ASAP.
Sincerely,
User

Ejemplo 7:

Hello,
What version of windows you are using?
This last document I received from you came out weird.
Please see the attached word file and resend the file to
me.
Many thanks,
User

Ejemplo 8:

***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Hello,
The previous email you sent has been recognized as spam.
This means your email was not delivered to your friend or 
client.
You must open the attached file to receive more 
information.
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***

Ejemplo 9:

***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***
You are currently unable to send emails.
This may be a billing issue.
Please call the billing center.
The # for the billing office is located in the attached
contact list for your convenience.
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***

Ejemplo 10:

***URGENT: SERVICE SHUTDOWN NOTICE***
Due to your failure to comply with our email
Rules and Regulations, your email account has been
temporarily suspended for 24 hours unless we are contacted 
regarding this situation.
You must read the attached document for further
instructions. Failure to comply will result in termination 
of your account.
Regards,
Net Operator
***URGENT: SERVICE SHUTDOWN NOTICE***

Ejemplo 11:

last request before refunding

Datos adjuntos: [uno de los siguientes]

account.doc [múltiples espacios] .exe
account.zip
arch.doc [múltiples espacios] .exe
arch.zip
archive.doc [múltiples espacios] .exe
archive.zip
atach.doc [múltiples espacios] .exe
atach.zip
att.doc [múltiples espacios] .exe
att.zip
contact.doc [múltiples espacios] .exe
contact.zip
Ctutorial.doc [múltiples espacios] .exe
db.doc [múltiples espacios] .exe
db.zip
doc.doc [múltiples espacios] .exe
doc.zip
documents.doc [múltiples espacios] .exe
documents.zip
file.doc [múltiples espacios] .exe
file.zip
mail.doc [múltiples espacios] .exe
mail.zip
message.doc [múltiples espacios] .exe
message.zip
messages.doc [múltiples espacios] .exe
messages.zip
msg.doc [múltiples espacios] .exe
msg.zip
read.doc [múltiples espacios] .exe
read.zip
readme.doc [múltiples espacios] .exe
readme.zip
support.doc [múltiples espacios] .exe
support.zip
warning.doc [múltiples espacios] .exe
warning.zip

Los archivos ZIP contienen una copia del gusano con una o dos extensiones separadas por espacios (JPG y PIF).

Cuando se ejecuta, crea los siguientes archivos:

c:\windows\system32\dl.exe
c:\windows\system32\syslogin.exe
c:\windows\system32\tutorial.doc [múltiples espacios] .exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
syslogin.exe = "syslogin.exe"

Deshabilita el cortafuegos de Windows XP, e instala su propio driver de redes para eludir el cortafuegos de la red local.

También puede descargar y ejecutar otros archivos desde Internet.

Busca direcciones electrónicas a las que luego se envía en mensajes como los descriptos antes, en archivos del equipo infectado con las siguientes extensiones:

.dbx
.htm
.tbb
.tbi
.txt


Reparación manual

Deshabilitar cualquier conexión a Internet o una red

Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\dl.exe
c:\windows\system32\syslogin.exe
c:\windows\system32\tutorial.doc [múltiples espacios] .exe

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

syslogin.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP y la conexión compartida de Windows 2000

* En Windows XP SP2

1. Abra el Panel de Control, haga doble clic en el icono "Centro de Seguridad"

2. Active el cortafuego de Windows (si este se encuentra desactivado).

3. Cierra la ventana del cortafuego, cierre el Centro de Seguridad, por ultimo cierre el panel de control.


* En Windows 2000 o Windows XP SP1

1. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente:

services.msc

2. Presione el botón Aceptar.

* En Windows 2000 en la columna nombre localice el servicio "Conexión compartida a Internet (ICS)" y haga doble clic en el.


* En Windows XP en la columna nombre localice el servicio "Conexión de seguridad a Internet (ICF) / Conexión compartida a Internet (ICS)" y haga doble clic en el.

3. En la opción "Tipo de inicio" seleccione en el menú desplegable "Automático".

4. Bajo la opción "Estado del servicio" presione el botón "Iniciar".

5. Haga clic en el botón "Aceptar".

6. Reinicie el equipo.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS