Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

   

W32/Nyxem.A. Borra archivos y entradas del registro
 
VSantivirus No. 1359 Año 8, viernes 26 de marzo de 2004

W32/Nyxem.A. Borra archivos y entradas del registro
http://www.vsantivirus.com/nyxem-a.htm

Nombre: W32/Nyxem.A
Nombre Nod32: Win32/Nyxem.A
Tipo: Gusano de Internet
Alias: Nyxem, BlueMoon.A, Win32/Nyxem.A, W32.Blackmal@mm, W32.BlackWorm.A@mm, W32/Mywife.A.worm, W32/MyWife.a@MM, W32/Nyxem-A, WORM_BLUEWORM.A
Fecha: 25/mar/04
Plataforma: Windows 32-bit
Tamaño: 75 Kb

Gusano escrito en Visual Basic y comprimido con la utilidad UPX, que se propaga a través del correo electrónico, utilizando los dos siguientes formatos para sus mensajes:

Formato 1:

De: [remitente falso]

Asunto: [uno de los siguientes]

Asses Mpeg
FW: (-Sucking-)
FW: **Hot Movie**
FW: File - WebCam.mpeg
FW: Lesbian & gays Mpeg
Fw: My Funny Ass
FW:RE: Least *21* Years
FW:Re:Hot Erotic
Re: Double suck (movie)
RE: FW: Women Mpeg
Re: Why? Form Back.mpg
very hot XXX
Video Clip

Texto: [uno de los siguientes en texto plano]

Babe sucking black Dog MPEG

funny movie

Dozens of Free Video Clips to download.Many Niches. Updated regularly and more added daily.Taken From Vivi's Lovely Briefcase.

hey guys my name is April Goostree i am a sexy 22 yr old bbw , 5'9, 48 dd , big ole booty, jus lovin life, until i get my pics posted in here you can either check out my profile or join my own yahoo group Texas-Sexy@groups.msn.com, either way works for me..i hope to become very active in this group, i like to get to know people, like to get on cam once in a while, jus to chill, when they aint none home..thats why its once in a while yaknow..anyways jus holla at me... n thanks for lettin me join!!! kisses kandee..Bye

very good movie >>>Video's Media Player. SEX SEX * Sluts Tits Video Mpeg's Mpeg Video Clips

-==This server does not support Transfer Big Movies==- wo Hotttt gurlssucking a hansum cock Softly

\Fix_BlackWorm.com

Cum and check this fun group out...Sexy ladies!! Come post your ad,..this is a real swingers group!! I'm attatching a Video Clip of my wife if interested in checking it out!

Watch the Paris Hilton Sex Tape for Free!

Video's Girls Erotic WebCam's Tits Mpeg's Girls Ass SEX Pussy Video Clips

Here is another Vclip of my daily group :|

All kinda Women Can be Found Here To Satisfy Women Lovers' Eyes

?ucking = Sucking=Fucking

Alert

u Love asses? Here is a great ass open wide waitin for ur lil Cock

Bye

movie attached open by media Player 7.1

when i saw my ass i slept 3 hours why?? check my ass sorry my movie

LOOOOOOOOL joke (^!^)

Check This ?ucking Babe ;D

Todos ellos agregan el siguiente texto al final:

[dominio del destinatario] servers automatically
scanned for viruses using Norton AntiVirus-2004

Donde [dominio del destinatario] es el dominio de la dirección que aparece en el campo "Para:" (lo que está después de la arrobna).

Datos adjuntos: [dos archivos]

Archivo 1: [uno de los siguientes con extensión .TGZ, .ZIP o .EXE]

aprilgoostree
assclip
bigfuck
easyfuck_girl
hard_babe
hotsucking
juliaroberts
parishilton
rickymartin
scan
sexcrimes
shakira
vclip2
video

El nombre del archivo contenido dentro de los comprimidos, puede ser cualquiera de los siguientes (con extensión .EXE o .SCR):

17ag_double_suck__part[2].mpeg_.scr
after_2am_small_room[4].mpeg__.scr
april_fromtexas.mpeg_.scr
fix_blackworm.com
graham_hilton_sex[4].mpeg__.scr
grahamcluley_freakin_ass_.mpeg__.scr
juanita_in_the_kitchen.mpeg.scr
julia_1997_fucking.mpeg_.scr
open_girl_21year.mpeg.scr
ricky_gay_ass.mpeg______________.scr
sexual_crimes.mpeg____.scr
shakira_anal_very_old.mpeg.scr
video_briefcase_group[13].mpeg_.scr
webcam_12girls_ass.mpeg_.scr
why_fuck_anal_back.mpeg.scr

El segundo archivo adjunto (NAV2004.GIF), es la imagen con el falso mensaje de Norton AntiVirus, la cual muestra el texto "Norton 2004", "AntiVirus", "No virus threat detected":

Formato 2:

Es un mensaje con formato HTML, y un texto con una falsa advertencia:

De: [remitente falso]

Texto:

Dear User ,

This is A very High Resk Virus Alert.

This email is sent to you because one or some of your friends has been infected with The W32.BlackWorm.A@mm Virus.
And you could be infected too.This Virus has the ability to damage the hard disk.
This Virus infects computers using many new ways :

1- it arrives as an email attachment inside of jpg pictures.
2- it infects the ip address without the victim's knowledge.
3- it infects Microsoft Word Documents using a new exploit in hex (00fxf0xf10x).

Notes:

* Symantec Consumer products that support Worm Blocking functionality automatically detect this threat as it attempts to spread.
* Symantec Security Response has attached a removal tool to clean and prevent the infections of W32.BlackWorm.A@mm.

Sincerely
Norton AntiVirus

Datos adjuntos: [uno de los siguientes]

scan.tgz
scan.zip

El archivo comprimido contiene el siguiente:

fiz_blackworm.com

La infección se produce cuando se ejecuta cualquiera de los archivos ejecutables adjuntos.

Al ejecutarse por primera vez, puede mostrar el siguiente mensaje de error falso:

RUNDLL
Error loading mouse
The specified module could not be found.
[   OK   ]

Mientras se ejecuta, mantiene dos procesos de si mismo siempre activos. Cuando cualquiera de los dos es eliminado, el otro lo reinicia de inmediato.

El gusano utiliza su propio motor SMTP para propagarse a todos los contactos de MSN Messenger, Yahoo Pager, y direcciones electrónicas localizadas en archivos con extensión .HTM o .DBX en la máquina infectada.

Utiliza la presentación del Reproductor Multimedia de Windows (Windows Media Player), para ocultar sus intenciones. Además intenta eliminar conocidos antivirus y cortafuegos, entre otras herramientas de seguridad. También intentará más adelante, borrar archivos del sistema.

Cuando el gusano se ejecuta, crea el siguiente archivo vacío (cero bytes), en la carpeta de temporales:

\TEMP\media.temp.mpeg

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

Luego ejecuta el Reproductor Multimedia, el cuál falla al no poder abrir el archivo vacío, mostrando un mensaje de formato de archivo no reconocido. La única razón de este procedimiento, es engañar al usuario, quien seguramente se despreocupará luego de esta acción, pensando tal vez que el archivo recibido está corrupto o incompleto.

El gusano crea dos archivos DLL. Uno de ellos es el motor SMTP que utiliza para los envíos. El otro, es una herramienta utilizada para realizar ataques de denegación de servicio a determinados sitios:

c:\windows\system\ossmtp.dll
c:\windows\system\oswinsck.dll

Y se copia también con los siguientes nombres de archivos:

c:\windows\system\blackworm.exe
c:\windows\system\fix_blackworm.com
c:\windows\win 32.com

Además, se copia numerosas veces en el disco duro, creando múltiples archivos .ZIP con extensiones .ZIP y .TGZ en la carpeta System de Windows. Todos esos archivos contienen una copia del gusano con diferentes nombres.

Los nombres de las copias creadas en el disco, están basados en los de otras aplicaciones allí existentes, con el agregado de espacios en blanco en caso necesario, por ejemplo:

explorer [espacios].exe
notepad [espacios].exe
regedit.exe

También se crea una carpeta llamada TEMPORARY dentro de C:\WINDOWS, y el gusano se copia en ella con diferentes nombres.

Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]

Donde [archivo] es el nombre de cualquiera de las copias del gusano.

El gusano crea también las siguientes entradas en el registro:

HKCC\Display\Fonts
(Predeterminado) = c:\windows\temporary\[archivo]

HKCC\Software\Microsoft
(Predeterminado) = c:\windows\system\[archivo]

HKLM\SOFTWARE\Classes\OSSMTP.Attachment
HKLM\SOFTWARE\Classes\OSSMTP.CustomHeader
HKLM\SOFTWARE\Classes\OSSMTP.SMTPSession
HKLM\SOFTWARE\Classes\oswinsck.TCP

El gusano es capaz de borrar los siguientes valores de las claves que se dan a continuación:

Claves:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Valores borrados:

au.exe
ccApp
Explorer
KasperskyAv
McAfeeVirusScanService
MCAgentExe
MCUpdateExe
msgsvr32
NAV Agent
NPROTECT
PCCClient.exe
pccguide.exe
PCCIOMON.exe
PCClient.exe
PccPfw
ScriptBlocking
Sentry
ssate.exe
SSDPSRV
system.
Taskmon
tmproxy
VirusScan Online
VSOCheckTask
Windows Services Host
winupd.exe

También intenta borrar todos los archivos ejecutables de las siguientes carpetas:

\Archivos de programa\McAfee\McAfee VirusScan\Vso\
\Archivos de programa\Norton AntiVirus\
\Archivos de programa\Symantec\LiveUpdate\
\Archivos de programa\Trend Micro\Internet Security\
\Archivos de programa\Trend Micro\PC-cillin 2002\
\Archivos de programa\Trend Micro\PC-cillin 2003\

El código del gusano contiene el siguiente texto que nunca es mostrado:

microsoft do u hear me? we gon kick u ass an *** u down u got my word **Black Worm**


Reparación manual

Antivirus


Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

\TEMP\media.temp.mpeg
c:\windows\system\blackworm.exe
c:\windows\system\fix_blackworm.com
c:\windows\system\ossmtp.dll
c:\windows\system\oswinsck.dll
c:\windows\win 32.com

También borre la carpeta TEMPORARY y todo su contenido:

c:\windows\TEMPORARY

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas que aparezcan de esta lista:

(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]

8. Borre también las siguientes entradas del registro:

HKEY_CURRENT_CONFIG\Display\Fonts
(Predeterminado) = c:\windows\temporary\[archivo]

HKEY_CURRENT_CONFIG\Software\Microsoft
(Predeterminado) = c:\windows\system\[archivo]

HKEY_LOCAL_MACHINE\Classes\OSSMTP.Attachment
HKEY_LOCAL_MACHINE\Classes\OSSMTP.CustomHeader
HKEY_LOCAL_MACHINE\Classes\OSSMTP.SMTPSession
HKEY_LOCAL_MACHINE\Classes\oswinsck.TCP

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS