Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Axatak. Utiliza casi todas las formas de propagación
 
VSantivirus No. 988 - Año 7 - Sábado 22 de marzo de 2003

W32/Axatak. Utiliza casi todas las formas de propagación
http://www.vsantivirus.com/axatak.htm

Nombre: W32/Axatak
Tipo: Gusano de Internet
Alias: Axatak, Win32.HLLW.Axatak W32.HLLW.Axata W32/Axatak.worm
Plataforma: Windows 32-bit
Fecha: 20/mar/03
Tamaño: 185,856 bytes

Se trata de un peligroso gusano, escrito en Borland Delphi y comprimido con la utilidad ASPack, capaz de robar las contraseñas de la máquina infectada. Además, posee un componente troyano del tipo backdoor a través de los puertos 8850 y 8851, con el cuál puede ser controlada la computadora infectada en forma remota por algún intruso, accediendo a todos sus recursos.

Algunas de las acciones posibles son enviar archivos, abrir y cerrar la bandeja del CD-ROM, etc.

Cada cinco minutos, el gusano busca un disquete insertado en la disquetera A:

El icono del ejecutable conque se presenta el gusano es el de la bandera de Microsoft.

Cuando se ejecuta, el gusano crea los siguientes archivos:

- Copia con un nombre aleatorio, en el directorio System de Windows.

- Copia con un nombre aleatorio, en cada unidad lógica del sistema.

- AUTORUN.INF. Crea una copia de este archivo en cada unidad lógica del sistema. Con este archivo se pretende ejecutar el gusano de manera automática.

También crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Kataxa = [nombre del archivo del gusano]

El gusano no utiliza ningún método específico para difundirse, por el contrario, puede llegar a utilizar cualquiera de los métodos de propagación normalmente utilizados por los virus: CD-ROM, mensajes de correo electrónico con adjuntos infectados, descargas de Internet, transferencia de archivos a través del FTP, etc.

Además, Axatak trata de acceder cada cinco minutos a la disquetera, para crear copias de sí mismo en los disquetes que utilice el usuario de la máquina afectada. Estos disquetes, al ser posteriormente utilizados en otras computadoras, expandirán la infección a esos otras computadoras.


Reparación manual


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

3. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Kataxa

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS