Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Darby.M. Gusano con mensajes en español
 
VSantivirus No. 1553 Año 8, jueves 7 de octubre de 2004

W32/Darby.M. Gusano con mensajes en español
http://www.vsantivirus.com/darby-m.htm

Nombre: W32/Darby.M
Nombre Nod32: Win32/Darby.M
Tipo: Gusano de Internet
Alias: Darby.M, WORM_DARBY.G, Win32/Darby.M, Worm.P2P.Darby.m, W32/Darby.worm.m, W32/Darby-G, mIRC/Darby-G
Fecha: 5/oct/04
Plataforma: Windows 32-bit
Tamaño: 127,740 (ZIP), 140,982 bytes (UPX)

Gusano que se propaga por correo electrónico utilizando su propio motor SMTP.

También se propaga a través de programas de mensajería instantánea (MSN Messenger, AOL Instant Messenger, Yahoo Messenger, ICQ), y en forma de spam enviado desde sitios infectados.

Crea copias de si mismo en recursos compartidos de redes, y en unidades de disquetes.

Se copia en varias carpetas compartidas pertenecientes a conocidas utilidades de intercambio de archivos entre usuarios (P2P).

El gusano busca en el sistema la presencia del mIRC, y modifica el archivo SCRIPT.INI para propagarse vía IRC.

Modifica el diseño de fondo de mensajes enviados en formato HTML, de modo de ejecutar un script que descarga y ejecuta un troyano de IRC en las máquinas de los destinatarios.

Puede finalizar los procesos de varias utilidades, incluidos antivirus y cortafuegos.

Al ejecutarse, el gusano despliega un mensaje de error falso advirtiendo que es imposible abrir el archivo por estar parcialmente dañado.

El texto de los mensajes y los asuntos, son formados con combinaciones de las siguientes cadenas:

100% Ideal

16 Fotos de las mejores conejitas de Playboy

16 Pictures give the best doe gives Playboy,

A postal sends you

Admin Page

AdminSystem

adwares, prueba este programa gratis y acabemos con la
lacra que es el Adware.

Alone it stops bigger than 18 years

alucinacion

Amor y Sexo

Answer

Answer for you Look at yourself this ;)

are you changed the it paginates beginning he/she
gives?, do they leave you windows publicity he/she
gives, problems with dialers, troyanos or other adwares,
does it prove this program free and do let us put an end
to the insensitive one that the Adware is.

Art gives to Seduce

Arte de seducir

As this my picture

Asi es la vida :(

auto no muy nuevo y un perro, pero lo que el queria más
eran sus 3 hijas: Ana, Ane y ...

Aviso Importante

Bajate este video, esta bueno

Besos

Blooks at these icons for the msn 6

bye

Cancion del Mamut tercera parte

capaz te interese

Carlos

Click en el adjunto y pon audifono :)

Como esta mi foto Escucha el mp3

Como Saber si le Gustas?

Como se llamaba su otra hija?

Conoce los secretos de ocultismo

Conoces como piensa el sexo opuesto?

Cris

Dibujitos (Esta Buenisimo)

Diez mandamientos del Amor y Sexo

Do you know

do you Know if they lie you?

does it Participate in this puzzle, if you could create
to the Girl (or Boy) Ideal choosing a face gives here
and does a silhouette give there, as serious your Ideal
couple?.Vision gives the Future

doesn't give you ball, with this test you can discover
specificses that indicate you that it feels for you :)

due to the reformations he/she gives the servant, it is
asked the users to complete the new registration in
order to validate their you count and don't be
suspended. Sincerely

El lenguage corporal delata sutilmente la mentira, 5
tips para saber si te estan diciendo la verdad.

El Papa de rosa era un empleado en una compañia de
seguros, vivia modestamente, tenia una casa mediana, un

Escucha este mp3

Escuchate esta cancion, Carta a Santa Claus III ;)

esta buena

Este es un test usado por el ejercito de estados unidos
al reclutar soldados, para en palabras simples medir
cuan propensos a la locura son, hacelo y ve cuan zafado
estas.

Everything has Been given

Fhas received a postcard electronic

Foto Ovni

Fotos en tu email

From: Debido a las reformas del servidor, se pide a los
usuarios completar el nuevo registro a fin de validar
sus cuentas y no sean suspendidas. Atentamente
AdminSystem

Gana dinero en internet

Gusanito.com

Ha recibido un email

Ha recibido una postal electronica

Hack Hotmail

HackHotmail

has received an email

Hay una targeta disponible para ti de parte de un amigo.
descargala o entra al link :)

he/she looks at the image 30 second and then he/she
looks to another part and truth at something surprising
(good optic illusion, almost hallucination)

Hello I ship You the info that you requested me,
responds that such this, bye

Hello, you don't know me, but I ship you something that
interested you, God willing it is you gives utility,

Here2Drawings (This Very Good)~Osama Ben Laden the man
that I declare the War to United States'Looks at this
scrensaver gives the actresses he/she gives the cinema
porn(Alone the pure truth4it is This way the life :

Hey

Hey That means your name?

Ana‚The best pictures give PlayBoy gives this year, it
passes them ;) Planet

Hola

Hola, no me conoces, pero te envio algo que te
interesara, ojala te sea de utilidad, bye

Imagenes

Images(Looks at the picture*Looks at my picture;)

Importante para

Invitacion a iniciar Juego

Invitacion para recibir señal de camara web

Invitation to begin Plays

Invitation to receive sign of camera web

It discharges this video, this good

It makes money in internet

It participates in the I draw and it wins a super
computer

Janeth

Javier

Jorge

Kisses

knows the secrets of ocultismo

La información no pudo ser enviada a uno o más
destinatarios.

La respuesta a su pedido ha sido aprobada, con lo que se
hace acreedor de las ventajas y descuentos de nuestro
circulo, para mas detalles vea texto el adjunto.

Las mejores fotos de PlayBoy de este año, pasalas ;)

like thinks the opposite sex?

Limpiar Pc

listens the mp3

listens this mp3

looks at my picture

looks at this cartoon

looks at this illusion optic

looks at this picture

looks at this web

looks this 2 capable it interests you

Los nombres y los apellidos como toda palabra tienen un
significado, el cual ya en la mayoria de veces o no
recordamos, tal vez encuentres el significado del tuyo
en nuestra base de datos :)

Love and Sex.As Knowing if he Likes?

Mantener una relacion amorosa saludable y exitante exige
mucho esfuerzo y muchas ganas, te damos estas 10 claves

Manual gives Seduction

Marcos

MAS Dibujitos

Mensage

MessageRClick in the assistant and put earphone:)

Mi Album

mi foto

Miguel

Mira

Mira esta foto

Mira esta ilusion optica

Mira esta pagina

Mira esta web

Mira este cartoon

Mira este Cartoon

Mira este scrensaver de las actrices del cine porno

Mira estos iconos para el msn

Mira la foto Mira mi foto ;

mira la imagen 30 segundos y luego mira a otra parte y
veras algo sorprendente (buena ilusion optica, casi

Miralo tu mismo

Mirame ;)

Mirate esto :)

MORE Drawings

Mujeres a todo color

My Album

My Page

Necromancia

Necromancy

New Manual Section of Seduction

New Registry

No Adware

NoMentir&Manual de Seduccion

NotLie

Nueva Seccion Manual de Seduccion

Nuevo Registro

Osama Ben Laden el hombre que le declaro la Guerra a
Estados Unidos

Osama Web

Pablo

Paolav

Participa en el sorteo y gana una super computadora

Participa en este rompecabezas, si se pudiera crear a la
(el) Chica(o) Ideal escogiendo un rostro de aqui y una
silueta de alla, como seria tu pareja Ideal?

Picture Ovni Blooks at this picture, this good

Planeta PlayBoy

Play Song

PlayBoy I Warn Important

PornStars Shop

PorStars All Access

Que hay detras de un beso

Que lo indujo a dejar una posible vida de lujos(es
millonario), para embarcarse en una guerra santa contra
USA, sabias que las familias de Bush y Osama se
conocian, enterate de las verdaderas causas de su guerra
aqui.

Que Raro

Que significa tu nombre?

Quieres mejorar tu exito con el sexo opuesto, pos echale
un ojo a este texto. que tiene utiles consejos.

quieres saber cuan psicopata eres?

Quisiste hackear una cuenta de hotmail alguna vez,
entonces prueba esta tecnica, y lo bueno es que no se
nesecita ser un Hacker para usarla.

Radio On-line

Respuesta

Respuesta para

ReturnMsg

Riddles

Roberto

Sabes que significa la forma de besar o que tipos y
tecnicas existen, conocelas

Se te cambia la pagina de inicio?, te salen ventanas de
publicidad, problemas con dialers, troyanos u otros

Seguro te interesara

Sex Tantrico

Sexo Tantrico

Sexo Tantrico Imagest

Solo la pura verdad

Solo la Pura Verdad

Solo para mayores de 18 años

Song of the Mammoth third part

Strange

Sure it interested you

Tantra: ancient discipline oriental to improve the
sexual acting. Know it

Tantra: antigua disciplina oriental para mejorar el
desempeño sexual. Conocelo

Targeta Virtua

Te envio la info que me pediste, responde que tal esta,
bye

Te envio una postal

Te han enviado un Regalo virtual, esta disponible
durante 7 dias, descargalo o entra al link :)

Te mueres por esa persona, pero no sabes si decirle
algo, porque capaz no te da bola, con este test puedes
descubrir detalles que te indiquen que siente por ti :)

Ten commandments give the Love and Sex

Test

Test Aqui

That

That induced it to leave a possible life he gives
luxuries, to go aboard in a sacred war against it USES,
wise that the families give Bush and Osama they knew
each other, find out he gives the true causes he gives
their war here.

That Strange!

That there is behind a kiss&Sex Tantrico Images

The answer to its order has been approved, with what
becomes accrediting gives the advantages and discounts
gives our I circulate, for but you detail sees text the
assistant. Important for Vdo you want to know how
psychopath you are?

The corporal language accuses the lie subtly, 5 tips to
know if they are telling you the truth.

The Father gives Sandra was an employee in an insurance
company, lived modestly, tapeworm a medium house, a car
very new no and a dog, but what the one wanted more they
were its 3 daughters: Ana, Ane and... Like their other
daughter was called?.

The information could not be a correspondent to one or
more addressees.

The names and the last names like all word have a
meaning, the one which already in most he/she gives
times or we don't remember, perhaps find the meaning
he/she gives yours in our database:)

there is an available card for you on behalf of a
friend. discharge it or enters to the link:)

they have sent You a virtual Gift, this available one
during 7 days, discharge it or enters to the link:)

This Cartoon looks

This is a test used for the I exercise gives states
together to recruiting soldiers, it stops in simple
words to measure how prone to the madness they are, and
you go how released these."

Tienes un Mensage (Sabes si te mienten?

tienes un Regalo Virtual

to Clean Pc

TodO hA sIdO Dad0

Tu Nombre(Eres inteligente? ;)

Veronica

Virtual Card

Vision del Futuro

Willy

Women to all color

XXX All Voucher XXX

XXX Sex Teens Lesb

XXX Todo Vale XXX

you die for that person, but you don't know if to tell
him something, because capable

you Have a Mensage

you have a Virtual Gift,Pictures in your email

you Know that it means the form gives to kiss or that
types and techniques exist, know them

you Listen to yourself this song, Letter to Santa
Claus III

you Look at it your same one

you Look at me ;)

you Want to improve your success with the opposite sex,
search keeps an eye on this text. that has useful
advice.

you Wanted hackear one it counts gives hotmail at some
time, then test this technique, and the good thing is
that no you need to be a Hacker to use it.

Your Name.are you intelligent? ;)

Como datos adjuntos, puede ir uno de los siguientes archivos:

10claves.zip
16playboy.zip
acertijos.zip
beso.zip
crazytest.zip
cwshredderplus.zip
dibujitos.zip
drawings.zip
e-card.zip
el-card.zip
fucksanta.zip
hackhotmail.zip
ideal.zip
ilusioni.zip
images.zip
kiss.zip
lie.zip
msg.zip
nomentir.zip
osama.zip
ph0t0.zip
photo.zip
pornstars.zip
queraro.zip
registro.zip
registry.zip
returnmsg.zip
seduc.zip
sex_tantra.zip
signame.zip
signombre.zip
testg.zip
testrayado.zip
thatstrange.zip
tufuturo.zip
videoclip.zip
virtual0034.zip
yourfuture.zip
zalia.zip

Dentro del ZIP se oculta el gusano propiamente dicho, con un nombre al azar, y mostrando en algunos casos, un icono similar al de las carpetas de Windows, lo que sirve para que el usuario haga doble clic sobre él, ejecutándolo, al pensar que va a abrir el contenido de una carpeta:

La lista de destinatarios usada para enviarse por correo electrónico, es obtenida de diferentes archivos de la máquina infectada y luego almacenada en los siguientes archivos:

bh.dat
bl.dat
bm.dat

Estos archivos son enviados luego a la dirección "wormdarby @ latinmail .com".

Cuando se ejecuta, puede crear los siguientes archivos:

c:\archivos de programa\mirc\h_aqrlb
c:\windows\microsoftweb.htm
c:\windows\system\[nombre al azar]
c:\windows\system\bzip.exe
c:\windows\system\grpftpbrd.pif
c:\windows\system\gzip.zip
c:\windows\system\hwloadmon.com
c:\windows\system\image0x.scr
c:\windows\system\k^]vgen.bat
c:\windows\system\killusa.exe

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

Libera una copia de la herramienta PKZIP con el nombre de BZIP.EXE, y la utiliza para crear una copia zipeada de si mismo con el nombre GZIP.ZIP.

El gusano modifica el registro de modo de poder ejecutarse cada vez que se intenta abrir un archivo con extensiones .EXE, .REG, .SCR, .COM, .BAT o .PIF.

También modifica las siguientes entradas en el registro:

HKCR\keyfile\shell\open\command
(Predeterminado) = "GDC"

HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001
DisableTaskMgr = dword:00000001

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001
DisableTaskMgr = dword:00000001

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\GedzacLABS

HKLM\System\CurrentControlSet\Services\GEDZAC LABS

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CDDEFRAGDLL = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ISUNINSTUNST = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
CDDEFRAGDLL = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
ISUNINSTUNST = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Active Setup
\Installed Components\Bardiel
Bardiel StubPath = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe c:\windows\system\[nombre al azar]"

Crea un servicio llamado "GEDZAC LABS":

HKLM\System\CurrentControlSet\Services\GEDZAC LABS

En equipos con Windows 95 y 98, modifica el archivo AUTOEXEC.BAT para autoejecutarse al inicio de Windows:

@win C:\Windows\System\[Nombre de archivo]

También modifica los archivos WIN.INI y SYSTEM.INI:

WIN.INI:

[boot]
shell=Explorer.exe C:\Windows\System\[Nombre de archivo]

SYSTEM.INI:

[windows]
run=C:\Windows\System\[Nombre de archivo]

También se propaga vía mIRC, liberando para ello el archivo H_AQRLB en la misma carpeta donde resida dicho programa de IRC. Ese archivo contiene un script utilizado para enviar una copia del gusano a usuarios específicos en el canal de chat visitado.

El gusano crea varias entradas en el archivo SCRIPT.INI a los efectos de ocultarse al enviarse por IRC, y de desplegar un texto para que la víctima descargue un archivo de Internet (posiblemente un troyano o una copia del gusano):

[text]
quit = http:/ /interserv10 .i-networx .de/ lolitasex .avi XXX

Para propagarse por redes P2P, el gusano crea las siguientes copias de si mismo en las carpetas compartidas por defecto de ICQ y KaZaa (c:\archivos de programa\ICQ\shared, c:\archivos de programa\Kazaa\My Shared Folder):

ACDSee 5.5.exe
Age of Empires 2 crack.exe
Ana Kournikova Sex Video.exe
Animated Screen 7.0b.exe
aol cracker.exe
AOL Instant Messenger.exe
aol password cracker.exe
AquaNox2 Crack.exe
Audiograbber 2.05.exe
AVP Antivirus Pro Key Crack.exe
BabeFest 2004 ScreenSaver 1.5.exe
Babylon 3.50b reg_crack.exe
Battlefield1942_bloodpatch.exe
Battlefield1942_keygen.exe
Britney Spears Sex Video.exe
Buffy Vampire Slayer Movie.exe
Business Card Designer Plus 7.9.exe
cable modem ultility pack.exe
Clone CD 5.0.0.3 (crack).exe
Clone CD 5.0.0.3.exe
Coffee Cup Free zip 7.0b.exe
Cool Edit Pro v2.55.exe
counter-strike.exe
Crack Passwords Mail.exe
Credit Card Numbers generator(incl Visa,MasterCard,...).exe
Cristina Aguilera Sex Video.exe
delphi.exe
Diablo 2 Crack.exe
DirectDVD 5.0.exe
DirectX Buster (all versions).exe
DirectX InfoTool.exe
divx pro.exe
DivX Video Bundle 6.5.exe
divx_pro.exe
Download Accelerator Plus 6.1.exe
DVD Copy Plus v5.0.exe
DVD Region-Free 2.3.exe
Edonkey2000-Speed me up scotty.exe
FIFA2004 crack.exe
Final Fantasy VII XP Patch 1.5.exe
Flash MX crack (trial).exe
FlashGet 1.5.exe
FreeRAM XP Pro 1.9.exe
Game Cube Real Emulator.exe
GetRight 5.0a.exe
Global DiVX Player 3.0.exe
Gothic2 licence.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
Guitar Chords Library 5.5.exe
Hentai Anime Girls Movie.exe
Hitman_2_no_cd_crack.exe
Hot Babes XXX Screen Saver.exe
HotGirls.exe
Hotmail Hacker 2004-Xss Exploit.exe
hotmail_hack.exe
ICQ Pro 2004a.exe
ICQ Pro 2004b (new beta).exe
iMesh 3.6.exe
iMesh 3.7b (beta).exe
IrfanView 4.5.exe
Jenifer Lopez Sex Video.exe
KaZaA Hack 2.5.0.exe
Kazaa SDK + Xbit speedUp for 2.xx.exe
KaZaA Speedup 3.6.exe
Links 2004 Golf game (crack).exe
Living Waterfalls 1.3.exe
macromedia dreamweaver key generator.exe
Mafia_crack.exe
Matrix Movie.exe
Matrix Screensaver 1.5.exe
Mcafee Antivirus Scan Crack.exe
MediaPlayer Update.exe
Microsoft KeyGenerator-Allmost all microsoft stuff.exe
mIRC 6.40.exe
mp3Trim PRO 2.5.exe
MSN Messenger 5.2.exe
NBA2004_crack.exe
Need 4 Speed crack.exe
Nero Burning ROM crack.exe
Netbios Nuker 2004.exe
Netfast 1.8.exe
Network Cable e ADSL Speed 2.0.5.exe
NHL 2004 crack.exe
Nimo CodecPack (new) 8.0.exe
Norton Anvirus Key Crack.exe
PalTalk 5.01b.exe
pamela_anderson.exe
Panda Antivirus Titanium Crack.exe
PerAntivirus 8.9.exe
play station emulator.exe
Popup Defender 6.5.exe
Pop-Up Stopper 3.5.exe
PS2 PlayStation Simulator.exe
Quick Time Key Crack.exe
QuickTime_Pro_Crack.exe
Sakura Card Captor Movie.exe
Screen saver christina aguilera naked.exe
Screen saver christina aguilera.exe
Security-2004-Update.exe
Serials 2004 v.8.0 Full.exe
serials2000.exe
Sex Live Simulator.exe
Sex Passwords.exe
SmartFTP 2.0.0.exe
SmartRipper v2.7.exe
Space Invaders 1978.exe
Spiderman Movie.exe
Splinter_Cell_Crack.exe
Starcraft serial.exe
Start Wars Trilogy Movies.exe
Steinberg_WaveLab_5_crack.exe
Stripping MP3 dancer+crack.exe
subseven.exe
Thalia Sex Video.exe
The Hacker Antivirus 5.7.exe
Trillian 0.85 (free).exe
TweakAll 3.8.exe
Unreal2_bloodpatch.exe
Unreal2_crack.exe
UT2004_bloodpatch.exe
UT2004_keygen.exe
UT2004_no cd (crack).exe
UT2004_patch.exe
VB6.exe
virtua girl - adriana.exe
virtua girl - bailey short skirt.exe
Virtua Girl (Full).exe
VirtualSex.exe
Visual Basic 6.0 Msdn Plugin.exe
Visual basic 6.exe
warcraft 3 crack.exe
warcraft 3 serials.exe
WarCraft_3_crack.exe
What is It.exe
Winamp 3.8.exe
winamp plugin pack.exe
WindowBlinds 4.0.exe
Windows XP complete + serial.exe
Windows Xp Exploit.exe
WinOnCD 4 PE_crack.exe
WinRar 3.xx Password Cracker.exe
WinZip 9.0b.exe
winzip full version key generator.exe
Winzip KeyGenerator Crack.exe
WinZipped Visual C++ Tutorial.exe
XNuker 2004 2.93b.exe
Yahoo Messenger 6.0.exe
Zelda Classic 2.00.exe

Para propagarse por recursos compartidos de redes, el gusano intenta utilizar una lista de nombres de usuario y contraseñas predefinidas en su código.

El gusano puede finalizar los siguientes procesos si alguno está activo. Muchos pertenecen a conocidos antivirus y cortafuegos:

ackwin32
adaware
advxdwin
agent
alert
alevir
alogserv
anti-trojan
antivir
aplica32
atcon
ate32class
atro55en
atupdater
atwatch
aupdate
autodown
auto-protect
autotrace
autoupdate
avconsol
ave32
avltmain
avmon
avrep32
avrescue
avsched32
avsynmgr
backweb
bd_professional
bidef
bidserver
bipcp
blackd
blackice
bootwarn
borg2
bs120
buscareg
ccapp
ccevtmgr
ccpxysvc
cfgwiz
cfiadmin
cfiaudit
cfind
cfinet
claw95
claw95ct
cleanpc
clrav
cmgrdian
cmon016
cpf9x206
cpfnt206
csinject
csinsm32
css1631
cwnb181
cwntdwmo
defalert
defwatch
deputy
doors
drwatson
drweb32
drwebupw
dvp95
ecengine
efinet32
efpeadm
esafe
espwatch
etrustcipe
f-agnt95
fameh32
fch32
fih32
filemon
findviru
fix-it
flowprotector
fnrb32
fprot
f-prot
fp-win
fp-win_trial
fsgk32
f-stopw
fwenc
gbmenu
gbpoll
generics
guard
hacktracer
htlog
iamapp
icload
icssuppnt
icsupp95
iface
ifw2000
iomon98
iparmor
isrv95
jammer
kavlite
kerio
ldnetmon
ldpro
ldpromenu
localnet
lockdown
lookout
lsetup
lucomserver
luinit
luspt
mcmnhdlr
mcshield
mctool
mcupdate
mcvsrte
mcvsshld
mfw2en
mfweng3
mgavr
mghtml
minilog
monitor
monsys
monwow
moolive
mpfservice
mpftray
mrflux
msconfig
msinfo32
mssmmc32
mu0311ad
mwatch
mxtask
nc2000
ncinst4
ndd32
neowatchlog
netarmor
netd32
netinfo
netmon
netspyhunter
netstat
netutils
nisserv
nmain
nod32
normist
notstart
npscheck
npssvc
nsched32
nspclean
ntvdm
ntxconfig
nupgrade
nvapsvc
nvarch16
nvlaunch
nvsvc32
nwinst4
nwservice
nwtool16
offguard
ostronet
outpost
padmin
panixk
pccntmon
pcdsetup
pcfwallicon
pcip10117_0
pcntmon
pfwadmin
pfwagent
pfwcon
pfwsvc
platin
pop3trap
poproxy
portdetective
ppinupdt
pptbc
ppvstop
pqremove
prebind
procexp
procexplorerv1
programauditor
proport
protect
purge
pview95
qconsole
qserver
rapapp
realmon
regedit
regedt32
regmon
rescue
rshell
rtvscn95
rulaunch
safeweb
sbserv
schedapp
serv95
setup_flowprotector_us
setupvameeval
sgssfw32
sharedaccess
shellspyinstall
sphinx
spyxx
srwatch
ss3edit
stinger
supftrl
supporter5
sweep
swnetsup
symproxysvc
symtray
sysdoc32
sysedit
taskmgr
taskmon
taumon
tauscan
tbscan
tgbob
titanin
tmntsrv
tracer
undoboot
Update
vbcmserv
vbcons
vbust
vbwin
vccmserv
vcontrol
vcsetup
vettray
vfsetup
vir -help
vnlan300
vnpc3000
vpfw30s
vptray
vscenu6
vsecomr
vshwin32
vsisetup
vsmain
vsmon
vsstat
vswin
vvstat
w32dsm89
watchdog
webtrap
wfindv32
wgfe95
whoswatchingme
wimmun32
winrecon
winroute
winsfcm
wradmin
wrctrl
wsbgate
zapro
zatutor
zauinst
zlclient
zonalm2601
zonealarm
zonestub

También puede propagarse a través de mensajes enviados desde sitios infectados en forma de spam, o a través de aplicaciones de mensajería instantánea como MSN Messenger, AOL Instant Messenger, Yahoo Messenger o ICQ, en mensajes como los siguientes (entre otros):

Mira esta foto [sitio] capaz te interese

Mira esta pagina [sitio] capaz te interese

Mira esta web [sitio] capaz te interese

Si el usuario hace clic en el enlace ofrecido, puede descargar un troyano de IRC (un archivo llamado IRC.BIN), que es grabado como GEDBOT.EXE (o SVHOST.EXE), en la carpeta de Windows y luego ejecutado.

El sitio indicado en el mensaje, puede ser alguno de los siguientes:

http:/ /hosting .mixcat .com/interserv7
http:/ /interserv1 .thefreebizhost .com
http:/ /interserv10 .i-networx .de
http:/ /interserv5 .thefreebizhost .com
http:/ /interserv6 .mysitespace .com
http:/ /interserv9 .t35 .com
http:/ /n .1asphost .com/interserv8
http:/ /www .iespana .es/interserv4

El gusano libera los siguientes archivos HTML:

c:\bardiel.hta
c:\windows\microsoftweb.htm

Intenta configurar MICROSOFTWEB.HTM como diseño de fondo del Outlook, de tal modo que un script embebido en él, será transmitido a otros usuarios en cada mensaje con formato HTML que es enviado por el usuario infectado.

Este script utiliza un exploits de IFrame, de manera que cada usuario que reciba ese mensaje, se conectará a las direcciones mencionadas antes, sin enterarse de que ello ocurre.

El gusano contiene el siguiente texto en su código:

W32.Bardiel.d.worm By MachineDramon/GEDZ


Relacionados:

El Darby se propaga por MSN Messenger, AIM, Yahoo e ICQ
http://www.vsantivirus.com/16-10-04.htm


Reparación manual

Preparación previa

1. Descargue el siguiente archivo (repara2.reg):

http://www.videosoft.net.uy/repara2.reg

2. Actualice sus antivirus con las últimas definiciones

3. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Modificar la asociación para el registro (.REG)

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Herramientas' (Windows Me/2000/XP) o el menú 'Ver' (Windows 95/98/NT), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Tipos de archivo'.

4. Busque en "Tipos de archivos registrados", la extensión REG (o el nombre "Entradas de registro") y haga clic en él.

5. Pinche en el botón "Opciones avanzadas" (o "Edición"), seleccione la opción "Combinar" de la lista de acciones, y pinche en el botón "Modificar" (o "Edición").

6. En "Aplicación utilizada para realizar la acción:", escriba lo siguiente:

regedit.exe   "%1"

7. Pinche en "Aceptar" hasta cerrar todas las ventanas.


Editar el registro

1. Haga doble clic sobre el archivo REPARA2.REG descargado antes (ver "Preparación previa"), para agregar su contenido al registro.

2. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER

3. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\GEDZAC LABS

4. Haga clic en la carpeta "GEDZAC LABS" y bórrela.

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

6. En el panel derecho, en la entrada "Shell", deje solo "Explorer.exe".

7. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre toda entrada similar a las siguientes:

ISUNINSTUNST
CDDEFRAGDLL

9. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows

10. Pinche en la carpeta "Windows", y en el panel derecho, borre el contenido de la entrada "Run="

11. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\WindowsNT
\CurrentVersion
\Policies
\System

12. Haga clic en la carpeta "System" y bórrela.

13. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\keyfile

14. Haga clic en la carpeta "keyfile" y bórrela.

15. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\System

16. Haga clic en la carpeta "System" y bórrela.

17. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\GedzacLABS

18. Haga clic en la carpeta "GedzacLABS" y bórrela.

19. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Active Setup
\Installed Components
\Bardiel

20. Haga clic en la carpeta "Bardiel" y bórrela.

21. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Identities
\{...identificador del usuario...}
\Software
\Microsoft
\Outlook Express
\5.0
\Mail

22. Pinche en la carpeta "Mail" y en el panel de la derecha pinche sobre las entradas "Stationery Name" y "Wide Stationery Name", dejando en todos los casos vacío el campo "Información del valor".

23. También en la misma carpeta, ponga un cero en las entradas "Compose Use Stationery" y "Message Send HTML".

24. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Modificar SYSTEM.INI

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque lo siguiente:

[boot]
shell = explorer.exe C:\Windows\System\[Nombre de archivo]

y déjelo así:

[boot]
shell = explorer.exe

3. Grabe los cambios y salga del bloc de notas


Modificar WIN.INI

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
run = C:\Windows\System\[Nombre de archivo]

Debe quedar como:

[Windows]
run =

3. Grabe los cambios y salga del bloc de notas.


Método para revisar AUTOEXEC.BAT

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse en Aceptar.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre toda línea que contenga lo siguiente:

@win C:\Windows\System\[Nombre de archivo]

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Antivirus

1. Ejecute su antivirus en modo escaneo, revisando todos sus discos
2. Borre los archivos detectados como infectados
3. Reitere estos pasos en cada computadora conectada en red


Borrar archivos temporales de Windows

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Procedimiento para restaurar página de inicio en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Haga clic en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Haga clic en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Haga clic en "Aceptar".


Seleccionar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".


Restaurar las páginas de búsqueda del Internet Explorer

1. Inicie el Internet Explorer.

2. Haga clic en el botón "Búsqueda" de la barra de herramientas.

3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".

4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).

5. Haga clic en el botón "Reiniciar" (Reset).

6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).

7. Elija un proveedor de búsquedas en el menú (Search Provider).

8. Seleccione "Aceptar" hasta salir de todas las opciones.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

07/10/04 - 12:57 -0200 (Modificaciones en la descripción)
07/10/04 - 12:57 -0200 (Alias: Worm.P2P.Darby.m)
07/10/04 - 12:57 -0200 (Alias: W32/Darby.worm.m)
07/10/04 - 12:57 -0200 (Alias: W32/Darby-G)
07/10/04 - 12:57 -0200 (Alias: mIRC/Darby-G)
07/10/04 - 15:48 -0200 (
Modificaciones en la descripción)
11/10/04 - 02:26 -0200 (Modificaciones en la descripción)
16/10/04 - 04:40 -0200 (Modificaciones en la descripción)





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS