Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Duksten.O. Se propaga vía e-mail mensajes en español
 
VSantivirus No. 1049 Año 7, Jueves 22 de mayo de 2003

W32/Duksten.O. Se propaga vía e-mail mensajes en español
http://www.vsantivirus.com/duksten-o.htm

Nombre: W32/Duksten.O
Tipo: Gusano de Internet
Alias: W32/Duksten.o@MM, Win32/Duksten.J
Fechas: 22/may/03
Plataforma: Windows 32-bit
Tamaño: 22,528 bytes (EXE), 22,648 bytes (ZIP)

Se propaga a través del correo electrónico, enviándose a todos los contactos de la libreta de direcciones de Windows (.WAB). Utiliza su propia máquina SMTP, por lo que no depende del cliente de correo instalado. Utiliza los datos de configuración de la cuenta predeterminada del usuario infectado.

El adjunto es un archivo ZIP, el cuál debe ser abierto para luego ejecutar el archivo incluido.

También intenta conectarse a un canal de IRC.

Los mensajes utilizados para propagarse presentan estas características:

Asunto: [uno de los siguientes]

...solo Futbol?
21 formas para dejar a tu chico
A veces llamamos carnaza televisiva pero son gente normal
Algunas cosas no necesitan comentarios
Amor y Odio a veces tan cercanos
Ana Rosa Quintana escribio un libro que jamas leyo...o era al reves?
BitDefender un WebSite diferente para gente diferente
BOMBAZO!!! MicroSoft compra Konami
conoces a GigaBYte...una chica BelGa...
cosas de Coto...
Cuantas estrellas tiene el HoteL GlamoUr?
cuantos programas llevan en Cronicas Marcianas?
de un amigo
E L I G E M E
el beso de Pocholo BordiU a Karmele trae...colaaaa
El Chico perfecto, amante de dia ...
El dia del YacuZi de Hornillos hubo algo mas que no salio en Tv
El Diario de Patricia podria ser suspendido de la programacion!
El dice si pero ella dice NOOOOOOOOOOOOOO
El lado bueno de SADAM HUSSEIN
el lado mas tenebroso del presidente Irakie
el motivo de que el Risitas y PoZZi no fueran con Pocholo al HoTel
el NO A LA GUERRA al reves de Amaral...?
El odio de Bush no es a quien pensamos...
el VERDADERO asunto del jabon Nenuco al descubierto
Emma Garcia es la revelacion de las tardes en T5
Emma TamarGo la mujer que nos eligio a todos
En Tv las audiencias justifican el contenido...
Encarni,Tamara y Dimio ... al HoteL...GLAMOUR!
Es cierto que me pasaste tu esto?
Es Sadam un tirano,un Robin Hood o un Hittler?
este chico llegara lejos...con este pedazo de...
existen formas y formas pero esta no me gusta
fotos del nuevo proyecto de la Zona0
Fotos ineditas de los satelites sobre armamento de IraK
Hombre o MuJer?
Hubo tongo en la isla de los famosos?
Humanidad entera se revela contra el emperador Bush
Is Paulina a Borde Girl or a BORDER Girl?
Joyas literarias en miniatura...un gran marketing, pero este es mejor
La chica ideal, amante en el lecho,ama de casa en el hogar y...por la noche?
la metio Bertin en su sitio al conocer a Sonia?
Las camaras ocultas que graban a otras camaras ocultas
Las fotos de Malena que Rodriguez Menendez nunca publicara
las fotos de Rocio Madrid que nunca se publicaron
Las manazas de Zidane
LISTAS CORAZON ROSA Maria Jimenez vs Pepe Sancho...un montaje?
Lo de Gran Hermano toma valores de locura
Lo que Javier Sarda nunca pondra en Cronicas
Lo que no se vio en el anuncio de Ronaldo
Lo que no te podras llevar nunca de un Hiper
los tertulianos de Cronicas necesitan respirar hondo?
Mairena al hotel Glamour!
Mares que soportan vertidos...
Marta Lopez,Hornillos,David Flores...buen trieto
Metal Gear Solid 3 no saldra para PS2!!!!
Mus o Brisca?
ni el mismisimo Ronaldo puede con esto
no te creas todo lo que te dicen
NOTICION...el Doom3 saldra para PS2 en el 2004
nueva version mas efectiva del mitico PandActiveScan
Nunca creeria tal cosa...pero esto es TOMBOLA!
nVidia es superada de nuevo por ATI con el RV450
Oculta algo Ana Rosa Quintana???
Operacion Triunfo o Gran Hermano
PARCHE adjunto para la vulnerabilidad iFraXPe del OutLook
Pocholo no solo le tiro un vaso de agua a Karmele...
por que A3tv suspendio La Sonrisa del Pelicano y no El Diario de Patricia?
por que la peseta sigue venciendo al euro?
Portatiles a un precio de ganga
Prefieres la delantera del Madrid o la de esta chicarrona?
primero fue Nenuco ahora le toca el turno a...
Que hace a Patricia una mujer tan diferente del resto?
Que harias si pudieses volver a empezar?
quien sera el proximo en salir en la foto?
Quienes dijeron que el Barsa estaba acabado?
Re: de todos modos el C.V. no esta completo
Re: por favor reenviame el EMail que no me llego
SALSA ROSA:Alfonso Santisteban o Marisa Medina,quien miente?
Sarda,CoTo MaTaMoRos y CIA no paran
Si en Hotel Glamour sucediera esto...
Si esto es cierto entonces mejor irnos del pais
Si tienes WindowsXP cuidado con la actualizacion automatica!!!
Sigue el PrestiGe soltando petroleo?
te reenvio la foto para que veas que esta trucada!!!
Tongo en Operacion Triunfo?
Tu si puedes tocar el piano
un interesante estudio de los PettiSuiss
una nueva crisis en el Barcelona FC ?
Venturas y DesVenturas de un Enrique Del PoZo angustiado
y acerca de la Coca-Cola...es la Coca...CoKa, o un gran fraude
Y por fin empezo el HoTeL GlaMoUR y como no...POLEMICA!
Yo no estuve en DinoPolis pero si en PortAventura
Yola, todo un soldado de ... fortuna

Texto del mensaje: [una de las siguientes líneas]

ah! no te olvides de visitar nuestra WEB
ah! y no creas que tengo sed de Amor...
aumenta esta base de datos y colabora!
casi sois mil amigos...y lo celebro asi
cuantos mas lo sepamos mejorrrr!!!!
de Laura Stevz para esta base de datos
de un amigo para mas amigos
de un amigo para un amigo
de un enemigo para un enemigo
di no al spam, no a la guerra,no al PP
espero que te guste, si no es asi dimelo
este primer envio es gratis,no temas
esto no es solo producto de la ilusion
estos envios no vulneran la LSCI ni la SGAE
mensajes entre grupos de jovenes
ni si ni no si no todo lo contrario
no te olvides de pasarme los canticos
puedes recoger mas informacion en yax.com
recuerda pasar esto a un amigo u enemigo...
recuerda que no todo el EMail es Spam
reenvialo a todos los amigos de la guerra
sacado de www.masqueocio.net
si a la musica, no a la guerra
si el adjunto esta defectuoso reenviamelo
si tienes algo interesante PASAMELO!!!
si todo lo que recibes es tan bueno,,,
sintonizanos ahora en 6.145MHz a las 22h
spam SI guerra NO
todo esto y mucho mas en coderz.net
todos los envios que hacemos estan limpios
usa el ActiveScan de Panda por si acaso
visitanos en www.quefuerte.com
www.tocamelos.net la pagina mas dinamica!
y di NOOOOOOOO a la guerra
y recuerda que en LinuXWorld te esperamos

Datos adjuntos: [uno de los siguientes archivos, de 22,648 bytes]

__ania_.Zip
_ainoa_.Zip
_b_e_t_.Zip
Amanece.Zip
Amaralx.Zip
Anamrfc.Zip
Antra_x.Zip
Aramisf.Zip
Aznarof.Zip
Bertins.Zip
Borisxx.Zip
Bustman.Zip
Camarax.Zip
Cardnas.Zip
Carrsco.Zip
Chenoax.Zip
Clinton.Zip
Cocacla.Zip
Cocaina.Zip
Confdnc.Zip
Cotomtr.Zip
Cronics.Zip
Dbisbal.Zip
Driller.Zip
Edelpoz.Zip
Emmacia.Zip
Envidia.Zip
Fabiert.Zip
Flavioc.Zip
Fotogrf.Zip
Gablndo.Zip
Galindo.Zip
Gordita.Zip
Grgbush.Zip
Grhermn.Zip
Htlglmr.Zip
Hussein.Zip
Inaudit.Zip
Jenifer.Zip
Jnfrope.Zip
Jnlopez.Zip
Joanten.Zip
Jrge_gh.Zip
Jvsarda.Zip
K_i_k_o.Zip
Kanalla.Zip
Karmele.Zip
Kartman.Zip
Kiko_gh.Zip
Laflaca.Zip
Lerenda.Zip
Lomasxx.Zip
Loreena.Zip
Lusolmo.Zip
Marisas.Zip
Matamrs.Zip
Maximop.Zip
Misiles.Zip
Mondriz.Zip
Mterelu.Zip
Ne_nuco.Zip
Noabrir.Zip
Optubmy.Zip
Ozoress.Zip
Pepsicl.Zip
Pne_grd.Zip
Pradera.Zip
Prstige.Zip
Qmastda.Zip
Ritalin.Zip
Rociocm.Zip
Ronaldo.Zip
Rosalpz.Zip
Sa__dam.Zip
Sa_dam_.Zip
Showflo.Zip
Siestas.Zip
Soniagh.Zip
Soniagh.Zip
Spidrmn.Zip
St_park.Zip
Sxlidad.Zip
Tempran.Zip
Tenorio.Zip
Tombola.Zip
Toreros.Zip
Txiquix.Zip
Urqiola.Zip
Ventas2.Zip
Zapater.Zip
Zidanne.Zip

El gusano modifica las siguientes entradas en el registro para autoejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mIrcProTecTor = [nombre del gusano]

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
mIrcProTecTor = [nombre del gusano]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
mIrcProTecTor = [nombre del gusano]

Puede no crear todas estas entradas en algunos sistemas.

Para su uso interno, crea la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\XRF Solutions

Crea los siguientes archivos:

C:\WINDOWS\Escritorio\C.EXE
C:\Windows\System\PRGRM.ZIP
C:\Windows\System\BASE64.XRF

- C.EXE es una copia del gusano, creada en el escritorio de Windows.

- PRGRM.ZIP es el archivo que se envía por correo electrónico con uno de los nombres de la lista anterior.

- BASE64.XRF contiene una copia codificada del virus en Base 64.

NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).

El gusano se copia a si mismo en el menú de inicio de Windows [*] con alguno de los siguientes nombres:

Anti-Virus ActiveScan.exe
Trucos de Windows.exe
Norton Updates.exe

[*] NOTA: "C:\Windows\Menú Inicio\Programas\Inicio" en Windows 95, 98 y Me. En Windows XP y 2000 es "C:\Documents and Settings\[usuario]\Menú Inicio\Programas\Inicio" y en Windows NT "C:\WinNT\Profiles\[usuario]\Menú Inicio\Programas\Inicio". [Usuario] también puede ser [All Users].

También se copia en la carpeta "Mis documentos" usando uno de los siguientes nombres:

Azafata.exe
B30.exe
Barcelona CF OnLine.exe
BradPitt Home Page.exe
Camaras ocultas.exe
ConeJitas!!!.exe
Cosas Indiscretas.exe
Cronicas Marcianas On-Line.exe
Desnudos gratis.exe
el diario AS en internet.exe
El Mundo del siglo XXI.exe
Eminem.exe
Erotismo en la Red.exe
Ferrari_F50.exe
Foros Hotel Glamour.exe
fotos de famosos.exe
Hotel Glamour en la red.exe
In-fraganti.exe
Irak in War!.exe
la WEB de los chistes.exe
LoMasDuro.exe
MandraGora.exe
Marca online.exe
Mariah CareY fans.exe
MatriX2 Trailers.exe
Meneito.exe
MicroSoft.exe
Mirame!.exe
MP3-DivX-Fotos GRATIS!!!.exe
pagina oficial de GeorgeClooneY.exe
pagina WEB Camela.exe
Pagina Web de Boris.exe
Pamela Anderson unoficial page.exe
PlayBoY.exe
PlayStation3.exe
Real Madrid en internet.exe
Tatiana_Veronica.exe
Tutoriales de Programacion.exe
TvInteligente.exe
U52.exe
WEB del Partido Popular.exe


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\WINDOWS\Escritorio\C.EXE
C:\Windows\System\PRGRM.ZIP
C:\Windows\System\BASE64.XRF

Y estos archivos en algunas de estas carpetas: "C:\Windows\Menú Inicio\Programas\Inicio" en Windows 95, 98 y Me. En Windows XP y 2000 es "C:\Documents and Settings\[usuario]\Menú Inicio\Programas\Inicio" y en Windows NT "C:\WinNT\Profiles\[usuario]\Menú Inicio\Programas\Inicio". [Usuario] también puede ser [All Users].

Anti-Virus ActiveScan.exe
Trucos de Windows.exe
Norton Updates.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

mIrcProTecTor

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

mIrcProTecTor

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce

7. Pinche en la carpeta "RunServicesOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

mIrcProTecTor

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\XRF Solutions

9. Pinche en la carpeta "XRF Solutions" y bórrela.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS