Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Genky. Se propaga vía KaZaA e iMesh
 
VSantivirus No. 989 - Año 7 - Domingo 23 de marzo de 2003

W32/Genky. Se propaga vía KaZaA e iMesh
http://www.vsantivirus.com/genky.htm

Nombre: W32/Genky
Tipo: Gusano de Internet (P2P)
Alias: W32.HLLW.Genky
Fecha: 19/mar/03
Tamaño: 3,968 bytes
Plataforma: Windows 32-bit

Este gusano, escrito en Microsoft Visual Basic 6 y comprimido con la utilidad FSG, se propaga a través de las redes de intercambio de archivos entre usuarios KaZaA e iMesh. Intenta descargar de un determinado sitio Web el troyano Backdoor Sdbot (ver http://www.vsantivirus.com/slacker-a.htm).

Cuando se ejecuta por primera vez, el gusano crea 261 copias de si mismo en la carpeta "System" de Windows.

Cada uno de esos archivos posee un nombre diferente de acuerdo al siguiente criterio:

Los primeros 5 archivos tienen estos nombres:

A+ Certification Test.exe
Cisco Certification Test.exe
MSCE Certification Test.exe
Unix Certification Test.exe
Windows Nt Certification Test.exe

Los nombres de los restantes 256, están compuestos de la siguiente lista, alternándose de esta forma:

[nombre lista1]+[nombre lista 2].exe

Lista 1:

Airport Tycoon II
Alex Ferguson's Player Manager 2003
American Conquest
Apache AH-64 Air Assault
Battlefield 1942 The Road to Rome
Bridge Baron 13
Command and Conquer Generals
Eonix Realm Of Hepmia
Fetish Fighters
Filbert Fledgling
Freelancer
Global Power
Grom
I Was An Atomic Mutant
IGI-2 Covert Strike
Impossible Creatures
Ipswich Town Official Management Game
Las Vegas Casino Player's Collection
Nascar Racing 2003 Season
Private Nurse
Robot Arena Design And Destroy
Serious Sam - Gold Edition
Shadow of Memories
Sim City 4
Slot City 3
Test Drive
The Campaigns of La Grande Armee
The Emperors Mahjong
Tom Clancy's Splinter Cell
Tombstone 1882
Unreal II The Awakening
World Of Outlaws Sprint Car Racing 2002

Nombre 2:

CD Crack
Cd Key Changer
CD Key Generator
CD Keygen
Keygen
NoCd
Update
Update Crack

Ejemplos:

Freelancer NoCd.exe
Apache AH-64 Air Assault CD Crack.exe
Unreal II The Awakening Update.exe
[etc.]

El gusano también intenta agregar las siguientes entradas en el registro:

HKCU\Software\iMesh\Client\LocalContent
Dir0 = 012345:%System%\Windows

HKCU\Software\Kazaa\Transfer
Dir0 = 012345:%System%\Windows

HKCU\Software\Kazaa\LocalContent
Dir0 = 012345:%System%\Windows

La primera de las entradas le permite compartir sus archivos con usuarios de la aplicación iMesh, y las dos últimas con KaZaa.

Luego de ello, el gusano intenta descargar del siguiente sitio el troyano Sdbot:

http:/ /cnets.0catch.com/

Luego de la descarga, procede a ejecutarlo.


Reparación manual

Para la limpieza del troyano SDBot siga estos enlaces:

Troj/Slacker.A (Slackor, Yabinder, SDBot, SDBot-S)
http://www.vsantivirus.com/slacker-a.htm

W32/Deborm.B. Propagación a través de puertos 139 y 445
http://www.vsantivirus.com/deborm-b.htm


Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

HKEY_CURRENT_USER
\Software
\iMesh
\Client
\LocalContent

2. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Dir0

3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\Transfer

4. Pinche en la carpeta "Transfer" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Dir0

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

6. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Dir0

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS