 | Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico. | AutoRun.E. Se propaga vía unidades extraíbles | | Nombre: AutoRun.E
Nombre NOD32: Win32/AutoRun.E
Tipo: Virus y caballo de Troya
Alias: AutoRun.E, Adware/SearchExe, Mal/VBWorm-C, TR/Agent.358ee5, Trojan.Adclicker, Trojan.Agent.358ee5, Trojan.Autorun-3, Virus.Win32.AutoRun, Virus.Win32.AutoRun.br, Win32.HLLW.Autoruner.167, Win32/AutoRun.E, Worm/Generic.BYJ
Fecha: 21/jun/07
Plataforma: Windows 32-bit
Tamaño: 15,872 bytes (UPX)
Gusano que se carga al inicio del sistema, y puede ejecutarse cada vez que se accede a una unidad de disco o se inserta una unidad extraíble (por ejemplo, memoria USB).
Cuando se ejecuta puede crear los siguientes archivos:
c:\windows\system32\logon.bat
c:\windows\system32\config\autorun.inf
c:\windows\system32\config\[nombre].exe
También crea el siguiente archivo:
?:\autorun.inf
Donde "?:" es una letra de unidad de disco, de la "E:" en adelante.
El archivo "logon.bat", y los archivos "autorun.inf" creados, tienes las instrucciones para ejecutar a "[nombre].exe".
El virus crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once
Worms = "c:\windows\system32\logon.bat"
Las siguientes entradas también son creadas o modificadas, algunas de ellas para desactivar algunas herramientas de Windows como el Editor del Registro y el Administrador de Tareas de Windows, otras como para eliminar la entrada Opciones de carpetas del menú de herramientas del Explorador de Windows y del Panel de Control, y para esconder los archivos con atributos de sistema y sus extensiones, todo ello con la intención de dificultar su detección:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer
SearchHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer
SearchSystemDirs = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
HideFileExt = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
ShowSuperHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
SuperHidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoFolderOptions = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoDriveTypeAutoRun = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegedit = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegistryTools = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableTaskMgr = "1"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s
Start = "1"
--------------------------------------------------------------------------------------------------- REPARACION MANUAL
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
--------------------------------------------------------------------------------------------------- Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Editar el registro de Windows
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
3. Haga clic en la carpeta "Explorer" y busque y borre la siguiente entrada:
SearchHidden = "0"
4. Cambie el valor de la siguiente entrada para que quede con el valor "1":
SearchSystemDirs = "1"
5. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
6. Haga clic en la carpeta "Advanced" y busque y borre la siguiente entrada:
Hidden = "1"
7. Cambie el valor de la siguiente entrada para que quede con el valor "0":
HideFileExt = "0"
8. Cambie el valor de la siguiente entrada para que quede con el valor "1":
ShowSuperHidden = "1"
9. Borre la siguiente entrada:
SuperHidden = "1"
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer
11. Haga clic en la carpeta "Explorer" y cambie el valor de la siguiente entrada para que quede con el valor "91" en hexadecimal:
NoDriveTypeAutoRun = "91"
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
13. Haga clic en la carpeta "Winlogon", busque la entrada "Userinit" y deje solo lo siguiente:
Userinit = "c:\windows\system32\userinit.exe,"
14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
15. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 6 del ítem "Antivirus".
16. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
17. Haga clic en la carpeta "SharedAccess", y busque y cambie el valor de la siguiente entrada para que quede con el valor "2":
Start = "2"
18. Cierre el editor del registro.
19. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). Fuente: VSANTIVIRUS
[hr] Archivo HOSTS | Descargar Antivirus NOD32 | Comprar Antivirus NOD32 | Agnitum Outpost Firewall | | Creado: 02-Jul-2007, a las 23:05
Vistas: 1487 Categoria: Ultimas Amenazas de virus y sus variantes
| Creado por: W-Bot
(18-February-2005
| Colombia
| 5.563 Mensajes.)
| | Herramientas | Buscar en Tema | | | Desplegado | Mode Lineal | | Ultimos Temas | - WhatsApp:+237680291603 Acquista il database originale Certificati IELTS verificabili onlin
- (skype id: kilan yates) BUY Verifiable IELTS,NEBOSH,certificates in saudi arabia
- WhatsApp: +237680291603 COMPRAR Certificados verificables de IELTS, NEBOSH en spain
- ([email protected])OBTAIN IELTS,TOEFL Certificates online without Exams,IDS,
- WhatsApp:+237680291603 Buy 100% REGISTERED IELTS,IDP,TOEFL,GMAT,ESOL, CERTIFICATES IN USA
- WhatsApp: +237680291603 COMPRAR Certificados verificables de IELTS, NEBOSH en spain
- Champions League
- Compre pasaportes legítimos, licencia de conducir, IELTS, TOEFL(Whatsapp: +16469485320)
- I grandi benefici del Cialis per il bodybuilding
- Antidepressivi online in Italia
- Sildenafil en farmacia, mi experiencia con Viagra....
- Donde comprar Kamagra
- OBTENER IELTS, TOEFL Certificados en línea sin exámenes,([email protected])
- compra dni, carnet certificados de GMAT, PTE, IELTS... skype(don.wonnie1)
- compra dni, carnet, certificados de GMAT, PTE, IELTS... skype(don.wonnie1)
- Comprar Pasaportes,licencia de Conducir,DNI,TOEFL,IELTS
- Argollas Delicious
- efectividad o destino... que podra ser
- Leer libros en PDF gratis en Ipad?
- Comprar pasaportes , licencia de conducir,DNI
- Cambiarme a TDT
- Beneficios extras de telecomunicaciones unificadas
- Internet lento
- como son los cobros para prepago?
- Páginas restringidas
- Televisión avanzada
- Activa espn
- Compra con nosotros tu portátil
- Servicios de internet
- Las mejores tarifas para navegar
| |