Foros Comunidad

Foros Comunidad (http://foros.wilkinsonpc.com.co/)
-   Ultimas Amenazas de virus y sus variantes (http://foros.wilkinsonpc.com.co/ultimas-amenazas-de-virus-y-sus-variantes-22/)
-   -   Delf.NBH. Variante que utiliza mensajes del mundial (http://foros.wilkinsonpc.com.co/ultimas-amenazas-de-virus-y-sus-variantes-22/delf-nbh-variante-que-utiliza-mensajes-del-mundial-4049.html)

W-Bot 23-Jun-2006 22:06

Delf.NBH. Variante que utiliza mensajes del mundial
 
Nombre: Delf.NBH
Nombre NOD32: Win32/Delf.NBH
Tipo: Gusano de Internet
Alias: Delf.NBH, Email-Worm.Win32.Delf.v, I-Worm.Delf.QWI, SpamTool.Agent.1, Trojan.Killav-31, Trojan-Downloader.Win32.gen, W32/[email protected], W32/Deza.A, W32/Downloader, W32/Sixem-A, [email protected], Win32.HLLM.Soccer, Win32/Delf.NBH, Worm/Soccer.A.1
Fecha: 23/jun/05
Actualizado: 19/jun/06
Plataforma: Windows 32-bit
Tamaño: 39,904 bytes

Variante modificada de un gusano de Internet detectado desde junio de 2005. Algunos de los mensajes de la variante aparecida en junio de 2006 hacen alusión al campeonato mundial de fútbol de Alemania.

Las direcciones a las que se envía, son tomadas de diferentes archivos de la máquina infectada.

Características de estos mensajes:

De: [uno de los siguientes remitentes]
hotnews @ cnn .com
kellyjast @ hotmail .com
lindasal @ gmail .com
mr .robs @ yahoo .com
newsreader @ hotmail .com
todaynews @ cnn .com

Asunto: [uno de los siguientes]

Soccer fans killed five teens
Crazy soccer fans
Please reply me Tomas
My tricks for you
Naked World Cup game set
My sister whores, shit i dont know

Texto del mensaje: [uno de los siguientes]

Soccer fans killed five teens, watch what they make on
photos. Please report on this all who know.

Crazy soccer fans killed two teens, watch what they make
on photos. Please report on this all who know.

Halo Markus, i sent my nude pics. Please reply me with
you nude photos ;). Best regard You Sweet Kitty

I wait you photos from New York. I sent my pics where i
naked for you. Please reply me. Linda Salivan

Nudists are organising their own tribute to the world
cup, by staging their own nude soccer game, though it is
not clear how the teams will tell each other apart. Good
photos ;)

Emily Carr was an artist known for her prudery, but now
the Portrait Gallery of Canada has acquired a nude
self-portrait. View photos.

Datos adjuntos: [uno de los siguientes]

emily_selfphoto.jpg.exe
kelly_nude_imgs.jpg.exe
linda_bigtit.gif.exe
soccer_fans.jpg.exe
soccer_nudist.bmp.exe
soccer_pics.jpg.exe

Cuando se ejecuta, crea el siguiente archivo:

c:\windows\system32\msctools.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nsdevice = "c:\windows\system32\msctools.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nsdevice = "c:\windows\system32\msctools.exe"

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
Nsdevice = "c:\windows\system32\msctools.exe"

El gusano también intenta descargar un componente de Internet, al que copia con el siguiente nombre:

c:\windows\system32\vmonts.exe

Cuando VMONTS.EXE se ejecuta, crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows, y para dificultar su remoción, y disminuir la seguridad del sistema:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "0"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msverify = "c:\windows\system32\vmonts.exe"

HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = "1"

HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride = "1"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msverify = "c:\windows\system32\vmonts.exe"

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
msverify = "c:\windows\system32\vmonts.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \dnk

HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = "0"

HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = "0"

---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows


Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall


La franja horaria es GMT -5. Ahora son las 06:30.

2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4