Fuclip. Utiliza mensajes con asuntos de notoriedad

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

Fuclip. Utiliza mensajes con asuntos de notoriedad

Compartir

Nombre: Fuclip
Nombre NOD32: Win32/Fuclip
Tipo: Gusano
Alias: Fuclip, BackDoor.Groan, Downloader.Agent.ICB, Downloader.Tibs, Downloader-BAI, Mal/EncPk-B, MemScan:Trojan.Agent.AHS, TR/Dldr.Small.DBX, TR/Small.DBY.G, Trj/Alanchum.NX, Troj/Dorf-Fam, Troj/DwnLdr-FYD, Trojan.DL.Tibs.Gen!Pac13, Trojan.DL.Tibs.Gen!Pac16, Trojan.Downloader-647, Trojan.Downloader-648, Trojan.Downloader-656, Trojan.DR.Tibs.Gen.15, Trojan.Peed.A, Trojan.Spambot, Trojan/Downloader.Generic, Trojan/Worm, TrojanDownloader.Small.dam, Trojan-Downloader.Win32.Agent.bet, Trojan-Downloader.Win32.Small.dam, W32/BAI!tr.dldr, W32/Downloader.AYDY, W32/Downloader.AYEN, W32/Downloader.AYER, W32/Small.DAM!tr, W32/Tibs.gen12, Win32.Agent.bet, Win32.Packed.8, Win32.Small.dam, Win32/Fuclip.A, Win32/Fuclip.B, Win32/Nuwar.N!sys, Win32/Pecoan.2hp!Trojan, Win32/Tibs!generic, Win32/Vxidl.gen!B
Fecha: 20/ene/07
Actualizado: 21/ene/07
Plataforma: Windows 32-bit
Tamaño: 29,360 bytes; 29,347 bytes; 26,622 bytes; 28,323 bytes (varios)

Gusano capaz de finalizar procesos relacionados con antivirus y cortafuegos entre otros. También puede actualizarse a si mismo.

Es capaz de propagarse a través de conexiones activas de red, y vía correo electrónico, enviándose como adjunto a direcciones recolectadas en el equipo infectado.

Cuando se ejecuta, crea un botnet para controlar el PC infectado vía un puerto UDP, que generalmente es el 7871. De ese modo puede crear una conexión P2P, y convertir al equipo en una computadora zombi.

Puede llegar a nuestro PC en un mensaje electrónico con las siguientes características (estos mensajes fueron enviados primeramente en forma de spam masivo):

De: [una dirección falsa]

Asunto: [uno de los siguientes entre otros]
230 dead as storm batters Europe.

A killer at 11, he's free at 21 and kill again!

British Muslims Genocide

Chinese missile shot down Russian aircraft

Chinese missile shot down Russian satellite

Chinese missile shot down USA aircraft

Chinese missile shot down USA satellite

Chinese missle shot down Russian aircraft

Chinese missle shot down Russian satellite

Chinese missle shot down USA aircraft

Chinese missle shot down USA satellite

First Nuclear Act of Terrorism

Hugo Chavez dead

Naked teens attack home director.

President of Russia Putin dead

Radical Muslim drinking enemies' blood.

Radical Muslim drinking enemies's blood.

Russian missile shot down Chinese aircraft

Russian missile shot down Chinese satellite

Russian missile shot down USA aircraft

Russian missile shot down USA satellite

Russian missle shot down Chinese satellite

Russian missle shot down USA aircraft

Russian missle shot down USA satellite

Sadam Hussein alive!

Sadam Hussein safe and sound!

Saddam Hussein alive!

Saddam Hussein safe and sound!

The commander of a U.S. nuclear submarine
lunch the rocket by mistake.

The Supreme Court has been attacked by terrorists.
Sen. Mark Dayton dead!

Third World War just have started!

U.S. Secretary of State Condoleezza Rice has
kicked German Chancellor Angela Merkel

U.S. Southwest braces for another winter blast.
More then 1000 people are dead.

Venezuelan leader: "Let's the War beginning".

Datos adjuntos: [uno de los siguientes archivos]

full clip.exe
full story.exe
full text.exe
full video.exe
read more.exe
video.exe

Cuando se ejecuta, crea los siguientes archivos:

c:\windows\system32\peers.ini
c:\windows\system32\wincom32.sys

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También puede descargar y ejecutar otros archivos desde Internet.

Intenta inyectarse en el proceso de SERVICES.EXE.

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows como un servicio:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN COM32

HKLM\SYSTEM\CurrentControlSet\Services\wincom32

Modifica la siguiente entrada para desactivar el servicio Firewall de Windows y la conexión compartida a Internet (ICS):

HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s
Start = "4"

Puede finalizar procesos cuyos nombres contengan algunas de las siguientes cadenas, si los mismos están activos en el sistema afectado:

blackice
firewall
f-pro
Hijack
lockdown
Mcafee
msconfig
nod32
reged
Registry Editor
spybot
troja
vsmon
zonea


---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_WINCOM32

3. Haga clic en la carpeta "LEGACY_WINCOM32" y bórrela.

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\wincom32

5. Haga clic en la carpeta "wincom32" y bórrela.

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess

7. Haga clic en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal:

Start = "2"

8. Cierre el editor del registro.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Cómo rehabilitar el servicio SharedAccess (Windows 2000 y XP):

Este servicio habilita la resolución de nombres y direcciones para todos los equipos de red doméstica o pequeña oficina, y es usado para la conexión compartida a Internet, y por el firewall (cortafuego) de Windows XP.

Para rehabilitar este servicio, siga estos pasos:

- En Windows XP Service Pack 2:

Cuando este servicio es detenido, un mensaje de atención (globo de texto) advierte que se desconoce el estado del firewall. Para rehabilitarlo, siga estos pasos:

1. Desde Inicio, Panel de control, seleccione el "Centro de seguridad".

2. Si el Firewall aparece como desactivado, haga clic en la leyenda "Firewall de Windows" (abajo) y marque la opción "Activado (recomendado)".

3. Seleccione "Aceptar", etc.

- En Windows 2000, Windows XP, Windows XP SP1:

1. En Inicio, Ejecutar, escriba "services.msc" y pulse Enter.

2. En la columna "Nombre" busque "Conexión de seguridad a Internet (ICF)/Conexión compartida a Internet (ICS)" (en Windows XP), o solo "Conexión compartida a Internet (ICS)" (en Windows 2000).

3. Haga doble clic sobre ese nombre, y en "Tipo de inicio:", seleccione "Automático"

4. En la misma ventana, "Estado del servicio:", haga clic en "Iniciar"

5. Pinche en "Aceptar", etc.



Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 21-Jan-2007, a las 02:58 Vistas: 514
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
fuclip, mensajes


Temas Similares
» Fuclip.AN. Utiliza técnicas de rootkit para ocultarse 0
» Fuclip.AK. Utiliza técnicas de rootkit para ocultarse 0
» Fuclip.M. Utiliza técnicas de rootkit para ocultarse 0
» Fuclip.K. Utiliza técnicas de rootkit para ocultarse 0
» Fuclip.I. Utiliza técnicas de rootkit para ocultarse 0
» Fuclip.H. Utiliza técnicas de rootkit para ocultarse 0
» Fuclip.D. Utiliza técnicas de rootkit para ocultarse 0
» Nuwar.Q. Utiliza mensajes con asuntos de notoriedad 0
» Sober.Y. Utiliza mensajes falsos del FBI y la CIA 0
» VBS/Eris.A. Utiliza mensajes en español, usa IRC 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 01:48.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4