VIRUS: *WIN32/ANKER.E

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

VIRUS: *WIN32/ANKER.E

Compartir

DESCRIPCION

Nombre: Win32/Anker.E
Aliases: W32/Ahker-E, WORM_AHKER.E, Email-Worm.Win32.Anker.e, [email protected]
Tipo: Gusano de Internet
Fecha: 23/02/2005
Gravedad General: *Alta
Distribución: * Alta
Daño: *Alto
Tamaño: 14,882 Bytes
Destructivo: Si
Origen: Desconocido
Nombre asignado por: ESET


INFORMACION

Gusano que se propaga por correo electrónico, redes compartidas, canales de IRC y aplicaciones P2P. Periódicamente intenta apagar el equipo infectado.


CARACTERISTICAS

Se envía a todos los contactos de la libreta de direcciones del equipo infectado.

Los mensajes que utiliza para propagarse tienen las siguientes características:

De:[uno de los siguientes]

*[email protected]
*[email protected]
*[email protected]

Asunto:[uno de los siguientes]

*Ahker.E is infecting 100 of PC/min
*Microsoft"s Worst Fear!
*Please READ!
*Read it!
*Read this for your PC safety!
*Read this to remove the infection!
*Read this TWICE!
*READ! HURRY! BEFORE It"s too late!
*World"s most dangerous Internet Worm!
*You are infected!

Texto del mensaje: [uno de los siguientes]

- We have been informed that you are one of
*the victims of the latest worm: Ahker, the E variant.
*You"re computer is infected with this worm!
*Ahker.E uses FULL STEALTH METHOD to fool the
*user and the system!
*Ahker.E infects the system without the knowledge
*of the user which is bad!
*Security Response suggests you to download the
*removal tool for this threat located in the attachment.
*This tool will scan your system in order to find
*the worm then removes it.
*Please hurry before the worm mutates!
*Good luck!
*Symantec (c) 2004-2005
*
- We have been informed that you are one of the
*victims of the latest worm: Ahker, the E variant.
*You"re computer is infected with this worm!
*Ahker.E uses FULL STEALTH METHOD to fool the
*user and the system!
*Ahker.E infects the system without the knowledge
*of the user which is bad!
*Microsoft suggests you to download the removal tool
*for this threat located in the attachment.
*This tool will scan your system in order to find the
*worm then removes it.
*Please hurry before the worm mutates!
*Good luck!
*Microsoft (c) 2004-2005

- We have been informed that you are one of the victims
*of the latest worm: Ahker, the E variant.
*You"re computer is infected with this worm!
*Ahker.E uses FULL STEALTH METHOD to fool
*the user and the system!
*Ahker.E infects the system without the knowledge
*of the user which is bad!
*Trend Micro suggests you to download the removal
*tool for this threat located in the attachment.
*This tool will scan your system in order to find
*the worm then removes it.
*Please hurry before the worm mutates!
*Good luck!
*Trend Micro (c) 2004-2005
*
Datos adjuntos: Removal Tool.zip

Se propaga por redes P2P creando copias de si mismo *dentro de las carpetas compartidas por dichas aplicaciones utilizando los siguientes nombres:

*Britney_porno.exe
*Celeb uncensord.exe
*Naked Britney.exe
*Naked Celebrity.exe
*Naked WWE Divas.exe
*Nude Britney.exe
*PamelaAnderson.exe
*Paris Hilton.exe
*parishilton.exe
*Paris-Hilton.exe
*Porn.exe
*Porn_Celeb.exe
*PORNO.exe
*Sex.exe
*SUCK.exe
*wwedivas.exe
*XXX.exe
* *
Cuando se ejecuta se copia con los siguientes nombres:

*C:\Documents and Settings\[usuario actual]
*\Menú Inicio\BADO.EXE
*
*C:\Documents and Settings\[usuario actual]
*\Menú Inicio\MICHO.EXE
*
*C:\Windows\BAZZI.EXE

Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows:

*HKLM\Software\Microsoft\Windows
*\CurrentVersion\Run
*Generic Host Process for Win32 Services = bazzi.exe

Modifica el registro para ejecutarse cada vez que se abre un archivo de texto (.TXT):

*HKCR\txtfile\shell\open\command
*(Predeterminado) = bazzi.exe %1

El gusano descarga un archivo ".ZIP" que contiene una copia de si mismo, este archivo es descargado de un sitio web.

También intenta descargar y ejecutar un archivo que también es una copia del gusano.

Dicho archivo es creado en la siguiente carpeta:

*C:\Documents and Settings\[usuario actual]
*\Menú Inicio\

Intenta terminar los siguientes procesos relacionados con aplicaciones de seguridad y antivirus:

*bbeagle.exe
*ccApp.exe
*d3dupdate.exe
*i11r54n4.exe
*irun4.exe
*msblast.exe
*MSBLAST.exe
*mscvb32.exe
*navapw32.exe
*navw32.exe
*netstat.exe
*outpost.exe
*PandaAVEngine.exe
*Penis32.exe
*rate.exe
*ssate.exe
*sysinfo.exe
*SysMonXP.exe
*taskmon.exe
*teekids.exe
*wincfg32.exe
*winsys.exe
*winupd.exe
*zapro.exe
*zonealarm.exe

Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos:

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
grisoft.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
windowsupdate.microsoft.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
*
El gusano deshabilita varias aplicaciones de Windows, como el editor del registro, el bloc de notas, Wordpad, MSN Messenger, la actualización automática de Windows, restauración automática de Windows, cortafuegos de Windows XP, etc.:

Para ello crea o modifica las siguientes entradas en el registro:

*HKCU\Software\Microsoft\Windows NT
*\CurrentVersion\systemrestore
*DisableSR = 1

*HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
*NoRun = 1

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer
*DisallowRun = 1
*
*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*1 = regedit.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*2 = notepad.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*3 = wordpad.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*4 = write.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*5 = wuauclt.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*6 = wupdmgr.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*7 = msnmsgr.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*8 = LUALL.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*9 = AUPDATE.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*10 = ALUNOTIFY.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*13 = DAP.exe

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\System
*DisableTaskMgr = 1

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\System
*DisableRegistryTools = 1

*HKCU\Software\Microsoft\security center
*FirewallDisableNotify = 1

*HKCU\Software\Microsoft\security center
*UpdatesDisableNotify = 1

*HKCU\Software\Microsoft\security center
*AntiVirusDisableNotify = 1

*HKCU\Software\Policies\Microsoft
*\WindowsFirewall\DomainProfile
*EnableFirewall = 1

*HKCU\Software\Policies\Microsoft
*\WindowsFirewall\StandardProfile
*EnableFirewall = 1

*HKCU\Software\Policies\Microsoft
*\Windows\WindowsUpdate\AU
*NoAutoUpdate = 1

*HKCU\Software\Policies\Microsoft
*\Windows\WindowsUpdate\AU
*AUOptions = 1

*HKLM\SOFTWARE\Microsoft\Windows
*\CurrentVersion\WindowsUpdate\Auto Update
*Windows auto update = bazzi.exe

*HKLM\SOFTWARE\Microsoft\Windows
*\CurrentVersion\runservices-
*Win32 Service = bazzi.exe

*HKLM\SOFTWARE\Microsoft\security center
*FirewallDisableNotify = 1

*HKLM\SOFTWARE\Microsoft\security center
*UpdatesDisableNotify = 1

*HKLM\SOFTWARE\Microsoft\security center
*AntiVirusDisableNotify = 1

*HKLM\SOFTWARE\Policies\Microsoft
*\WindowsFirewall\DomainProfile
*EnableFirewall = 1

*HKLM\SOFTWARE\Policies\Microsoft
*\WindowsFirewall\StandardProfile
*EnableFirewall = 1

*HKLM\SOFTWARE\Policies\Microsoft
*\Windows\WindowsUpdate\AU
*AUOptions = 1

*HKLM\SOFTWARE\Policies\Microsoft
*\Windows\WindowsUpdate\AU
*NoAutoUpdate = 1

También modifica o crea las siguientes entradas del registro:

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*11 = micho.exe
*
*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun
*12 = bado.exe

El gusano cambia el nombre de la computadora infectada por el siguiente:

*Agent Hacker

Intenta realizar un ataque de denegación de servicio al sitio "www.windowsupdate.microsoft.com"

Periódicamente el gusano intenta apagar el equipo infectado.



INSTRUCCIONES PARA ELIMINARLO


1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

*Command /c Rename C:\Windows\Regedit.exe Regedit.com

* En Windows 2000 y XP, cambie COMMAND por CMD.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Descargue el archivo "restore.reg" del siguiente enlace:

*http://www.enciclopediavirus.com/ima...us/restore.reg

4. Ejecútelo haciendo doble clic sobre él.

5. Reinicie en Modo a prueba de fallos.

6. Busque la siguiente clave del registro:

*HKCR\txtfile\shell\open\command

7. Modifique bajo la columna "Nombre", la entrada "(Predeterminado)", para que solo contenga lo siguiente:

*(Predeterminado) = NOTEPAD.EXE %1

8. Busque la siguiente clave del registro:

*HKCU\Software\Microsoft\Security Center

9. Modifique bajo la columna "Nombre", las siguientes entradas, para que contengan lo siguiente:

*AntiVirusDisableNotify = 0
*FirewallDisableNotify = 0
*UpdatesDisableNotify = 0

10. Busque la siguiente clave del registro:

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer

11. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

*NoRun = 0

12. Busque la siguiente clave del registro:

*HKCU\Software\Microsoft\Windows NT
*\CurrentVersion\systemrestore

13. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

*DisableSR = 0

14. Busque la siguiente clave del registro:

*HKCU\Software\Policies\Microsoft\Windows
*\WindowsUpdate\AU

15. Modifique bajo la columna "Nombre", las siguientes entradas, para que contengan lo siguiente:

*NoAutoUpdate = 0
*AUOptions = 0

16. Busque la siguiente clave del registro:

*HKCU\Software\Policies\Microsoft
*\WindowsFirewall\DomainProfile

17. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

*EnableFirewall = 0

18. Busque la siguiente clave del registro:

* HKCU\Software\Policies\Microsoft
* \WindowsFirewall\StandardProfile

19. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

*EnableFirewall = 0

20. Busque la siguiente clave del registro:

*HKLM\SOFTWARE\Microsoft
*\security center

21. Modifique bajo la columna "Nombre", las siguientes entradas, para que contengan lo siguiente:

*DisableNotify = 0
*UpdatesDisableNotify = 0
*AntiVirusDisableNotify = 0

22. Busque la siguiente clave del registro:

*HKLM\SOFTWARE\Policies\Microsoft
*\WindowsFirewall\DomainProfile

23. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

*EnableFirewall = 0

24. Busque la siguiente clave del registro:

*HKLM\SOFTWARE\Policies\Microsoft
*\WindowsFirewall\StandardProfile

25. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

*EnableFirewall = 0

26. Busque la siguiente clave del registro:

*HKLM\SOFTWARE\Policies\Microsoft\Windows
*\WindowsUpdate\AU

27. Modifique bajo la columna "Nombre", las siguientes entradas, para que contengan lo siguiente:

*AUOptions = 0
*NoAutoUpdate = 0

28. Busque la siguiente clave del registro:

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer

29. Elimine bajo la columna "Nombre", la siguiente entrada:

*DisallowRun = 1

30. Busque la siguiente clave del registro:

*HKCU\Software\Microsoft\Windows
*\CurrentVersion\Policies\Explorer\DisallowRun

31. Elimine bajo la columna "Nombre", las siguientes entradas:

*1 = regedit.exe
*2 = notepad.exe
*3 = wordpad.exe
*4 = write.exe
*5 = wuauclt.exe
*6 = wupdmgr.exe
*7 = msnmsgr.exe
*8 = LUALL.exe
*9 = AUPDATE.exe
*10 = ALUNOTIFY.exe
*11 = micho.exe
*12 = bado.exe
*13 = DAP.exe

32. Busque la siguiente clave del registro:

*HKLM\SYSTEM\CurrentControlSet
*\Control\ComputerName\ActiveComputerName

33. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

*ComputerName = [nombre de la computadora]

34. Busque la siguiente clave del registro:

*HKLM\SYSTEM\CurrentControlSet\Control
*\ComputerName\ComputerName

35. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

*ComputerName = [nombre de la computadora]

36. Busque la siguiente clave del registro:

*HKLM\SYSTEM\CurrentControlSet
*\Services\Eventlog

37. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

ComputerName = [nombre de la computadora]

38. Elimine bajo la columna "Nombre", la entrada "Generic Host Process for Win32 Services", en la siguiente clave del registro:

*HKLM\Software\Microsoft\Windows
*\CurrentVersion\Run *

39. Elimine bajo la columna "Nombre", la entrada "Windows auto update", en la siguiente clave del registro:

*HKLM\SOFTWARE\Microsoft\Windows
*\CurrentVersion\WindowsUpdate\Auto Update
*Windows auto update = bazzi.exe

40. Elimine bajo la columna "Nombre", la entrada "Win32 Service", en la siguiente clave del registro:

*HKLM\SOFTWARE\Microsoft\Windows
*\CurrentVersion\runservices-
*Win32 Service = bazzi.exe

41. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

*c:\windows\
*c:\windows\system32\drivers\etc\
*c:\winnt\system32\drivers\etc\

42. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

43. Borre todas las líneas que comiencen con un número, salvo las siguientes:

*127.0.0.1 * * localhost

44. Acepte guardar los cambios al salir del bloc de notas.

45. Busque y elimine los siguientes archivos:

*Britney_porno.exe
*Celeb uncensord.exe
*Naked Britney.exe
*Naked Celebrity.exe
*Naked WWE Divas.exe
*Nude Britney.exe
*PamelaAnderson.exe
*Paris Hilton.exe
*parishilton.exe
*Paris-Hilton.exe
*Porn.exe
*Porn_Celeb.exe
*PORNO.exe
*Sex.exe
*SUCK.exe
*wwedivas.exe
*XXX.exe
*C:\Documents and Settings\[usuario actual]
*\Menú Inicio\BADO.EXE
*
*C:\Documents and Settings\[usuario actual]
*\Menú Inicio\MICHO.EXE
*
*C:\Windows\BAZZI.EXE

46. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Compartir
  #1  
Creado: 24-Feb-2005, a las 02:18 Vistas: 526
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus


Temas Similares
» VIRUS: WIN32/AGOBOT.SV 0
» VIRUS: WIN32/VB.NAS 0
» VIRUS: WIN32/VB.CZ 0
» VIRUS:  WIN32/ANKER.F 0
» VIRUS:  WIN32/ANKER.G 0
» VIRUS: *WIN32/BAGZ.H 0
» VIRUS: *WIN32/MYFIP.Q 0
» VIRUS: *WIN32/MYTOB.F 0
» VIRUS: *WIN32/VB.NBO 0
» VIRUS:  WIN32/VB.NBN 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 22:16.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4