VIRUS:  WIN32/ANKER.G

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

VIRUS:  WIN32/ANKER.G

Compartir

DESCRIPCION

nombre: Win32/Anker.G
aliases: Email-Worm.Win32.Anker.g, I-Worm/Anker.F, W32/Ahker-F, W32/[email protected], W32/Anker.E.worm, W32/Generic.m, W32/MEWpacked.gen, Win32.HLLM.Generic.333, Win32/Anker.G, Win32:Ahker-F, Worm/Anker.G.2, WORM_AHKER.F
tipo: Gusano de Internet
fecha: 31/03/2005
gravedad general: Alta
distribución: Media
daño: Alto
tamaño: 13,908 Bytes
destructivo: Si
origen: Desconocido
nombre asignado por: ESET

INFORMACION

Gusano que se propaga por correo electrónico, redes compartidas, canales de IRC y aplicaciones P2P. Periódicamente intenta apagar el equipo infectado.

CARACTERISTICAS

Se envía a todos los contactos de la libreta de direcciones del equipo infectado.

Los mensajes que utiliza para propagarse tienen las siguientes características:

De:[uno de los siguientes]

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

Asunto:[uno de los siguientes]

Service pack 2 update!
Read this for your own good!:
Service pack 2 bug!
Read! hurry! before it"s too late!
Microsoft windows service pack 2 bug!:
Microsoft"s worst mistake!
Read this for your PC safety!
Please READ!
Nice!
...HOT!!
Free!
Read it!
Read this TWICE!
Believe it or not!
Oh hell its true!
RATED 21!

Texto del mensaje: [uno de los siguientes]

- Hey buddy,
Check out this new porn clip of Britney Sprers!
Very Short but HOT!!
DOWNLOAD IT and WATCH IT!
Adminstrator
Hello!
Paris Hilton new SEX TAPE has been released!
In the attachment you will find some short quick
scenes(HOT!!) that I liked the most!!

Download it! I know its SHORT but at least youve
watched the HOTTEST parts of it!

Owner

- Hi...
Watch this and tell me what you think!
Download it! Its short but its VERY HOT!
Clip Owner
Hell yeah...it"s Pam!
Watch this latest clip of Pamela Anderson!
You will find the clip in the attachment! Enjoy!
Admin

- Hi,
Watch Angelina Jolie and Brad Pitt cought on TAPE!
SEXY CLIP! WATCH IT!
Admin and Owner

Datos adjuntos: Clip.zip

Se propaga por redes P2P creando copias de si mismo dentro de las carpetas compartidas por dichas aplicaciones utilizando los siguientes nombres:

Britney_porno.exe
Celeb uncensord.exe
Naked Britney.exe
Naked Celebrity.exe
Naked WWE Divas.exe
Nude Britney.exe
PamelaAnderson.exe
Paris Hilton.exe
parishilton.exe
Paris-Hilton.exe
Porn.exe
Porn_Celeb.exe
PORNO.exe
Sex.exe
SUCK.exe
wwedivas.exe
XXX.exe

También intenta propagarse por Mirc, enviando el archivo "nude britney.exe", para ello modifica el archivo "mirc.ini".

Cuando se ejecuta se copia con los siguientes nombres:

C:\LSASS.EXE
C:\Documents and Settings\[usuario actual]
\Menú Inicio\SVCHOST-.EXE

Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows:

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
LSA Shell (Export Version) = c:\lsass.exe

Modifica el registro para ejecutarse cada vez que se abre un archivo de texto (.TXT):

HKCR\txtfile\shell\open\command
(Predeterminado) = c:\lsass.exe %1

El gusano descarga un archivo ".ZIP" que contiene una copia de si mismo, este archivo es descargado de un sitio web.

También intenta descargar y ejecutar un archivo que también es una copia del gusano.

Dicho archivo es creado en la siguiente carpeta:

C:\Documents and Settings\[usuario actual]
\Menú Inicio\

Intenta terminar los siguientes procesos relacionados con aplicaciones de seguridad y antivirus:

bbeagle.exe
ccApp.exe
d3dupdate.exe
dap.exe
i11r54n4.exe
irun4.exe
MSBLAST.exe
msblast.exe
mscvb32.exe
navapw32.exe
navw32.exe
netstat.exe
outpost.exe
PandaAVEngine.exe
Penis32.exe
rate.exe
ssate.exe
sysinfo.exe
SysMonXP.exe
taskmon.exe
teekids.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zonealarm.exe

Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos:

127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 grisoft.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com

El gusano deshabilita varias aplicaciones de Windows, como el editor del registro, el bloc de notas, Wordpad, MSN Messenger, la actualización automática de Windows, restauración automática de Windows, cortafuegos de Windows XP, etc.:

Para ello crea o modifica las siguientes entradas en el registro:

HKCU\Software\Microsoft\Windows NT
\CurrentVersion\systemrestore
DisableSR = 1

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoRun = 1

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
DisallowRun = 1

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
1 = regedit.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
2 = notepad.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
3 = wordpad.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
4 = write.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
5 = wuauclt.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
6 = wupdmgr.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
7 = msnmsgr.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
8 = LUALL.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
9 = AUPDATE.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
10 = ALUNOTIFY.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
13 = DAP.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = 1

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = 1

HKCU\Software\Microsoft\security center
FirewallDisableNotify = 1

HKCU\Software\Microsoft\security center
UpdatesDisableNotify = 1

HKCU\Software\Microsoft\security center
AntiVirusDisableNotify = 1

HKCU\Software\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = 1

HKCU\Software\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = 1

HKCU\Software\Policies\Microsoft
\Windows\WindowsUpdate\AU
NoAutoUpdate = 1

HKCU\Software\Policies\Microsoft
\Windows\WindowsUpdate\AU
AUOptions = 1

HKLM\SOFTWARE\speedBit\Download Accelerator
BrowserIntegration = 0

HKLM\SOFTWARE\Microsoft\security center
FirewallDisableNotify = 1

HKLM\SOFTWARE\Microsoft\security center
UpdatesDisableNotify = 1

HKLM\SOFTWARE\Microsoft\security center
AntiVirusDisableNotify = 1

HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = 1

HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = 1

HKLM\SOFTWARE\Policies\Microsoft
\Windows\WindowsUpdate\AU
AUOptions = 1

HKLM\SOFTWARE\Policies\Microsoft
\Windows\WindowsUpdate\AU
NoAutoUpdate = 1

También modifica o crea la siguiente entrada del registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
11 = svchost-.exe

El gusano cambia el nombre de la computadora infectada por el siguiente:

Agent Hacker

Intenta realizar un ataque de denegación de servicio a los siguientes sitios:

www.rohitab.com
www.windowsupdate.microsoft.com

Periódicamente el gusano intenta apagar el equipo infectado.

El gusano crea el archivo "Ahker.F.dat" en el raiz de la unidad C:, este contiene el siguiente texto en su interior:

Don"t blame me, Agent Hacker for creating
these worms. BLAME www.rohitab.com!

También agrega algún tipo texto o dirección url dentro de los archivos del sistema.

El gusano puede descargar y ejecutar un archivo desde un sitio web.

INSTRUCCIONES PARA ELIMINARLO

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

* En Windows 2000 y XP, cambie COMMAND por CMD.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Descargue el archivo "restore.reg" del siguiente enlace:

http://www.enciclopediavirus.com/ima...us/restore.reg

4. Ejecútelo haciendo doble clic sobre él.

5. Reinicie en Modo a prueba de fallos.

6. Busque la siguiente clave del registro:

HKCR\txtfile\shell\open\command

7. Modifique bajo la columna "Nombre", la entrada "(Predeterminado)", para que solo contenga lo siguiente:

(Predeterminado) = NOTEPAD.EXE %1

8. Busque la siguiente clave del registro:

HKCU\Software\Microsoft\Security Center

9. Modifique bajo la columna "Nombre", las siguientes entradas, para que contengan lo siguiente:

AntiVirusDisableNotify = 0
FirewallDisableNotify = 0
UpdatesDisableNotify = 0

10. Busque la siguiente clave del registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer

11. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

NoRun = 0

12. Busque la siguiente clave del registro:

HKCU\Software\Microsoft\Windows NT
\CurrentVersion\systemrestore

13. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

DisableSR = 0

14. Busque la siguiente clave del registro:

HKCU\Software\Policies\Microsoft\Windows
\WindowsUpdate\AU

15. Modifique bajo la columna "Nombre", las siguientes entradas, para que contengan lo siguiente:

NoAutoUpdate = 0
AUOptions = 0

16. Busque la siguiente clave del registro:

HKCU\Software\Policies\Microsoft
\WindowsFirewall\DomainProfile

17. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

EnableFirewall = 0

18. Busque la siguiente clave del registro:

HKCU\Software\Policies\Microsoft
\WindowsFirewall\StandardProfile

19. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

EnableFirewall = 0

20. Busque la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\security center

21. Modifique bajo la columna "Nombre", las siguientes entradas, para que contengan lo siguiente:

DisableNotify = 0
UpdatesDisableNotify = 0
AntiVirusDisableNotify = 0

22. Busque la siguiente clave del registro:

HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\DomainProfile

23. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

EnableFirewall = 0

24. Busque la siguiente clave del registro:

HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\StandardProfile

25. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

EnableFirewall = 0

26. Busque la siguiente clave del registro:

HKLM\SOFTWARE\Policies\Microsoft\Windows
\WindowsUpdate\AU

27. Modifique bajo la columna "Nombre", las siguientes entradas, para que contengan lo siguiente:

AUOptions = 0
NoAutoUpdate = 0

28. Busque la siguiente clave del registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer

29. Elimine bajo la columna "Nombre", la siguiente entrada:

DisallowRun = 1

30. Busque la siguiente clave del registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun

31. Elimine bajo la columna "Nombre", las siguientes entradas:

1 = regedit.exe
2 = notepad.exe
3 = wordpad.exe
4 = write.exe
5 = wuauclt.exe
6 = wupdmgr.exe
7 = msnmsgr.exe
8 = LUALL.exe
9 = AUPDATE.exe
10 = ALUNOTIFY.exe
11 = svchost-.exe
13 = DAP.exe

32. Busque la siguiente clave del registro:

HKLM\SYSTEM\CurrentControlSet
\Control\ComputerName\ActiveComputerName

33. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

ComputerName = [nombre de la computadora]

34. Busque la siguiente clave del registro:

HKLM\SYSTEM\CurrentControlSet\Control
\ComputerName\ComputerName

35. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

ComputerName = [nombre de la computadora]

36. Busque la siguiente clave del registro:

HKLM\SYSTEM\CurrentControlSet
\Services\Eventlog

37. Modifique bajo la columna "Nombre", la siguiente entrada, para que contenga lo siguiente:

ComputerName = [nombre de la computadora]

38. Elimine bajo la columna "Nombre", la entrada "LSA Shell (Export Version)", en la siguiente clave del registro:

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run

39. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

40. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

41. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

42. Acepte guardar los cambios al salir del bloc de notas.

43. Busque y elimine los siguientes archivos:

Britney_porno.exe
Celeb uncensord.exe
Naked Britney.exe
Naked Celebrity.exe
Naked WWE Divas.exe
Nude Britney.exe
PamelaAnderson.exe
Paris Hilton.exe
parishilton.exe
Paris-Hilton.exe
Porn.exe
Porn_Celeb.exe
PORNO.exe
Sex.exe
SUCK.exe
wwedivas.exe
XXX.exe

C:\LSASS.EXE

C:\Documents and Settings\[usuario actual]
\Menú Inicio\SVCHOST-.EXE

44. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Fuente: Enciclopedia Virus
Compartir
  #1  
Creado: 01-Apr-2005, a las 17:08 Vistas: 642
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus


Temas Similares
» VIRUS:  WIN32/MYTOB.CF 0
» VIRUS:  WIN32/MYTOB.BY 0
» VIRUS:  WIN32/MYTOB.BX 0
» VIRUS:  WIN32/MYTOB.BW 0
» VIRUS:  WIN32/MYTOB.BV 0
» VIRUS:  WIN32/MYTOB.BU 0
» VIRUS:  WIN32/ANKER.F 0
» VIRUS:  WIN32/VB.CT 0
» VIRUS:  WIN32/VB.NBN 0
» VIRUS: *WIN32/ANKER.E 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 13:55.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4