Virus: WIN32/DERDERO.A

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

Virus: WIN32/DERDERO.A

Compartir

DESCRIPCION

Nombre: Win32/Derdero.A
Aliases: W32/[email protected], [email protected], [email protected], PE_DERDERO.A
*Tipo: Gusano de Internet
*Fecha: 18/02/2005
*Gravedad general: *Media
*Distribución: * Media
*Daño: *Alto
*Tamaño: 270,336 Bytes
*Destructivo: Si
*Origen: Desconocido
*Nombre asignado por: EnciclopediaVirus.com

INFORMACION

Gusano que se propaga en forma masiva por correo electrónico y redes P2P. Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows. El virus infecta todos los archivos ".EXE" de la unidad C:


CARACTERISTICAS

Cuando el gusano se ejecuta muestra en pantalla una ventana falsa de error con el siguiente texto:

*Error
*Runtime error "4": String out of bounds
*[ OK ]

Crea los siguientes archivos en el equipo infectado:

*C:\Windows\bloodRed.zip
*C:\Windows\System\detroit.txt
*C:\Windows\System\exe64.sys
*C:\Windows\System\SysHeal.exe
*C:\Windows\System\thunk32.exe
*C:\Windows\System\zip64.sys

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

También crea dos archivos en la misma carpeta donde se halla ejecutado:

*[espacios en blanco].exe
*[espacios en blanco].pif

El gusano infecta todos los archivos cuya extensión sea ".EXE" en la unidad C:

Intenta crear los siguientes archivos en carpetas cuyo nombre contenga la cadena "shar":

*Adobe Photoshop 6 Full Version.exe
*Battlefield 1942.exe
*Britney spears naked Playboy.jpeg[espacios en blanco].pif
*DVD Copier.exe
*Hot Teen Porn.mpeg[espacios en blanco].exe
*Internet Explorer 7.exe
*jenna jameson screensver.scr
*Kazaa Lite 2005 Edition.zip[espacios en blanco].pif
*Nero ACID new cd burning and p2p.exe
*NETSKY SOURCE CODE.zip[espacios en blanco].exe
*Norton AntiVirus 2006 BETA.exe
*Snood new version.exe
*Tits.mpeg[espacios en blanco].scr
*Visual Studio.NET.FULL.rar[espacios en blanco].exe
*WinAmp 5 Crack.exe
*Windows Longhorn BETA.iso[espacios en blanco].exe
*Windows XP crack.zip[espacios en blanco].exe
*Windows XP Pro SP2.pif
*WinRAR.exe
*Young teen gets reamed.mpg[espacios en blanco].pif

Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows:

*HKLM\SOFTWARE\Microsoft\Windows
*\CurrentVersion\Run
*32-bit Thunking service = c:\windows\system\thunk32.exe

El gusano crea varios mutex para evitar ejecutarse mas de una vez en memoria.

Obtiene contactos de correo electrónico de la libreta de direcciones de Windows.

Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:

*@avp
*@fsecure
*@hotmail
*@microsoft
*@mm
*@msn
*@noreply
*@norman
*@norton
*@panda
*@sopho
*@symantec
*@virusli

Utiliza su propio motor SMTP, enviándose a todos los contactos obtenidos. El mensaje que utiliza tiene las siguientes características:

De: [dirección falsa] o una de las siguientes

*server
*administration
*management
*service
*userhelp

Asunto: [uno de los siguientes]

*AHKER.C Alert
*Detailed Information
*Malware Avoidance tips
*New Worm Alert
*Server Error
*URGENT PLEASE READ!
*Urgent Update!
*User Information

Texto del mensaje: [uno de los siguientes]

*Your Email account information has been removed
*from the system due to inactivity.
*To renew your account information
*refer to the attachment
*
*We regret to inform you that your account has
*been hijacked and used for illegal purposes.
*The attachment has more information about what has
*happened.
*
*Our Email system has received reports of your
*account flooding email servers.
*There is more information on this matter
*in the attachment
*
*Due to recent internet attacks,
*your Email account security is being upgraded.
*The attachment contains more details
*
*Our server is experiencing some latency
*in our email service. The attachment contains
*details on how your account will be affected.
*
*A new worm is circulating around.
*To protect yourself, read the attached document *

*Please run the urgent patch attached to
*protect yourself from a new worm
*As a service to our users, we have attached
*a note on avoiding malware.

Datos adjuntos: [alguno de los siguientes]

*Account_Information.???
*Details.???
*Gift.???
*Information.???
*Malware_prevention_tips.???
*Patch.???
*Update.???
*Word_Document.???

Donde ".???" es alguna de las siguientes extenciones:

*.bmp.cmd
*.cmd
*.doc.pif
*.exe
*.pif
*.scr
*.txt.exe
*.zip

Si el adjunto es un ".ZIP", este contiene una copia del gusano.

También puede contener otro archivo ".zip" que contiene el propio virus.

Busca si el equipo infectado se encuentra conectado a Internet, accediendo al sitio "www.kazaa.com".

Si el "Administrador de tareas" se encuentra abierto el gusano lo cierra.

Modifica el archivo hosts evitando que el usuario visite los siguientes sitios:

*ca.com
*google.com
*liveupdate.symantec.com
*mcafee.com
*microsoft.com
*nai.com
*norton.com
*windowsupdate.com
*www.ca.com
*www.google.com
*www.mcafee.com
*www.microsoft.com
*www.nai.com
*www.norton.com
*www.sophos.com
*www.windowsupdate.com
*www.yahoo.com
*yahoo.com

Intenta terminar los siguientes procesos relacionados con antivirus y aplicaciones de seguridad:

*agentsvr.exe
*anti-trojan.exe
*antivirus.exe
*ants.exe
*apimonitor.exe
*aplica32.exe
*apvxdwin.exe
*atcon.exe
*atguard.exe
*atro55en.exe
*atupdater.exe
*atwatch.exe
*au.exe
*aupdate.exe
*autodown.exe
*autotrace.exe
*autoupdate.exe
*avconsol.exe
*avgserv9.exe
*avltmain.exe
*avprotect9x.exe
*avpupd.exe
*avserve2.exe
*avsynmgr.exe
*avwupd32.exe
*avxquar.exe
*bd_professional.exe
*bidef.exe
*bidserver.exe
*bipcp.exe
*bipcpevalsetup.exe
*bisp.exe
*blackd.exe
*blackice.exe
*bootwarn.exe
*borg2.exe
*bs120.exe
*ccapp.exe
*cdp.exe
*cfgwiz.exe
*cfiadmin.exe
*cfiaudit.exe
*cfinet.exe
*cfinet32.exe
*clean.exe
*cleaner.exe
*cleaner3.exe
*cleanpc.exe
*cmgrdian.exe
*cmon016.exe
*cpd.exe
*cpf9x206.exe
*cpfnt206.exe
*cv.exe
*cwnb181.exe
*cwntdwmo.exe
*d3dupdate.exe
*defwatch.exe
*deputy.exe
*dpf.exe
*dpfsetup.exe
*drwatson.exe
*drwebupw.exe
*ent.exe
*escanh95.exe
*escanhnt.exe
*escanv95.exe
*exantivirus-cnet.exe
*fast.exe
*firewall.exe
*flowprotector.exe
*fp-win_trial.exe
*frw.exe
*fsav.exe
*fsav530stbyb.exe
*fsav530wtbyb.exe
*fsav95.exe
*gbmenu.exe
*gbpoll.exe
*guard.exe
*hacktracersetup.exe
*htlog.exe
*hwpe.exe
*iamapp.exe
*iamserv.exe
*icload95.exe
*icloadnt.exe
*icmon.exe
*icssuppnt.exe
*icsupp95.exe
*icsuppnt.exe
*ifw2000.exe
*iparmor.exe
*iris.exe
*jammer.exe
*kavlite40eng.exe
*kavpers40eng.exe
*kerio-pf-213-en-win.exe
*kerio-wrl-421-en-win.exe
*kerio-wrp-421-en-win.exe
*killprocesssetup161.exe
*ldpro.exe
*localnet.exe
*lockdown.exe
*lockdown2000.exe
*lsetup.exe
*luall.exe
*lucomserver.exe
*luinit.exe
*mcagent.exe
*mcupdate.exe
*mfw2en.exe
*mfweng3.02d30.exe
*mgui.exe
*minilog.exe
*moolive.exe
*mrflux.exe
*msconfig.exe
*msinfo32.exe
*mssmmc32.exe
*mu0311ad.exe
*nav80try.exe
*navapw32.exe
*navdx.exe
*navstub.exe
*navw32.exe
*nc2000.exe
*ncinst4.exe
*ndd32.exe
*neomonitor.exe
*netarmor.exe
*netinfo.exe
*netmon.exe
*netscanpro.exe
*netspyhunter-1.2.exe
*netstat.exe
*nisserv.exe
*nisum.exe
*nmain.exe
*norton_internet_secu_3.0_407.exe
*npf40_tw_98_nt_me_2k.exe
*npfmessenger.exe
*nprotect.exe
*nsched32.exe
*ntvdm.exe
*nupgrade.exe
*nvarch16.exe
*nwinst4.exe
*nwtool16.exe
*ostronet.exe
*outpost.exe
*outpostinstall.exe
*outpostproinstall.exe
*padmin.exe
*panixk.exe
*pavproxy.exe
*pcc2002s902.exe
*pcc2k_76_1436.exe
*pcciomon.exe
*pcdsetup.exe
*pcfwallicon.exe
*pcip10117_0.exe
*pdsetup.exe
*periscope.exe
*persfw.exe
*pf2.exe
*pfwadmin.exe
*pingscan.exe
*platin.exe
*poproxy.exe
*popscan.exe
*portdetective.exe
*ppinupdt.exe
*pptbc.exe
*ppvstop.exe
*procexplorerv1.0.exe
*proport.exe
*protectx.exe
*pspf.exe
*purge.exe
*pview95.exe
*qconsole.exe
*qserver.exe
*rav8win32eng.exe
*rescue.exe
*rescue32.exe
*rrguard.exe
*rshell.exe
*rtvscn95.exe
*rulaunch.exe
*safeweb.exe
*sbserv.exe
*sd.exe
*setup_flowprotector_us.exe
*setupvameeval.exe
*sfc.exe
*sgssfw32.exe
*shellspyinstall.exe
*shn.exe
*smc.exe
*sofi.exe
*spf.exe
*sphinx.exe
*spyxx.exe
*ss3edit.exe
*st2.exe
*supftrl.exe
*supporter5.exe
*symproxysvc.exe
*sysedit.exe
*taskmon.exe
*taumon.exe
*tauscan.exe
*tc.exe
*tca.exe
*tcm.exe
*tds2-98.exe
*tds2-nt.exe
*tds-3.exe
*tfak5.exe
*tgbob.exe
*titanin.exe
*titaninxp.exe
*tracert.exe
*trjscan.exe
*trjsetup.exe
*trojantrap3.exe
*undoboot.exe
*update.exe
*vbcmserv.exe
*vbcons.exe
*vbust.exe
*vbwin9x.exe
*vbwinntw.exe
*vcsetup.exe
*vfsetup.exe
*virusmdpersonalfirewall.exe
*vnlan300.exe
*vnpc3000.exe
*vpc42.exe
*vpfw30s.exe
*vptray.exe
*vscenu6.02d30.exe
*vsecomr.exe
*vshwin32.exe
*vsisetup.exe
*vsmain.exe
*vsmon.exe
*vsstat.exe
*vswin9xe.exe
*vswinntse.exe
*vswinperse.exe
*w32dsm89.exe
*w9x.exe
*watchdog.exe
*webscanx.exe
*wgfe95.exe
*whoswatchingme.exe
*winrecon.exe
*wnt.exe
*wradmin.exe
*wrctrl.exe
*wsbgate.exe
*wyvernworksfirewall.exe
*xpf202en.exe
*zapro.exe
*zapsetup3001.exe
*zatutor.exe
*zauinst.exe
*zonalm2601.exe
*zonealarm.exe


INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "32-bit Thunking service", en la siguiente clave del registro:

*HKLM\SOFTWARE\Microsoft
*\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Busque y elimine los siguientes archivos:

*Adobe Photoshop 6 Full Version.exe
*Battlefield 1942.exe
*Britney spears naked Playboy.jpeg[espacios en blanco].pif
*DVD Copier.exe
*Hot Teen Porn.mpeg[espacios en blanco].exe
*Internet Explorer 7.exe
*jenna jameson screensver.scr
*Kazaa Lite 2005 Edition.zip[espacios en blanco].pif
*Nero ACID new cd burning and p2p.exe
*NETSKY SOURCE CODE.zip[espacios en blanco].exe
*Norton AntiVirus 2006 BETA.exe
*Snood new version.exe
*Tits.mpeg[espacios en blanco].scr
*Visual Studio.NET.FULL.rar[espacios en blanco].exe
*WinAmp 5 Crack.exe
*Windows Longhorn BETA.iso[espacios en blanco].exe
*Windows XP crack.zip[espacios en blanco].exe
*Windows XP Pro SP2.pif
*WinRAR.exe
*Young teen gets reamed.mpg[espacios en blanco].pif
*C:\Windows\bloodRed.zip
*C:\Windows\System\detroit.txt
*C:\Windows\System\exe64.sys
*C:\Windows\System\SysHeal.exe
*C:\Windows\System\thunk32.exe
*C:\Windows\System\zip64.sys

8. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

*c:\windows\
*c:\windows\system32\drivers\etc\
*c:\winnt\system32\drivers\etc\

9. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

10. Borre todas las líneas que comiencen con un número, salvo las siguientes:

*127.0.0.1 * * localhost

11. Acepte guardar los cambios al salir del bloc de notas.

12. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

* En caso de haber sido infectado con este gusano, y como el mismo elimina archivos en la unidad C:\, se debe reinstalar el sistema operativo y los programas correspondientes, si el sistema operativo no puede ser iniciado o algunos programas no responden.


Compartir
  #1  
Creado: 18-Feb-2005, a las 18:41 Vistas: 423
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus, error win32


Temas Similares
» VIRUS: WIN32/AGOBOT.SV 0
» VIRUS: WIN32/VB.NAS 0
» VIRUS: WIN32/VB.CZ 0
» VIRUS: *WIN32/SUMOM.D 0
» VIRUS: *WIN32/BROPIA.P 0
» VIRUS: *WIN32/MYTOB.F 0
» VIRUS: *WIN32/VB.NBO 0
» VIRUS:  WIN32/VB.NBN 0
» VIRUS: *WIN32/LOONY.L 0
» VIRUS: *WIN32/SOBER.L 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 17:47.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4