VIRUS:  WIN32/VB.CT

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

VIRUS:  WIN32/VB.CT

Compartir

DESCRIPCION

nombre: Win32/VB.CT
aliases: VB.CT, Elipter.D, Email-Worm.Win32.Micsur.a, [email protected], W32/Elitper.D.worm, W32/Elitper-D, W32/[email protected], W32/Generic.m, WIN.SCRIPT.IRC.WORM.Virus, Win32.Elitper.B, Win32.Worm.Elitper.D, Win32/VB.CT, Worm/VB.CT, WORM_ELITPER.D, [email protected], Worm:Win32/Elitper.D, W32/Elitper.D, W32/VB.CT
tipo: Gusano de Internet
fecha: 21/03/2005
gravedad general: Media
distribución: Media
daño: Medio
tamaño: 10,107 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION

Gusano que se propaga por correo electrónico, redes P2P y canales de IRC.

CARACTERISTICAS

Los mensajes que utiliza tienen las siguientes características:

Asunto:

Fwd:Attention

Texto del mensaje:

Download This Update For Removing SP2 Bug

Datos adjuntos:

SP2 Bug Remove.exe

En el caso de redes P2P, el gusano es capaz de propagarse por las siguientes redes de intercambio de archivos entre usuarios:

BearShare
Edonkey2000
Grokster
KaZaA
KaZaA Lite
KMD
Morpheus

En estos casos cuando se ejecuta, se copia en las carpetas compartidas por defecto con los siguientes nombres:

WWE Torrie And Sable Screan Saver.exe
Playboy Screen Saver.exe

El gusano comparte las unidades C, D y E a través de la red.

Finaliza la ejecución de varios procesos conocidos, y modifica el archivo HOSTS para prevenir el acceso a determinados sitios de Internet.

Modifica el registro para prevenir que el usuario realice las siguientes tareas:

Ejecutar programas desde Inicio, Ejecutar
Utilizar el editor del registro
Abrir el Administrador de tareas

El troyano previene la ejecución de ciertas aplicaciones, y deshabilita las siguientes acciones del Internet Explorer:

Cerrar las ventanas de Internet Explorer
Opciones de abrir, grabar e imprimir archivos del IE

Además, deshabilita las notificaciones de actualizaciones y los eventos del Centro de seguridad de Windows XP SP2.

Cambia el nombre de la computadora infectada por el siguiente:

surconfluge

Cuando se ejecuta, crea las siguientes copias de si mismo:

C:\Archivos de programa\Internet Explorer\IExplore .exe
C:\Archivos de programa
\Internet Explorer\SP2 Bug Remove.exe

C:\Archivos de programa\Internet Explorer\WWE DIVAS.exe
C:\Archivos de programa\Windows Media Player
\wmlaunch .exe

[carpeta de inicio]\XPStartUp
C:\Windows\TASKMGR .exe

El archivo "XPStartUp", es una copia del gusano, pero no tiene extensión. Algunos nombres agregan un espacio en blanco antes de la extensión.

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

[carpeta de inicio] es una de las siguientes:

* Windows XP, 2000 (español e inglés)

c:\documents and settings
\all users\menú inicio\programas\inicio

c:\documents and settings
\all users\start menu\programs\startup

c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio

c:\documents and settings
\[nombre usuario]\start menu\programs\startup

* Windows 95, 98, Me (español e inglés)

c:\windows\all users\menú inicio\programas\inicio

c:\windows\all users\start menu\programs\startup

c:\windows\menú inicio\programas\inicio

c:\windows\start menu\programs\startup

c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio

c:\windows\profiles\[nombre usuario]
\start menu\programs\startup

Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
Firewall =
c:\archivos de programa
\Windows Media Player\wmlaunch .exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
Protection =
c:\archivos de programa\Internet Explorer\IExplore .exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SysRes =
c:\archivos de programa\Internet Explorer\WWE DIVAS.exe

También modifica el archivo SCRIPT.INI de la carpeta del mIRC, para propagarse por canales de chat, con el siguiente nombre:

WWE DIVAS.exe

Para ello, se copia en las carpetas compartidas por defecto de estas utilidades, con los siguientes nombres:

WWE Torrie And Sable Screan Saver.exe
Playboy Screen Saver.exe

Modifica la siguiente entrada del registro para asegurarse de compartir la carpeta del KaZaa:

HKCU\Software\Kazaa\LocalContent
DisableSharing = 0

Finaliza la ejecución de las siguientes aplicaciones:

ccapp.exe
DAP.exe
dllhost.exe
iexplore.exe
LSASS.exe
mdm.exe
msgmsgr.exe
regedit.com
smss.exe
SVCHOST.exe
VB6.exe

Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos:

http:/ /oe .msn .msnmail .hotmail .com/cgi-bin/hmdata
http:/ /services .msn .com/svcs/hotmail/httpmail .asp
http:/ /www .microsoft .com
/isapi/redir .dll?prd=ie&ar=hotmail

messenger .hotmail .com
www .about .com
www .altavista .com
www .alltheweb .com
www .download .com
www .emp3finder .com
www .geocities .com
www .google .com
www .guitar-pro .com
www .hdpvidz .com
www .hotmail .com
www .kazaa .com
www .mcafee .com
www .microsoft .com
www .msn .com
www .mysongbook .com
www .nero .com
www .net2phone .com
www .regedit .com
www .rohitab .com
www .roxio .com
www .symantec .com
www .themetsource .com
www .trendmicro .com
www .urbanchaosvideos .com
www .vbcode .com
www .wwe .com
www .yahoo .com

Crea o modifica las siguientes entradas del registro para restringir las funcionalidades del equipo infectado:

HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001

HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableTaskMgr = dword:00000001

HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
DisallowRun = 1

HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
NoRun = dword:00000001

HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
NoFind = dword:00000001

HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
NoCloseKey = 1

HKLM\Software\Microsoft\Security Center
AntiVirusDisableNotify = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = dword:00000001

HKLM\SOFTWARE\Policies\Microsoft\
WindowsFirewall
DomainProfile = dword:00000000

HKLM\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = dword:00000000

HKLM\SYSTEM\CurrentControlSet\Services
\lanmanserver\Shares
Disk = hex(7):43,53,43,46,6c,61,67,73,3d,30,00,
4d,61,78,55,73,65,73,3d,34,32,39,34,39,36,37,32,
39,35,00,50,61,74,68,3d,41,3a,5c,00,50,65,72,6d,
69,73,73,69,6f,6e,73,3d,36,33,00,54,79,70,65,3d,
30,00,00,

HKCU\Software\Policies\Microsoft\
Internet Explorer\Restrictions
NoFileOpen = dword:00000001

HKCU\Software\Policies\Microsoft\
Internet Explorer\Restrictions
NoPrinting = dword:00000001

HKCU\Software\Policies\Microsoft\
Internet Explorer\Restrictions
NoBrowserSaveAs = dword:00000001

HKCU\Software\Policies\Microsoft\
Internet Explorer\Restrictions
NoBrowserClose = dword:00000001

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
1 = notepad.exe
2 = wordpad.exe
3 = regedit.exe
4 = msnmsgr.exe
5 = msmsgs.exe
6 = gp4.exe
7 = help.exe
8 = wmplayer.exe
10 = excel.exe
11 = winword.exe
12 = winhelp.exe
13 = wmplayer.exe
14 = winrar.exe
15 = winzip.exe
16 = CLEAN_NOTEPAD.EXE
17 = ACDSee6.exe
18 = acrord32.exe
19 = ntbackup.exe
20 = moviemk.exe
21 = defrag.exe
23 = netstat.exe
25 = lupdate
26 = shutdown.exe
27 = sndvol32.exe
28 = sndrec32.exe
30 = write.exe
32 = dxdiag.exe
33 = ntbackup.exe
38 = dialer.exe
39 = findstr.exe
40 = dllhost.exe
44 = print.exe
45 = trendmicro.com
46 = UPX-iT.exe
47 = NAVW32.exe
48 = NAVWNT.exe
49 = NAVSTUB.exe
50 = navui.nsi
51 = CCIMSCN.exe
52 = MSDEV.exe
54 = chktrust.exe
55 = apssm.exe
56 = SNDSrvc.exe
57 = NMain.exe
58 = Ra2.exe
59 = vfp6.exe
60 = setup.exe
61 = install.exe
62 = savscan.exe
67 = ad-aware.exe
68 = remove.exe
69 = uninstall.exe
70 = NeroStartSmart.exe
71 = uninst.exe
72 = isuninst.exe
75 = aawsepersonal.exe
76 = avast.exe
78 = keygen.exe
80 = cmd.exe
81 = project1.exe
82 = 1.exe
83 = program.exe
84 = application.exe
85 = file.exe
86 = browser.exe
87 = UNWISE.exe
88 = play.exe
89 = directcd.exe
90 = bind.exe

Impide que los siguientes programas puedan ser ejecutados:

aawsepersonal.exe
ACDSee6.exe
acrord32.exe
ad-aware.exe
application.exe
apssm.exe
avast.exe
bind.exe
browser.exe
CCIMSCN.exe
CLEAN_NOTEPAD.EXE
cmd.exe
chktrust.exe
defrag.exe
dialer.exe
directcd.exe
dllhost.exe
dxdiag.exe
excel.exe
file.exe
findstr.exe
gp4.exe
help.exe
install.exe
isuninst.exe
keygen.exe
lupdate
moviemk.exe
MSDEV.exe
msmsgs.exe
msnmsgr.exe
NAVSTUB.exe
navui.nsi
NAVW32.exe
NAVWNT.exe
NeroStartSmart.exe
netstat.exe
NMain.exe
notepad.exe
ntbackup.exe
play.exe
print.exe
program.exe
project1.exe
Ra2.exe
regedit.exe
remove.exe
savscan.exe
setup.exe
shutdown.exe
sndrec32.exe
SNDSrvc.exe
sndvol32.exe
trendmicro.com
uninst.exe
uninstall.exe
UNWISE.exe
UPX-iT.exe
vfp6.exe
winhelp.exe
winrar.exe
winword.exe
winzip.exe
wmplayer.exe
wmplayer.exe
wordpad.exe
write.exe

Finalmente, también se cambia el nombre de la computadora infectada por "surconfluge".

El gusano libera el siguiente archivo de texto, no malicioso, en el raíz del disco actual:

C:\Virus Detected.txt

Este archivo contiene solo el siguiente texto:

Worm is detected on your computer ([email protected]),

INSTRUCCIONES PARA ELIMINARLO

1. Deshabilitar las carpetas compartidas de programas P2P

2. Descargue el siguiente archivo:

http://www.enciclopediavirus.com/ima...para-vb-ct.vbs

3. Desactive la restauración automática en Windows XP/ME.

4. Reinicie en Modo a prueba de fallos.

5. Ejecute un antivirus actualizado y elimine los archivos infectados.

6. Busque y borre los siguientes archivos:

C:\Virus Detected.txt
C:\Archivos de programa\Internet Explorer\IExplore .exe
C:\Archivos de programa\Internet Explorer
\SP2 Bug Remove.exe

C:\Archivos de programa\Internet Explorer\WWE DIVAS.exe
C:\Archivos de programa\Windows Media Player
\wmlaunch .exe

[carpeta de inicio]\XPStartUp
C:\Windows\TASKMGR .exe

7. Ejecute el archivo "repara-vb-ct.vbs"

8. Reinicie el equipo

9. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

10. Busque la siguiente clave del registro:

HKCU\Software\Microsoft
\Office\[versión]\Outlook

[versión] es el número de versión de Office, por ejemplo 9.0, 10.0, etc.

11. Modifique bajo la columna "Nombre", el contenido de la entrada "Machine Name" por el nombre verdadero de su computadora.

12. Busque la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows NT\CurrentVersion

13. Modifique bajo la columna "Nombre", el contenido de la entrada "RegisteredOwner" por el nombre verdadero de su computadora.

14. Busque la siguiente clave del registro:

HKLM\SYSTEM\CurrentControlSet\Control
\ComputerName\ActiveComputerName

15. Modifique bajo la columna "Nombre", el contenido de la entrada "ComputerName" por el nombre verdadero de su computadora.

16. Cierre el editor del Registro del sistema.

17. Localice el archivo SCRIPT.INI en la carpeta del mIRC, y haga clic en el archivo (se abrirá el bloc de notas con el contenido de SCRIPT.INI).

18. Elimine todas las líneas que hagan referencia al nombre del gusano:

WWE DIVAS.exe

19. Grabe los cambios.

20. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

21. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

22. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

23. Acepte guardar los cambios al salir del bloc de notas.

24. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Fuente: Enciclopedia Virus
Compartir
  #1  
Creado: 22-Mar-2005, a las 16:49 Vistas: 1175
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus


Temas Similares
» VIRUS:  WIN32/MYTOB.CF 0
» VIRUS:  WIN32/MYTOB.BY 0
» VIRUS:  WIN32/MYTOB.BX 0
» VIRUS:  WIN32/MYTOB.BW 0
» VIRUS:  WIN32/MYTOB.BV 0
» VIRUS:  WIN32/MYTOB.BU 0
» VIRUS:  WIN32/MYTOB.BT 0
» VIRUS:  WIN32/OPANKI.B 0
» VIRUS:  WIN32/OPANKI.A 0
» VIRUS:  WIN32/VB.NBN 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 12:31.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4