W32/Bloored.B. Infecta todos los ejecutables de C:

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

W32/Bloored.B. Infecta todos los ejecutables de C:

Compartir

Descripción *

nombre: Win32/Bloored.B
aliases: W32/Bloored.B, Bloored.B, Derdero.B, Win32/Derdero.B, Email-Worm.Win32.Bloored.b, [email protected], Win32.HLLP.Dermedo
tipo: Gusano
fecha: 21/02/2005
gravedad general: *Media
distribución: * Media
daño: *Alto
tamaño: 81,408 Bytes
destructivo: Si
origen: Desconocido
nombre asignado por: EnciclopediaVirus.com


INFORMACION

Gusano que se propaga en forma masiva por correo electrónico y redes P2P. Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows. El virus infecta todos los archivos ".EXE" de la unidad C:


> *CARACTERISTICAS
Cuando el gusano se ejecuta muestra en pantalla una ventana falsa de error con el siguiente texto:

*Fatal Error
*Can",27h,"t access byte pointer
*[ OK ]

Crea los siguientes archivos en el equipo infectado:

*C:\Windows\System32\lesys.sys
*C:\Windows\System32\lzsys.sys
*C:\Windows\System32\nCalc.exe
*C:\Windows\Ssystem32\ReadMe.2.txt
*C:\Windows\System32\systemDA.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

También crea dos archivos en la misma carpeta donde se halla ejecutado:

*[espacios en blanco].exe
*[espacios en blanco].pif

El gusano infecta todos los archivos cuya extensión sea ".EXE" en la unidad C:

Intenta crear los siguientes archivos en carpetas cuyo nombre contenga la cadena "shar":

*Adobe Photoshop 6 Full Version.exe
*Adobe Photoshop 6 Full Version.exe
*Battlefield 1942.exe
*Britney spears naked Playboy.jpeg[espacios en blanco].pif
*DVD Copier.exe
*Hot Teen Porn.mpeg[espacios en blanco].exe
*Internet Explorer 7.exe
*jenna jameson screensaver.scr
*Kazaa Lite 2005 Edition.zip[espacios en blanco].pif
*NETSKY SOURCE CODE.zip[espacios en blanco].exe
*Norton AntiVirus 2006 BETA.exe
*Snood new version.exe
*Tits.mpeg[espacios en blanco].scr
*Visual Studio.NET.FULL.rar[espacios en blanco].exe
*WinAmp 5 Crack.exe
*Windows Longhorn BETA.iso[espacios en blanco].exe
*Windows XP crack.zip[espacios en blanco].exe
*Windows XP Pro SP2.pif
*WinRAR.exe
*Young teen gets reamed.mpg[espacios en blanco].pif

Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows:

*HKLM\SOFTWARE\Microsoft\Windows
*\CurrentVersion\Run
*System Database administration =
*c:\windows\system32\systemDA.exe

El gusano crea varios mutex para evitar ejecutarse mas de una vez en memoria.

Obtiene contactos de correo electrónico de la libreta de direcciones de Windows.

Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:
*
*@avp
*@fsecure
*@gmai
*@hotmail
*@microsoft
*@mm
*@msn
*@noreply
*@norman
*@norton
*@panda
*@sopho
*@symantec
*@vir
*@virusli

Utiliza su propio motor SMTP, enviándose a todos los contactos obtenidos. El mensaje que utiliza tiene las siguientes características:

De: [dirección falsa] o una de las siguientes

*administration
*management
*server
*service
*support
*userhelp
*virus

Asunto: [uno de los siguientes]

*Hackers on the loose
*Information
*Spyware Alert!
*Virus alert

Texto del mensaje: [uno de los siguientes]

*Hackers are on the loose after recent discovery of the
*KaB exploit. To help protect your computer, read the
*attached file.
*
*A new kind of virus unlike you"ve ever seen is quickly
*spreading. Read the attachment for more
*
*The attached file contains information on how to
*remove most kinds of spyware
*
*Attached is a document with details pertaining on how
*to remove the latest viruses circulating
*
Datos adjuntos: [alguno de los siguientes]

*FixVir.???
*help.???
*info.???
*patch.???
*SpyFix.???

Donde ".???" es alguna de las siguientes extenciones:

*.cmd
*.doc.cmd
*.doc.exe
*.doc.pif
*.exe
*.pif
*.scr
*.txt.exe
*.txt.pif
*.zip

Si el adjunto es un ".ZIP", este contiene una copia del gusano.

También puede contener otro archivo ".zip" que contiene el propio virus.

Busca si el equipo infectado se encuentra conectado a Internet, accediendo al sitio "www.kazaa.com".

Si el "Administrador de tareas" se encuentra abierto el gusano lo cierra.

Modifica el archivo hosts evitando que el usuario visite los siguientes sitios:
*
*ca .com
*google .ca
*google .com
*liveupdate .symantec .com
*mcafee .com
*microsoft .com
*nai .com
*norton .com
*rohitab .com
*securityresponse .symantec .com
*windowsupdate .com
*www .ca .com
*www .google .ca
*www .google .com
*www .mcafee .com
*www .microsoft .com
*www .nai .com
*www .norton .com
*www .rohitab .com
*www .sophos .com
*www .windowsupdate .com
*www .yahoo .com
*yahoo .com

Intenta terminar los siguientes procesos relacionados con antivirus y aplicaciones de seguridad:

*agentsvr.exe
*anti-trojan.exe
*antivirus.exe
*ants.exe
*apimonitor.exe
*aplica32.exe
*apvxdwin.exe
*atcon.exe
*atguard.exe
*atro55en.exe
*atupdater.exe
*atwatch.exe
*au.exe
*aupdate.exe
*autodown.exe
*autotrace.exe
*autoupdate.exe
*avconsol.exe
*avgserv9.exe
*avltmain.exe
*avprotect9x.exe
*avpupd.exe
*avserve2.exe
*avsynmgr.exe
*avwupd32.exe
*avxquar.exe
*bd_professional.exe
*bidef.exe
*bidserver.exe
*bipcp.exe
*bipcpevalsetup.exe
*bisp.exe
*blackd.exe
*blackice.exe
*bootwarn.exe
*borg2.exe
*bs120.exe
*ccapp.exe
*cdp.exe
*cfgwiz.exe
*cfiadmin.exe
*cfiaudit.exe
*cfinet.exe
*cfinet32.exe
*clean.exe
*cleaner.exe
*cleaner3.exe
*cleanpc.exe
*cmgrdian.exe
*cmon016.exe
*cpd.exe
*cpf9x206.exe
*cpfnt206.exe
*cv.exe
*cwnb181.exe
*cwntdwmo.exe
*d3dupdate.exe
*defwatch.exe
*deputy.exe
*dpf.exe
*dpfsetup.exe
*drwatson.exe
*drwebupw.exe
*ent.exe
*escanh95.exe
*escanhnt.exe
*escanv95.exe
*exantivirus-cnet.exe
*fast.exe
*firewall.exe
*flowprotector.exe
*fp-win_trial.exe
*frw.exe
*fsav.exe
*fsav530stbyb.exe
*fsav530wtbyb.exe
*fsav95.exe
*gbmenu.exe
*gbpoll.exe
*guard.exe
*hacktracersetup.exe
*htlog.exe
*hwpe.exe
*iamapp.exe
*iamserv.exe
*icload95.exe
*icloadnt.exe
*icmon.exe
*icssuppnt.exe
*icsupp95.exe
*icsuppnt.exe
*ifw2000.exe
*iparmor.exe
*iris.exe
*jammer.exe
*kavlite40eng.exe
*kavpers40eng.exe
*kerio-pf-213-en-win.exe
*kerio-wrl-421-en-win.exe
*kerio-wrp-421-en-win.exe
*killprocesssetup161.exe
*ldpro.exe
*localnet.exe
*lockdown.exe
*lockdown2000.exe
*lsetup.exe
*luall.exe
*lucomserver.exe
*luinit.exe
*mcagent.exe
*mcupdate.exe
*mfw2en.exe
*mfweng3.02d30.exe
*mgui.exe
*minilog.exe
*moolive.exe
*mrflux.exe
*msconfig.exe
*msinfo32.exe
*mssmmc32.exe
*mu0311ad.exe
*nav80try.exe
*navapw32.exe
*navdx.exe
*navstub.exe
*navw32.exe
*nc2000.exe
*ncinst4.exe
*ndd32.exe
*neomonitor.exe
*netarmor.exe
*netinfo.exe
*netmon.exe
*netscanpro.exe
*netspyhunter-1.2.exe
*netstat.exe
*nisserv.exe
*nisum.exe
*nmain.exe
*norton_internet_secu_3.0_407.exe
*npf40_tw_98_nt_me_2k.exe
*npfmessenger.exe
*nprotect.exe
*nsched32.exe
*ntvdm.exe
*nupgrade.exe
*nvarch16.exe
*nwinst4.exe
*nwtool16.exe
*ostronet.exe
*outpost.exe
*outpostinstall.exe
*outpostproinstall.exe
*padmin.exe
*panixk.exe
*pavproxy.exe
*pcc2002s902.exe
*pcc2k_76_1436.exe
*pcciomon.exe
*pcdsetup.exe
*pcfwallicon.exe
*pcip10117_0.exe
*pdsetup.exe
*periscope.exe
*persfw.exe
*pf2.exe
*pfwadmin.exe
*pingscan.exe
*platin.exe
*poproxy.exe
*popscan.exe
*portdetective.exe
*ppinupdt.exe
*pptbc.exe
*ppvstop.exe
*procexplorerv1.0.exe
*proport.exe
*protectx.exe
*pspf.exe
*purge.exe
*pview95.exe
*qconsole.exe
*qserver.exe
*rav8win32eng.exe
*rescue.exe
*rescue32.exe
*rrguard.exe
*rshell.exe
*rtvscn95.exe
*rulaunch.exe
*safeweb.exe
*sbserv.exe
*sd.exe
*setup_flowprotector_us.exe
*setupvameeval.exe
*sfc.exe
*sgssfw32.exe
*shellspyinstall.exe
*shn.exe
*smc.exe
*sofi.exe
*spf.exe
*sphinx.exe
*spyxx.exe
*ss3edit.exe
*st2.exe
*supftrl.exe
*supporter5.exe
*symproxysvc.exe
*sysedit.exe
*taskmon.exe
*taumon.exe
*tauscan.exe
*tc.exe
*tca.exe
*tcm.exe
*tds2-98.exe
*tds2-nt.exe
*tds-3.exe
*tfak5.exe
*tgbob.exe
*titanin.exe
*titaninxp.exe
*tracert.exe
*trjscan.exe
*trjsetup.exe
*trojantrap3.exe
*undoboot.exe
*update.exe
*vbcmserv.exe
*vbcons.exe
*vbust.exe
*vbwin9x.exe
*vbwinntw.exe
*vcsetup.exe
*vfsetup.exe
*virusmdpersonalfirewall.exe
*vnlan300.exe
*vnpc3000.exe
*vpc42.exe
*vpfw30s.exe
*vptray.exe
*vscenu6.02d30.exe
*vsecomr.exe
*vshwin32.exe
*vsisetup.exe
*vsmain.exe
*vsmon.exe
*vsstat.exe
*vswin9xe.exe
*vswinntse.exe
*vswinperse.exe
*w32dsm89.exe
*w9x.exe
*watchdog.exe
*webscanx.exe
*wgfe95.exe
*whoswatchingme.exe
*winrecon.exe
*wnt.exe
*wradmin.exe
*wrctrl.exe
*wsbgate.exe
*wyvernworksfirewall.exe
*xpf202en.exe
*zapro.exe
*zapsetup3001.exe
*zatutor.exe
*zauinst.exe
*zonalm2601.exe
*zonealarm.exe





INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "System Database administration", en la siguiente clave del registro:

*HKLM\SOFTWARE\Microsoft\Windows
*\CurrentVersion\Run
*
6. Cierre el editor del Registro del sistema.

7. Busque y elimine los siguientes archivos:

*Adobe Photoshop 6 Full Version.exe
*Adobe Photoshop 6 Full Version.exe
*Battlefield 1942.exe
*Britney spears naked Playboy.jpeg[espacios en blanco].pif
*DVD Copier.exe
*Hot Teen Porn.mpeg[espacios en blanco].exe
*Internet Explorer 7.exe
*jenna jameson screensaver.scr
*Kazaa Lite 2005 Edition.zip[espacios en blanco].pif
*NETSKY SOURCE CODE.zip[espacios en blanco].exe
*Norton AntiVirus 2006 BETA.exe
*Snood new version.exe
*Tits.mpeg[espacios en blanco].scr
*Visual Studio.NET.FULL.rar[espacios en blanco].exe
*WinAmp 5 Crack.exe
*Windows Longhorn BETA.iso[espacios en blanco].exe
*Windows XP crack.zip[espacios en blanco].exe
*Windows XP Pro SP2.pif
*WinRAR.exe
*Young teen gets reamed.mpg[espacios en blanco].pif
*C:\Windows\System32\lesys.sys
*C:\Windows\System32\lzsys.sys
*C:\Windows\System32\nCalc.exe
*C:\Windows\Ssystem32\ReadMe.2.txt
*C:\Windows\System32\systemDA.exe

8. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

*c:\windows\
*c:\windows\system32\drivers\etc\
*c:\winnt\system32\drivers\etc\

9. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

10. Borre todas las líneas que comiencen con un número, salvo las siguientes:

*127.0.0.1 * * localhost

11. Acepte guardar los cambios al salir del bloc de notas.

12. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

* En caso de haber sido infectado con este gusano, y como el mismo elimina archivos en la unidad C:\, se debe reinstalar el sistema operativo y los programas correspondientes, si el sistema operativo no puede ser iniciado o algunos programas no responden.
Compartir
  #1  
Creado: 21-Feb-2005, a las 17:40 Vistas: 518
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
ejecutables, infecta, todos


Temas Similares
» Pardona.P. Oculta sus procesos, infecta ejecutables 0
» Drowor.A. Infecta ejecutables, descarga archivos 0
» Pardona.M. Oculta sus procesos, infecta ejecutables 0
» Pardona. Oculta sus procesos, infecta ejecutables 0
» Pardona.F. Oculta sus procesos, infecta ejecutables 0
» Pardona.E. Oculta sus procesos, infecta ejecutables 0
» Viking.NAI. Se propaga por redes, infecta ejecutables 0
» Brof.C. Virus que infecta y sobrescribe ejecutables 0
» Tenga.A. Infecta ejecutables, usa vulnerabilidad RPC 0
» W32/Bloored.C. Infecta todos los ejecutables de C: 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 04:04.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4