Tema: virus en el msn!!!!!!!!!!!
Ver Mensaje Individual
  #3 (permalink)  
Antiguo 14/09/2007, 10:46
lunapop
 
Fecha de Ingreso: septiembre-2007
Mensajes: 6
Antigüedad: 16 años, 8 meses
Puntos: 0
Re: virus en el msn!!!!!!!!!!!
Neeris (Peligrosidad: 2 - Baja)

Gusano cuya propagación se realiza mediante los clientes de mensajería instantánea de Microsoft (Windows Live Messenger, MSN Messenger y Windows Messenger) a toda la lista de contactos.

El idioma del mensaje enviado varía según el lenguaje establecido para el equipo, con texto del estilo de los siguientes: "oye voy a poner esa foto de nosotros en mi myspace :->" o "jaja recuerda cuando tuviste el pelo asi".
Junto al mensaje llega un fichero de nombre 'IMG-0012.zip' (o similar).

Abre una puerta trasera en el sistema que permite a un atacante remoto, entre otras acciones, listar/detener procesos, robar información del sistema y descargar/ejecutar código malicioso.


Solución
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de 'Restauración del Sistema' para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Ayuda para utilizar la opción de Restauración en Windows XP.
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar restauración del sistema en Windows Me o en Windows XP.


Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.


Datos Técnicos
Peligrosidad: 2 - Baja Difusión: Baja Fecha de Alta:13-09-2007
Última Actualización:14-09-2007
Daño: Alto
[Explicación de los criterios] Dispersibilidad: Medio

Nombre completo: Worm.W32/Neeris@IM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Tamaño (bytes): 25600
Alias:W32.Neeris (Symantec), TR/Crypt.ULPM.Gen (AVIRA), Win32.Netsky.DAR@mm (Bit Defender), Win32.SdBot.bxr (E-safe Aladdin), Backdoor.Win32.SdBot.bxr (F-Secure), Backdoor.Win32.SdBot.bxr (Kaspersky (viruslist.com)), IRC/SdBot (ESET (NOD32)), W32/SDBot.BAVF (Norman), W32/IRCbot.BEP.worm (Panda Software), W32/Checkoput (McAfee), Trojan.SdBot.bxr (ClamAV), Win32/Weapbot.A (Otros)


Detalles
Cuando Worm.W32/Neeris@IM es ejecutado, realiza las siguientes acciones:
Crea el siguiente fichero %Windir%\system\lsass.exe

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).


Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Valor: "Windows Lsass Services" = "%Windir%\system\lsass.exe"

Para añadirse a sí mismo a la lista de aplicaciones autorizadas por el cortafuegos de Windows, el gusano añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplicat ions\List
Valor: "Predeterminado" = ":*:Enabled:Windows Sharing"

También modifica las siguientes entradas del registro:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions
Valor: "MSNPRC" = "[- ruta_al_ejecutable_del_gusano -]"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l
Valor: "WaitToKillServiceTimeout" = "7000"

El gusano comprueba si los clientes de mensajería instantánea de Microsoft (Windows Live Messenger, MSN Messenger y Windows Messenger) se están ejecutando en el sistema.
En caso de que así sea, envía alguno de los siguiente mensajes a todos los contactos del cliente, variando el idioma para adecuarlo al de la versión de Windows:

En español:
oye voy a poner esa foto de nosotros en mi myspace :->
jaja recuerda cuando tuviste el pelo asi
oye voy a agregar esa foto a mi blog ya
jaja debes poner esa foto como foto principal en tu myspace o algo :D
hola esas son las fotos
esa foto de tu y yo la voy a poner en myspace
voy a poner esa foto de nosotros en mi blog ya
oye ponga esa foto en tu myspace como la foto principal
jajaja yo me recuerdo cuando tuvistes el pelo asi
ay no ese pelo fue lo mas chistoso...q estabas pensando

Otros idiomas: (francés, italiano, alemán, inglés y holandés)
hT je vais mettre cette image de nous sur mon myspace :>
le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci
hT veux tu voir mes image de vacance??
j'ai fais pour toi ce photo album tu dois le voire :p
haha vous devriez rendre ceci votre dTfaut pic sur le myspace ou quelque chose :D
mes photos chaudes :D
dTfaut de la reproduction sonore ! regard a cette vieille image que j'ai trouvTe : |

Here are my private pictures for you
hey i'm going to add this picture of us to my weblog
My friend took nice photos of me.you Should see em loL!
lol remember when you used to have your hair like this
Nice new photos of me and my friends and stuff and when i was young lol...
wanna see the pics from my vacation? :>
Check out my nice photo album. :D


Worm.W32/Neeris@IM también envía una copia de sí mismo junto con el mensaje anterior, con el nombre de fichero 'IMG-0012.zip'.

El archivo anterior se guarda en la siguiente ubicación del sistema afectado:
%Windir%\IMG-0012.zip

Nota: El nombre del fichero puede no coincidir exactamente pero la estructura sería siempre similar: IMG-00XX.zip donde XX corresponde a un número.


Por último, el gusano abre una puerta trasera en el equipo atacado que permite al atacante remoto realizar las siguientes acciones:
Crear procesos.
Listar procesos.
Listar tareas.
Detener la ejecución de procesos.
Actualizarse a sí mismo.
Descargar y ejecutar código potencialmente malicioso.
Mostar listado de acceso al equipo.
Capturar información sensible del sistema (nombre del equipo, versión del Sistema Operativo, etc.).
Mostar el estado del gusano.
Mostrar un listado de servidores.
Cambiar el servidor.


Fuente http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=7124