21/08/2004, 09:27
| |||
| |||
| virus hola. parece ser tengo el virus : C:\WINDOWS\system32\explore32.exe está infectado por Bloodhound.W32.1. (PERMANECE) este es el informe de norton anti virus. lo he buscado en la carpeta correspondiente y no lo he encontrado.tambien lo he buscado con el buscador de xp,y nada. que puedi hacer? no sabia donde poner este mensaje,espero no me haya equivocado. como siempre,gracias. |
|
23/08/2004, 12:44
| |||
| |||
| INFORMACION Gusano escrito en Visual Basic, se envía en forma masiva utilizando el correo electrónico a todos los contactos de la libreta de direcciones de Windows. > CARACTERISTICAS Cuando se ejecuta, se copia a si mismo en ubicaciones y nombres, de forma aleatoria. Mientras permanece en memoria y desde el Explorador de Windows de abra la carpeta donde se este ejecutando para visualizarlo será inútil, ya que el gusano se copia inmediatamente a otra carpeta, borrándose de la actual. También crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), utilizando el siguiente nombre: winfile.exe Cuando se ejecuta por primera vez, se copia con alguno de los siguientes nombres dentro de la carpeta siguiente carpeta: c:\windows\mstray.exe c:\windows\mstray1.exe Si el sistema operativo instalado en el equipo es Windows NT, 2000 o XP, despliega una ventana de error falsa, con el siguiente texto: Warning This File Has Been Damage! Utiliza un icono similar al de las carpetas de Windows, en un intento de engañar al usuario. De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system"). Cuando una ventana queda en primer plano, el gusano puede crear nuevas copias de si mismo, dependiendo del contenido de la barra del título de dicha ventana. Si el título de una ventana activa se refiere a la ubicación actual del gusano, el mismo crea una nueva copia de si mismo en otro directorio seleccionado al azar, con un nombre también al azar. Luego ejecuta la nueva copia y finaliza la anterior. La nueva copia del gusano, a su vez borra el archivo en la carpeta anterior. Si la barra del título de la ventana abierta indica una ubicación diferente, entonces el gusano se copia en esa ubicación con el mismo nombre de la carpeta y atributos de oculto. Si la barra de título no indica un camino, el gusano se copia de la siguiente forma: ABCwinfile.exe ABCcomment.htt ABCdesktop.ini Donde ABC son los primeros tres caracteres de la barra de título de la ventana. Ejemplo: Si el título de la ventana actual es "Mis documentos", entonces se crean los siguientes archivos: Miswinfile.exe Miscomment.htt Misdesktop.ini El .EXE es el propio gusano. El segundo archivo (.HTT), es una plantilla HTML, que incluye un código JavaScript detectado como "JS.Exception.Exploit". Para ejecutarse en cada inicio del sistema crea las siguiente entradas en el registro: HKLM\Software\Microsoft\Windows \CurrentVersion\Run RavTimeXP = [nombre actual del gusano] RavTimXP = [último nombre usado por el gusano] En cada ejecución, crea otra copia de sí mismo con un nombre aleatorio dentro de la carpeta de Windows. Crea la siguiente clave en el registro para guardar su propia configuración: HKLM\Software\Microsoft\Windows \CurrentVersion\Setup RavTimXP Crea la siguiente clave para asegurarse de que aparezca el camino completo en la barra del título del explorador de Windows: HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\CabinetState FullPath = 1 Crea la siguiente clave para que no se muestren las extensiones de los archivos: HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Advanced Hidden = 0 HideFileExt = 1 Se envía a todos los contactos de la libreta de direcciones, en un mensaje como el siguiente, el mensaje contiene textos en chino, mostrados como caracteres extraños en una configuración de Windows en español. Asunto: MS?DOS???? Datos adjuntos: MShelp.EXE Texto del mensaje: (en chino) Donde los caracteres "????" son chinos (o caracteres sin sentido). En algunos casos, puede fallar en su intento. > INSTRUCCIONES PARA ELIMINARLO 1. Desactive la restauración automática en Windows XP o ME. 2. Reinicie Windows en modo a prueba de fallos 3. Busque y borre los siguientes archivos: c:\windows\mstray.exe c:\windows\mstray1.exe 4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema. 5. Elimine bajo la columna "Nombre", la entrada "RavTimeXP" y "RavTimXP", en la siguiente clave del registro: HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Run 6. Elimine bajo la columna "Nombre", la entrada "RavTimeXP" en la siguiente clave del registro: HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Setup 7. Busque la siguiente clave del registro: HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Advanced 8. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "Hidden" a "1" y el de "HideFileExt" = "0" (Hexadecimal) 9. Busque la siguiente clave del registro: HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\CabinetState 10. Pinche en la carpeta "CabinetState" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "FullPath" a "0" (Hexadecimal) 11. Cierre el editor del Registro del sistema 12. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano. |
