martes, 1 de abril de 2008

Knowledge Base - Descripción y remoción del virus: W32/Rontokbro@MM

Sí, este virus está muy distribuido aquí en la República Dominicana. Es un gusano que se difunde a través de envió masivo de E-mail, busca direcciones de E-mail en el computador atacado, dentro de archivos con extensiones, .asp, .cfm, .csv, .doc, .eml, .html, .php, .txt, y .wab
Es uno de los presentes aquí en mi trabajo.


Vean una descripcion detallada
Tipo: Gusano
Tamaño: 102,400 Bytes
Origen: Internet
Destructivo: SI
En la calle (in the wild): SI
Descripción del Correo
W32/Rontokbro@MM, .
Asunto: En blanco
Cuerpo:
BRONTOK.A [ By: H[xxxxxx]Community ]
-- Hentikan kebobrokan di negeri ini --Salam Hangat,
Bagi Anda yang mengidolakan artis Dian Sastro atau Tora Sudiro, maka Anda akan segera
terpuaskan, karena sebuah film komedi romantis terbaru mereka (judul film masih dirahasiakan)
telah siap beredar.

Untuk menambah koleksi foto idola Anda, berikut adalah salah satu potongan gambar film
ketika mereka beradegan romantis di sebuah danau, (terlampir pada file "Sample Picture.zip").
Menurut sutradaranya, film tersebut akan beredar dua bulan mendatang dan diperkirakan akan melebihi kesuksesan film-film terdahulu mereka.
Terima kasih,

1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: H[xxxxxx]unity --
Archivo Adjunto: Kangen.exe
--------------------------------
El gusano evita enviarse a si mismo a las direcciones de E-mail que tengan en su nombre los siguientes textos.










Cuando el gusano se ejecuta este copia así mismo dentro de:
%windows%\PIF\CVT.exe %system%\3D Animation.scr %UserProfile%\APPDATA\IDTemplate.exe %UserProfile%\APPDATA\services.exe %UserProfile%\APPDATA\lsass.exe %UserProfile%\APPDATA\inetinfo.exe %UserProfile%\APPDATA\csrss.exe %UserProfile%\Programs\Startup\Empty.pif %UserProfile%\Templates\A.kotnorB.com
Luego crea la siguiente carpeta dentro de:
%UserProfile%\Local Settings\Application Data\Bron.tok-24
Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).

Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Bron-Spizaetus"="%windows%\PIF\CVT.exe"

El gusano modifica los siguientes valores en el registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools"="1"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System "DisableCMD"="2"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoFolderOptions"="1"


Seguidamente adiciona una tarea dentro del programador de tareas "Windows Scheduling" para ejecutar todos los días a las 5:08 pm el siguiente archivo:
%UserProfile%\Templates\A.kotnorB.com

Además sobrescribe el archivo "Autoexec.bat" dentro de la unidad "C:" con el siguiente texto "pause"

Finalmente realiza las siguientes acciones:
1.- Reinicia el computador cuando este detecta una ventana que contenga como titulo uno de los siguientes textos:
2.- Realiza ataques de inundación a los siguientes sitios:
israel.gov.il
playboy.com

Solución
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me.

Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.

Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Shift+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver este vídeo de ayuda que ilustra el proceso.
http://alerta-antivirus.red.es/ayuda/videos/edicion_registro.avi

Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable. Elimine las siguientes entradas del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunTok-Cirrhatus [Carpeta de Usuario]\Local Settings\Application Data\smss.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunBron-Spizaetus[Carpeta de Windows]\ShellNew\sempalong.exe

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonShellExplorer.exe "[Carpeta de Windows]\eksplorasi.exe"

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Fuente: yoreparo.com / Alerta-Antivirus.red.es / ELTECNIQUITO
Knowledge Base

0 comentarios:

My Tweets

Protegelas.com