Download 20 VIRUS Y SU FORMA DE ELIMINAR 1. WIN32/SPY.BEBLOH.A

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
Document related concepts
no text concepts found
Transcript 
20 VIRUS Y SU FORMA DE ELIMINAR
1. WIN32/SPY.BEBLOH.A
INFORMACION
Troyano que contiene una puerta trasera para ser controlado
remotamente.
> CARACTERISTICAS
Cuando es ejecutado crea una copia de si mismo en la carpeta system32.
Para ejecutarse en cada reinicio del sistema crea la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\userinit.exe
Debugger = [nombre del archivo]
Crea y ejecuta un nuevo hilo en los siguientes procesos:
csrss.exe
svchost.exe
thebat.exe
msimn.exe
iexplore.exe
explorer.exe
myie.exe
firefox.exe
avant.exe
mozilla.exe
maxthon.exe
Puede modificar o crear las siguientes claves del registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\opera.exe
Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\navigator.exe
Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\safari.exe
Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\opera.exe
Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\navigator.exe]
Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\safari.exe
Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\chrome.exe]
Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe
HKLM\SOFTWARE\Microsoft\Windows\Current Version\
Internet Settings\[valor]
El troyano intenta conectarse a los siguientes sitios:
nuomosus.cn/m5/login.php
witosate.cn/m5/login.php
cyboheig.cn/mp/login.php
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
2. WIN32/LOCKSCREEN.JN
INFORMACION
Troyano que bloquea el acceso al sistema operativo del sistema infectado.
> CARACTERISTICAS
Para ejecutarse en cada reinicio del sistema crea las siguientes claves del
registro:
HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"Shell = "Ruta y nombre del archivo"
El troyano muestra en pantalla un mensaje que solicita al usuario que envié
un mensaje de texto a un número específico, de esta forma se le enviara la
clave para ingresar al sistema. La contraseña que permite el acceso puede ser
una de las siguientes:
2364365
1211113
1111112
0023420
5423459
1234563
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del troyano.
3. WIN32/ETAP.E
INFORMACION
Malware que infecta archivos ".exe", ".scr" y "dat" entre
otros.
> CARACTERISTICAS
Cuando se ejecuta busca archivos con alguna de las siguientes extenciones:
.exe
.scr
.dat
.ovl
.cpl
Evita infectar archivos que contengan cualquiera de las siguientes cadenas
en sus nombres:
ANTI
FPA
SC
DR
NO
IE
EX
WO
V
P
Si el nombre de una carpeta comienza con la letra "W", evita infectar su
contenido.
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
4. WIN32/SPY.SWISYN.AC
INFORMACION
Troyano que puede ser controlado en forma remota.
> CARACTERISTICAS
Cuando el malware es ejecutado queda a la espera de comandos remotos.
Intenta conectarse a las siguientes direcciones:
irc.rinet.ru
ftp.narod.ru
Las acciones que puede realizar son las siguientes:
Descargar archivos.
Envíar archivos.
Ejecutar archivos.
Para ejecutarse en cada reinicio del sistema crea la siguiente clave del
registro:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
svchost = [ruta y nombre del malware]
También puede crear los siguientes archivos:
wsu32.dat
from.bin
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a
alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
5. WIN32/WITKINAT.B
INFORMACION
Troyano que descarga otros malwares de internet.
> CARACTERISTICAS
Cuando es ejecutado descarga el siguiente archivo:
C:\Windows\System32\0030.dll
HKCU\Software\Microsoft\Windows NT
\CurrentVersion\Windows
AppInit_DLLs = C:\Windows\System32\0030.dll
CrntDLL = C:\Windows\System32\0030.dll
LoadAppInit_DLLs = 1
HKLM\SOFTWARE\Policies\Microsoft
\Internet Explorer\Main
DEPOff = 1
El malware ejecuta el siguiente proceso y luego muestra en pantalla sitios
que contengan adwares peligrosos para el ordenador:
iexplore.exe
También puede crear los siguientes archivos:
C:\Windows\System32\wexe.exe
C:\Windows\System32\wupd.dat
C:\Windows\System32\work.dat
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
6. WIN32/KWBOT.1_3
INFORMACION
Gusano que se propaga por redes P2P. Contiene una puerta
trasera para ser controlado en forma remota.
> CARACTERISTICAS
Cuando es ejecutado crea el siguiente archivo:
C:\Windows\System32\explorer32.exe
Para ejecutarse en cada reinicio del sistema crea las siguientes claves del
registro:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Windows Explorer Update Build 1142 = explorer32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Explorer Update Build 1142 = explorer32.exe
INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de
eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del
sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de
los nombres anotados en el paso 3, en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del
malware.
7. WIN32/AGENT.OBY
INFORMACION
Troyano que simula clic del ratón en avisos de publicidad
para incrementar las visitas de los mismos.
> CARACTERISTICAS
Cuando es ejecutado crea una copia de si mismo en la siguiente carpeta:
C:\Windows\System32\ntsvc32.exe
Para ejecutarse en cada reinicio del sistema crea la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Winlogon = c:\windows\system32\ntsvc32.exe
Crea y ejecuta un nuevo hilo con su propio código en todos los procesos en
ejecución.
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
8. WIN32/AKUAN.A
INFORMACION
Troyano que obtiene información del equipo infectado.
> CARACTERISTICAS
Cuando es ejecutado crea los siguientes archivos:
C:\Windows\System32\svr.exe
C:\Windows\System32\__gdi.dll
Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el
registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
"gdi" = "C:\Windows\System32\system\svr.exe"
También puede crear las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\akuan
"filenametolog" = "[valor1]"
"sendif" = "[valor2]"
"mailtosend" = "[valor3]"
"sendaftersize" = "[valor4]"
"sendafterday" = "[valor5]"
"lastsenddate" = "[valor6]"
El troyano roba información del equipo infectado, luego la envía por correo
electrónico.
Contiene una dirección especifica que es abierta en el momento de la
infección.
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
9. WIN32/TROJANDOWNLOADER.UNRUY.AB
INFORMACION
Troyano que intenta descargar otros malwares desde internet.
> CARACTERISTICAS
Cuando es ejecutado crea las siguientes entradas del registro para ejecutarse
en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
"*" = "[ruta y nombre]\[nombre aleatorio].exe"
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
"*" = "[ruta y nombre]\[nombre aleatorio].exe"
El malware evita ejecutarse si detecta un proceso con alguna de las
siguientes cadenas de texto en su nombre:
ad-watch
almon
alsvc
alusched
apvxdwin
ashdisp
ashmaisv
ashserv
ashwebsv
avcenter
avciman
avengine
avesvc
avgnt
avguard
avp
bdagent
bdmcon
caissdt
cavrid
cavtray
ccapp
ccetvm
cclaw
ccproxy
ccsetmgr
clamtray
clamwin
counter
dpasnt
drweb
firewalln
fsaw
fsguidll
fsm32
fspex
guardxkickoff
hsock
isafe
kav
kavpf
kpf4gui
kpf4ss
livesrv
mcage
mcdet
mcshi
mctsk
mcupd
mcupdm
mcvs
mcvss
mpeng
mpfag
mpfser
mpft
msascui
mscif
msco
msfw
mskage
msksr
msmps
mxtask
navapsvc
nip
nipsvc
njeeves
nod32krn
nod32kui
npfmsg2
npfsvice
nscsrvce
nvcoas
nvcsched
oascl
pavfnsvr
PXAgent
pxagent
pxcons
PXConsole
savadmins
savser
scfmanager
scfservice
scftray
sdhe
sndsrvc
spbbcsvc
spidernt
spiderui
spysw
sunprotect
sunserv
sunthreate
swdoct
symlcsvc
tsanti
vba32ldr
vir.exe
vrfw
vrmo
vsmon
vsserv
webproxy
webroot
winssno
wmiprv
xcommsvr
zanda
zlcli
zlh
Roba información y luego enviarla a un equipo remoto.
También puede ejecutar las siguientes acciones:
Descargar archivos
Ejecutar archivos
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
10.
WIN32/YURIST
INFORMACION
Troyano que roba información del equipo infectado.
> CARACTERISTICAS
Cuando es ejecutado crea una copia de si mismo en la siguiente carpeta:
C:\Windows\System32\xflash.exe
Se registra como un servicio utilizando el nombre "xflash"
Para ejecutarse en cada reinicio del sistema crea la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
xflash" = "xflash.exe
El malware roba información relacionada con las siguientes aplicaciones:
Miranda
Trillian
ICQ
También puede obtener los siguientes datos del equipo:
Versión del sistema operativo
Dispositivos conectados
Información del ordenador
Cuentas de correo electronico
Cuentas de FTP
Dicha información es enviada a un sitio predeterminado.
El troyano también puede descargar y ejecutar otros archivos de Internet.
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
11.
WIN32/FESBER.A
INFORMACION
Gusano que se copia repetidas veces en el equipo infectado.
> CARACTERISTICAS
Cuando es ejecutado el malware intenta copiarse en la carpeta temporal.
En dicha carpeta se copia con el siguiente nombre:
tmp[valor aleatorio].exe
Luego el archivo es ejecutado.
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
12.
WIN32/ZAKA.N
INFORMACION
Gusano que se propaga por redes de archivos compartidos
P2P.
> CARACTERISTICAS
Cuando se ejecuta crea una copia de si mismo en la siguiente carpeta:
C:\Windows\sendto\Kilme.exe
C:\Windows\all users\menu inicio\programas\inicio\Killl.e
Crea de copias de si mismo en el raiz de las unidades disponibles con el
nombre "Killme.exe"
Se propaga por redes P2P como Kazaa copiandose en la carpeta compartida
de dicha aplicación con alguno de los siguientes nombres:
Kaboomall Openthisone.exe
Kazaaa Kaboon_new_version_en.exe
My_Sister_Naked!!!.exe
Naked_teen_new!.exe
ry_teen_girl_new.exe
ry_teen_girl_new.exe
Cool_sexys!!.exe
Porn_Teens_noy_censured.exe
Kaza.exe
XXX_teen_Girl.exe
Killall!.exe
Puede mostrar el siguiente mensaje cuando es ejecutado:
Error?????????????
Para ejecutarse en cada reinicio del sistema crea la siguiente clave del
registro:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
[nombre del archivo] = [ruta y nombre del archivo]
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del malware.
13.
SWF/EXPLOIT.CVE-2007-0071
INFORMACION
Detección de ESET NOD32 para el exploit que aprovecha
una vulnerabilidad en Flash Player.
> CARACTERISTICAS
El exploit aprovecha una vulnerabilidad de desbordamiento de búfer que
puede ser explotada de forma remota. Un atacante puede sacar provecho de
este problema para ejecutar un código malicioso en el equipo del usuario.
Para que la explotación sea exitosa, el usuario debe tener instalada en su PC
cualquier versión de Adobe Flash Player anterior a la 9.0.124.0.
> INSTRUCCIONES PARA ELIMINARLO
1. Ejecute un antivirus actualizado y elimine los archivos infectados.
14.
WIN32/AUTORUN.AB
INFORMACION
Gusano que se carga al inicio del sistema, y puede ejecutarse cada vez que se
accede a una unidad de disco o se inserta una unidad extraíble (por ejemplo,
memoria USB).
> CARACTERISTICAS
Al ejecutarse puede crear los siguientes archivos:
c:\windows\system32\logon.bat
c:\windows\system32\config\autorun.inf
c:\windows\system32\config\[nombre].exe
También crea el siguiente archivo:
?:\autorun.inf
Donde "?:" es una letra de unidad de disco, de la "E:" en adelante.
El archivo "logon.bat", y los archivos "autorun.inf" creados, tienes las
instrucciones para ejecutar a "[nombre].exe".
El virus crea la siguiente entrada en el registro para autoejecutarse en cada
reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Worms = "c:\windows\system32\logon.bat"
Las siguientes entradas también son creadas o modificadas, algunas de ellas
para desactivar algunas herramientas de Windows como el Editor del
Registro y el Administrador de Tareas de Windows, otras como para
eliminar la entrada Opciones de carpetas del menú de herramientas del
Explorador de Windows y del Panel de Control, y para esconder los archivos
con atributos de sistema y sus extensiones, todo ello con la intención de
dificultar su detección:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchSystemDirs = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
HideFileExt = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
ShowSuperHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
SuperHidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoFolderOptions = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoDriveTypeAutoRun = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegedit = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegistryTools = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableTaskMgr = "1"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "1"
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en las siguientes claves del
registro:
HKCU\Software\Microsoft
\Windows\CurrentVersion
\Explorer
HKCU\Software\Microsoft
\Windows\CurrentVersion
\Explorer\Advanced
HKCU\Software\Microsoft
\Windows\CurrentVersion
\Policies\Explorer
HKLM\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Winlogon
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion
\RunOnce
HKLM\SYSTEM\CurrentControlSet
\Services\SharedAccess
5. Cierre el editor del Registro del sistema.
6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del troyano.
15.
WIN32/MUMAWOW.C
INFORMACION
Infector de ejecutables y descargador de archivos de Internet. Puede
propagarse a través de recursos compartidos de redes.
> CARACTERISTICAS
Cuando se ejecuta, intenta infectar todos los archivos con extensión .EXE
dentro de la carpeta de "Archivos de programa" (o "Program Files"), y de la
carpeta "dllcache" dentro de "c:\windows\system32\".
También crea la siguiente copia de si mismo:
c:\windows\system32\logo_1.exe
Los siguientes archivos también pueden ser creados:
\Temp\[nombre al azar].dll
Crea la siguiente entrada en el registro para ejecutarse en cada reinicio del
sistema:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
logg = "logo_1.exe"
Luego, intenta descargar y ejecutar otros malwares desde sitios de Internet
predeterminados. Algunos de los archivos pueden tener el mismo nombre
que programas legítimos de Windows, como por ejemplo SVCHOST.EXE.
Puede deshabilitar diversos programas y los siguientes procesos, todos
relacionados con la seguridad (antivirus, etc.):
avp.exe
eghost.exe
iparmor.exe
kav32.exe
kavpfw.exe
kavsvc.exe
kavsvcui.exe
kregex.exe
kvfw.exe
kvmonxp.kxp
kvsrvxp.exe
kvwsc.exe
kvxp.kxp
kwatchui.exe
mailmon.exe
navapsvc.exe
navw32.exe
nmain.exe
pfw.exe
ravmon.exe
ravmon.exe
ravmonclass
ravmond.exe
ravtimer.exe
ravtimer.exe
rising.exe
thguard.exe
trojanhunter.exe
trojdie.kxp
uihost.exe
yassistse.exe
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del troyano.
16.
WIN32/SPY.WEBMONER.NAM
INFORMACION
Troyano que roba información almacenada en las máquinas
de los usuarios del servicio WebMoney.
> CARACTERISTICAS
WebMoney es un sistema global de pago disponible para usuarios de
cualquier parte del mundo, y es utilizado tanto para uso particular como para
negocios, ya que permite enviar y recibir pagos de dinero en forma
inmediata.
Aeste troyano suele estar disfrazado como alguna clase de aplicación.
Cuando se ejecuta crea un par de archivos en el sistema, y una clave en el
registro para autoejecutarse en cada reinicio.
Permanece en memoria monitoreando las acciones del usuario. Cuando éste
accede a cualquier ventana con nombre "WebMoney", captura toda la
información ingresada, y la almacena en un archivo que en forma periódica,
es enviado por correo electrónico al autor del troyano.
> INSTRUCCIONES PARA ELIMINARLO
1. Ejecute un antivirus actualizado y elimine los archivos infectados.
2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
3. Elimine bajo la columna "Nombre", la entrada "load32", en la siguiente
clave del registro:
4. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en la siguiente clave del
registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
5. Cierre el editor del Registro del sistema.
6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del troyano.
17.
WIN32/SOHANAD.NBO
INFORMACION
Troyano descargado por otro malware de Internet (al
momento actual Win32/TrojanDownloader-Autoit-Q), el cuál
es utilizado para capturar todo lo que el usuario ingresa a
través del teclado.
> CARACTERISTICAS
Puede propagarse a través de programas de mensajería instantánea como
AOL Instant Messenger, Windows Live Messenger, Windows Messenger y
Yahoo Messenger, enviando mensajes con enlaces a todas las listas de
contacto del usuario infectado.
Si el usuario hace clic en el enlace, se descarga y ejecuta el malware
propiamente dicho, desde determinados sitios de Internet.
También puede copiarse en disquetes y unidades removibles (memorias
USB, etc.), infectando otros equipos por esos medios.
Los siguientes archivos pueden crearse en un equipo infectado:
c:\windows\hinhem.scr
c:\windows\scvshosts.exe
c:\windows\system32\blastclnnn.exe
c:\windows\system32\scvshosts.exe
c:\windows\system32\autorun.ini
X:\[nombre del ejecutable]
Donde "X" es una unidad de disquete, CD, o cualquier unidad mapeada en
red.
También crea el siguiente archivo de tarea programada (.JOB), para
ejecutarse todos los días a las 9 de la mañana:
c:\windows\tasks\at1.job
Las siguientes entradas en el registro son creadas o modificadas:
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
NofolderOptions = 0x00000001
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 0x00000001
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 0x00000001
Esos cambios eliminan la opción de carpetas de los menús del Explorador de
Windows y del Panel de control, y previenen que se inicie el Administrador
de tareas y el editor del registro.
También crea o modifica las siguientes entradas para autoejecutarse en cada
reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger = "c:\windows\system32\scvshosts.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe scvshosts.exe"
Los siguientes sitios y archivos pueden ser contactados por el troyano:
http: // settin[??]. yeahost.com/setting.doc
http: // settin[??]. yeahost.com/setting.xls
http: // settin[??]. 9999mb.com/setting.doc
http: // settin[??]. 9999mb.com/setting.xls
http: // www. freewebs. com/settin[??]/setting.doc
http: // www. freewebs. com/settin[??]/setting.xls
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia
a alguno de los nombres anotados en el paso 3, en las siguientes claves del
registro:
HKCU\Software\Microsoft
\Windows\CurrentVersion
\Run
HKLM\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Winlogon
5. Cierre el editor del Registro del sistema.
6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del troyano.
18.
WIN32/VIRUT.O
INFORMACION
Se trata de un virus de código encriptado, que infecta
archivos .EXE y .SCR de Windows.
> CARACTERISTICAS
Cuando un archivo infectado se ejecuta, el virus permanece en memoria, e
intenta infectar todo archivo con las extensiones antes mencionadas, que sea
accedido por cualquier otro proceso del sistema.
No infecta aquellos archivos cuyos nombres contengan alguna de las
siguientes cadenas de texto:
psto
wc32
wcun
winc
Además, posee características de caballo de Troya, siendo capaz de abrir una
puerta trasera en el equipo infectado, conectándose a un canal específico de
un servidor de IRC, desde donde puede recibir comandos de un usuario
remoto.
A través de esa conexión, el troyano también intentará descargar y ejecutar
un archivo desde Internet.
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del troyano.
19.
WIN32/SNDOG.A
INFORMACION
Gusano que se propaga por correo electrónico y redes P2P. Utiliza un mensaje
en español.
> CARACTERISTICAS
Cuando el gusano se ejecuta crea una copia de si mismo dentro de la
siguiente carpeta:
C:\Windows\csrss.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y
"c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32",
"c:\windows\system").
También crea varias copias de si mismo dentro de la carpeta
C:\WINDOWS\TEMP con los siguientes nombres:
Ave.exe
Broma.exe
Corsa.exe
Doors.exe
HuevoHussein.exe
Huevomaniaco.exe
liame.vbs
Pkzip.exe
Program.exe
Proyecto.exe
Setup1.exe
Unzip.exe
La ubicación de la carpeta "TEMP" puede ser:
En Windows 9x/ME:
c:\windows\TEMP
En Windows NT, XP, 2000 y Server 2003:
c:\documents and settings\[usuario]\local settings\TEMP
Intenta crear en la unidad A: una copia de si mismo con alguno de los
siguientes nombres:
ac&dc.exe
archivos.exe
Files.exe
media.exe
mono mario.exe
presentacion.exe
source.exe
Busca el todas las unidades de disco archivos cuya extensión sea .ZIP, si
Winzip se encuentra instalado en el equipo el gusano agrega alguno de los
archivos antes mencionados a todos los .ZIP.
El gusano busca los siguientes servicios pertenecientes a aplicaciones P2P:
EDonkey
P2P Edonkey
kazaa
morpheus
iMesh
BearShare
Grokster
Edonkey2000
Si alguno de dichos servicios es encontrado crea una copia de si mismo
dentro de la carpeta compartida por dichas aplicaciones con alguno de los
siguientes nombres:
Crack de winzip 9
Crack MusicMatch Jukebox 9
Delphi all versions keygen
Emurayden Xp
Half life Keygenerator
Half life opossing force crack
HLKeygenerator
Kazaa lite
Kazaa lite ++
Kazaa lite 2_3_5
Kazaa lite 3_1_0
Keygenerator
Keygenerator Office Xp
Mcafee Antivirus Scan Crack
McAfee Scan keygen
Messenger Plus
MSN Plus
MSN Poligammy for 6.x
Musicmatch 9.x crack
NAV Keygenerator
Neoragex parche para Kof2003
Norton Antivirus 2004 keygen
Office Xp crack
Opossing crack
Panda Antivirus Titanium Keygenrator for all versions
PAT Keygen
Poligammy for MSN 6.x
Setup
Visual Basic keygenerator
Windows Xp Home serial number
Windows Xp Profesional serial number
WinXp Home KeyGenerator
WinXp Profesional Serials
Para ejecutarse en cada inicio del sistema crea la siguiente entrada en el
registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Shockwave = c:\windows\csrss.exe
También modifica la página de inicio del Internet Explorer.
El gusano se envía a todos los contactos encontrados en la libreta de
direcciones.
Utiliza un mensaje con las siguientes características:
Asunto:[Alguno de los siguientes]
Fw: Romeo y Julieta
Fw: Huevo cartoon
Fw: El mono mario
Fw: la felicidad
Fw: La academia
Fw: Big brother Vip 3
Te adoro
Fw: que tanto quieres a tu amigo
Fw: Test de tenga a tu novio (a)?
Fw: tips para tirar choros a las chavas
Fw: Como saber si tienes un admirador secreto
Aviso Importante
Fw: Snoopy
Fw: ana_patricia@hotmail.com
Fw: nuevo programa para bajar musica
Fw: Antagonistas
Texto del mensaje:[Texto en español, cambia según el asunto]
Datos adjuntos:[Alguno de los archivos mencionados anteriormente]
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y elimine los archivos infectados.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.
5. Elimine bajo la columna "Nombre", la entrada "Shockwave", en la
siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del gusano.
Cambie la página de inicio del Internet Explorer desde Herramientas,
Opciones de Internet, General, Página de inicio, por una de su preferencia (o
pinche en "Página en blanco"). O navegue hacia una página de su agrado,
pinche en Herramientas, Opciones de Internet, General, y finalmente pinche
en "Usar actual".
20.
ALS/BURSTED
INFORMACION
Virus escrito para el lenguaje AutoLISP de AutoCAD.
> CARACTERISTICAS
El virus se replica en un archivo separado, llamado ACAD.LSP, que es
ejecutado automáticamente por AutoCAD.
ACAD.LSP se localiza en el mismo directorio de los DWG. Cuando un
DWG es abierto, AutoCAD carga y ejecuta el contenido de ACAD.LSP.
El virus se copia a si mismo en el directorio de soporte de AutoCAD como
ACADAPP.LSP.
Agrega un comando de carga al archivo ACAD.LSP en el mismo directorio,
de modo que el virus se ejecuta cada vez que AutoCAD es iniciado.
Después, se copiará en cada directorio en que el usuario abra archivos
DWG, con el nombre ACAD.LSP.
El virus se engancha a tres comandos internos de AutoCAD,
deshabilitándolos.
El virus define un nuevo comando BURST que despliega el siguiente
mensaje:
BURST----½"ͼ¿éÖеÄÎÄ×ÖÕ¨¿ªºó³ÉΪʵÌå
En la primera de las variantes, BURST [DESCBLQ], está disponible en el
menú Express -> Blocks -> Explode, y sirve para "explotar" bloques,
convirtiendo los valores de los atributos en texto. Cuando el usuario intenta
acceder a este comando, recibe el siguiente mensaje:
was not able to be explode
En el segundo caso, reemplaza el comando ATTEDIT con uno falso, que le
pide al usuario seleccionar objetos (Select objects:), y entonces muestra un
mensaje diciendo que no se ha encontrado ninguno (Seltct objects: ?found),
donde "?" es un número. Finalmente muestra otro mensaje diciendo que el
objeto "?" no está disponible (? was not able to be attedit).
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y elimine los archivos infectados.
4. Reinicie el equipo.
Al reiniciar AutoCAD el archivo ACAD.LSP global puede mostrar un error.
El mismo debe ser editado para eliminar las llamadas a los archivos LSP
infectados que fueron eliminados.
CLASIFICACION DE LOS VIRUS
La primera clasificación que se hizo fue :
Caballos de
Troya
Programa de aspecto inocente, que en realidad tiene una actividad
nefasta.
Bombas de
Tiempo
Explotan en un día exacto
Polillas y
Gusanos
En realidad no son virus aunque se les considera como
tales.Introducen caracteres basura en pantalla, documentos y archivos
de trabajo.
En la actualidad hay más de 14,000 tipos de virus y se pueden clasificar por su
comportamiento, origen o tipo de archivo que atacan, y por lugar donde atacan y daño
que hacen.
En la PC hay varias clasificaciones, pero esencialmente existen 2 grandes familias de
virus:
1. Los de Programa de Arranque. -sustituyen ya sea al programa de arranque
de un disco flexible o en un disco duro al programa maestro de arranque o al
programa de arranque de la partición DOS.
Una vez que el virus tiene el control, determinana si han sido cargados desde
disco flexible y en ese caso infectan al disco duro. Posteriormente se aloja en
la memoria para poder infectar los discos flexibles.
Ejemplos:
a. Ping-Pong.- no es peligroso y tiene 1 byte conteniendo el número de
versión. Genera un efecto de ping-pong en la pantalla.
b. Hacked Ping-Pong.- Destruye los primeros 8 sectores de un disco
flexible.
c. SeeYou family.- virus dañino residente encriptado en memoria, infectan
el sector de arranque de la unidad C: y discos flexibles. De acuerdo a la
fecha del sistema eliminan sectores del disco y despliga uno de los
mensajes:
See you later ...
Happy birthday, Populizer !
2. Los de Programas Ordinarios. Conocidos como virus contaminadores de
archivos ejecutables (.exe, .com),hay de varios tipos.
a. Los conocidos como acompañantes que son programas ".com" que se
autocopian con el mismo nombre de algún programa ".exe".
b. Otros se añaden al final del archivo ejecutable ".com", y luego
sustituyen los primeros bytes del archivo por una instrucción de salto
para enviarle el control al virus.
Ejemplos
o
o
Natas.4744 .- es de sobreescritura, se encripta y se encuentra residente
en la memoria. Infecta archivos ".com" y ".exe", así como el sector de
arranque de los discos flexibles y registros principales de inicio de
discos duros (MBR).
Flip .- infecta archivos .COM, .EXE, y .OVL , incluyendo el
COMMAND.COM, también altera el MBR y sector de arranque de
discos duros.
Los virus de Mac se pueden clasificar en:
1. Infectores específicos de sistemas y archivos Mac.
Ejemplos:
a. AIDS.- infecta aplicaciones y archivos de sistema.
b. CDEF.- infecta archivos del escritorio.
2. Infectores HiperCard.
Ejemplos:
a. Dukakis.- despliega el mensaje Dukakis para presidente.
b. MerryXmas. - En ejecución infecta el sector de inicio de la memoria, que
a su vez infecta otros sectores en uso. Esto ocaciona caida del sistema
y otras anomalías.
3. Mac Trojans.
Ejemplos:
a. ChinaTalk . - supuestamente es un controlador de sonido, pero borra
carpetas.
b. CPro. - supuestamente es una actualización de Compact Pro, pero
intenta dar formato a los dicos montados.
4. Macro virus.
Virus que manejan cadenas de texto en un documento, pueden trabajar igual
en una Macintosh como en una PC. Desde que Word 6.x para Macintosh
soporta macros de WordBasic, es vulnerable a ser infectado por macro virus, y
generar documentos infectados.Cualquier aplicación para Macintosh que
soporte Visual Basic también serán vulnerables.
Ejemplo:
a. W97M/Remplace.b.- Consiste de 17 macros en un módulo llamado
akrnl. Utiliza un archivo temporal c:\Étudiant.cfg para copiar su código.
Desactiva la protección de Macro Virus, deshabilita las opciones de
Macros, Plantillas y Editor de visual Basic.
FORMAS DE INFECCIÓN DE LOS VIRUS
Antes que nada, hay que recordar que un virus no puede ejecutarse por si solo, necesita
un programa portador para poder cargarse en memoria e infectar; asimismo, para poder
unirse a un programa portador necesita modificar la estructura de este, para que durante
su ejecución pueda realizar una llamada al código del virus.
Las partes del sistema más susceptibles de ser infectadas son el sector de arranque de
los disquetes, la tabla de partición y el sector de arranque del disco duro, y los ficheros
ejecutables (*.EXE y *.COM). Para cada una de estas partes tenemos un tipo de virus,
aunque muchos son capaces de infectar por sí solos estos tres componentes del sistema.
En los disquetes, el sector de arranque es una zona situada al principio del disco, que
contiene datos relativos a la estructura del mismo y un pequeño programa, que se
ejecuta cada vez que arrancamos desde disquete.
En este caso, al arrancar con un disco contaminado, el virus se queda residente en
memoria RAM, y a partir de ahí, infectará el sector de arranque de todos los disquetes a
los que se accedan, ya sea al formatear o al hacer un DIR en el disco, dependiendo de
cómo esté programado el virus.
El proceso de infección consiste en sustituir el código de arranque original del disco por
una versión propia del virus, guardando el original en otra parte del disco; a menudo el
virus marca los sectores donde guarda el boot original como en mal estado,
protegiéndolos así de posibles accesos, esto suele hacerse por dos motivos: primero,
muchos virus no crean una rutina propia de arranque, por lo que una vez residentes en
memoria, efectúan una llamada al código de arranque original, para iniciar el sistema y
así aparentar que se ha iniciado el sistema como siempre, con normalidad. Segundo, este
procedimiento puede ser usado como técnica de ocultamiento.
Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de
arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el resto lo
guarda en otros sectores del disco, normalmente los últimos, marcándolos como
defectuosos. Sin embargo, puede ocurrir que alguno de los virus no marquen estas
zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y así dejar de
funcionar el virus.
La tabla de partición esta situada en el primer sector del disco duro, y contiene una
serie de bytes de información de cómo se divide el disco y un pequeño programa de
arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de
partición suplanta el código de arranque original por el suyo propio; así, al arrancar
desde disco duro, el virus se instala en memoria para efectuar sus acciones. También en
este caso el virus guarda la tabla de partición original en otra parte del disco, aunque
algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de
partición y a ellos mismos en los últimos sectores de disco, y para proteger esta zona,
modifican el contenido de la tabla para reducir el tamaño lógico del disco. De esta
forma el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona
existe.
Casi todos los virus que afectan la partición también son capaces de hacerlo en el boot
de los disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de
disco duro tendría un campo de trabajo limitado, por lo que suelen combinar sus
habilidades.
Con todo, el tipo de virus que más abunda es el de fichero; en este caso usan como
vehículo de expansión los archivos de programa o ejecutables, sobre todo .EXE y
.COM, aunque también a veces .OVL, .BIN y .OVR. AL ejecutarse un programa
infectado, el virus se instala residente en memoria, y a partir de ahí permanece al
acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es
así, se adhiere al archivo ejecutable, añadiendo su código al principio y al final de éste,
y modificando su estructura de forma que al ejecutarse dicho programa primero llame al
código del virus devolviendo después el control al programa portador y permitiendo su
ejecución normal.
Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el
archivo, ya que éste aumenta de tamaño al tener que albergar en su interior al virus,
siendo esta circunstancia muy útil para su detección. De ahí que la inmensa mayoría de
los virus sean programados en lenguaje ensamblador, por ser el que genera el código
más compacto, veloz y de menor consumo de memoria; un virus no seria efectivo si
fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de
trabajo o por un aumento exagerado en el tamaño de los archivos infectados. No todos
los virus de fichero quedan residentes en memoria, si no que al ejecutarse se portador,
éstos infectan a otro archivo, elegido de forma aleatoria de ese directorio o de otros.
Los efectos perniciosos que causan los virus son variados; entre éstos se encuentran el
formateo completo del disco duro, eliminación de la tabla de partición, eliminación de
archivos, ralentización del sistema hasta limites exagerados, enlaces de archivos
destruidos, archivos de datos y de programas corruptos, mensajes o efectos extraños en
la pantalla, emisión de música o sonidos.
QUE ES UN ESPIA INFORMATICO
Spyware se los llama a los programas espía que transmite información personal a
algún sitio de Internet o usuario. Quizás dirá -No me importa no tengo nada que
ocultar, bueno, si no tiene e-mail, y no utiliza ninguna contraseña, puede ser que no
tenga ninguna información que ocultar pero que tal el hecho de que baja el
rendimiento de su pc y ni hablar cuando se van acumulando programas spyware, que
revisan las cosas que hace, para encontrar el dato que le interese. Se ejecutan todos
estos programas espías que va acumulando y baja mucho el rendimiento de la pc y
hasta llega un momento en que deja de andar el sistema operativo por algún conflicto
error o virus.
Adware. Es una especie de variación de spyware, relacionado con la publicidad, por
ejemplo un adware puede hacer que una vez de halla detectado el tipo de páginas que
suele visitar le muestre cada vez que abre el Internet Explorer una publicidad sobre
una empresa y esta publicidad se carga una y otra vez restando velocidad y siendo
molesta ya que se muestra una y otra vez.
"El software publicitario suele ser un efecto secundario del software espía ya que
ambos monitorizan la actividad del usuario con un único objetivo: enviarle publicidad
personalizada de acuerdo a sus hábitos." spybot
"Otro tipo de software que se detecta bajo la categoría del software espía son las
cookies de seguimiento. Las cookies se utilizan en muchos sitios de internet con
mayor o menor utilidad. Las empresas de publicidad suelen guardar cookies en el
ordenador del usuario cada vez que su navegador carga un anuncio (banner) de esa
empresa. En ese caso y si la cookie contiene un GUID (Identificador Único Global), la
empresa podrá conocer todas las webs que usted visite y que contengan sus anuncios."
spybot
"El término 'keylogger' surgió en la época del DOS cuando los ordenadores se
manejaban a través de un teclado. Los transcriptores de actividad básicos en aquellos
tiempos simplemente registraban las teclas que pulsaban los usuarios. El espía, una
persona con acceso físico a la máquina, obtenía ese archivo de registro posteriormente
pudiendo ver todo lo que el usuario había tecleado.
Los nuevos transcriptores de actividad son mucho más sofisticados. Ahora no sólo
monitorizan las teclas que se pulsan, sino que también realizan capturas de pantalla
que muestran al espía las ventanas con las que usted estaba trabajando, capturan
información sobre su utilización de Internet y muchas otras cosas. El espía ni siquiera
necesita tener acceso físico a su ordenador, ya que la mayoría de los transcriptores de
actividad envían la información que registran por correo electrónico. " spybot”
Estos programas adware, spiware, keylogger y otros tantos, llegan a su computadora
principalmente a travez de internet y de programas que solo son mascaras y su
verdadero fin es difundir el software malicioso. Aunque en este ultimo caso ocurre
algo curioso, quizás el programa es útil y no solo una mascara, y es mas, hay muchos
programas muy utilizados que tienen atrás un programa espía, y es mas lo avisan en la
licencia que uno debe aceptar para que el programa se instale. El problema es que uno
generalmente no lee estas licencias de varias hojas y, como hemos dicho, los
programas espías causan problemas. Seguramente se encontrará una alternativa
gratuita de un programa gratuito.
En una computadora distintos tipos de programas maliciosos se van acumulando
llegando hasta 200 o 300 en total. Estos se van acumulando hasta que alguno termina
bloqueando definitivamente la pc. Los hacen sus autores principalmente por la
ganancia que le deja la difusión de publicidad o la venta de una base de datos
numerosa sobre los gustos de un gran numero de navegantes por Internet. Este tipo de
software es eliminado no tanto por un antivirus si no mas bien por un programa
especifico como lo es spybot un antivirus gratuito especial para este tipo de "bichos".
Un programa espía teóricamente no es un virus ya que la característica de un virus es
reproducirse, infectar y dañar información. No obstante son dañinos especialmente si
por ejemplo capturan el numero de su tarjeta de crédito al hacer una compra por
Internet o le activa siempre una página Web como inicial en su navegador con un
contenido indeseado que no desea que siempre aparezca cuando se conecta a Internet,
y que tal si su Pentium 4 anda a la velocidad de un 486. Todo programa en ejecución
consume recursos de sistema.
Hay muchos tipos de virus y programas maliciosos. En una próxima nota se comentará
sobre otros temas de seguridad. Tenga en cuenta que en primer lugar para prevenir los
inconvenientes que causan estos tipos de programas deberá tener en su ordenador
instalado al menos un antivirus actualizado. El spybot pese a que sea mi preferido la
realidad al igual que con todos los antivirus es que no es un 100% eficaz. Además no
olvide descargar su actualización.
UTILIDAD Y CONFIGURACION DE ARDAMAX
Ardamax Keylogger es una utilidad que captura toda la información introducida a través del
teclado, guardándola inmediatamente en un fichero log que puedes revisar cuando quieras.
De esta forma, puedes estar al tanto del uso que se le da a tu PC cuando no estás presente, o
puedes controlar las andanzas de tus hijos en Internet.
Puedes configurar el programa para que guarde el log en formato TXT o HTML, y grabar
también detales como la fecha y hora de la captura del texto, y qué aplicación se estaba
usando.
Además, tienes la opción de ejecutar el programa en modo "oculto", que lo hace totalmente
invisible al usuario, y permite controlarlo sin que éste se dé cuenta. Otra función interesante
es la posibilidad de enviar los ficheros log con los datos guardados a una determinada
dirección de correo electrónico cada cierto tiempo: perfecto para seguir vigilando incluso a
distancia!
CONFIGURACION
 Haz click derecho en el icono del programa que aparecera en el System Tray (el System Tray
es donde aparece la hora) y dale click en Remote Installation te apareceta la ventana
Welcome.
 VENTANA WELCOME. Aca dice que vas a crear un executable con todo lo necesario para
instalar el keylogger en otra computadora, que ese archivo lo puedes mandar por mail, etc,
etc. Tu solo da click en Siguiente.
 VENTANA APPEARANCE. En la siguiente pantalla aparece Append keylogger engine to file.
Esto es para adjuntarle un archivo cualquiera (documento, musica, foto o lo que quieras) al
keylogger de modo que cuando alguien de doble click en nuestro archivo se ejecuten ambos a
la vez (Aunque la victima solo vera ejecutarse el archivo adjunto).
Click en Browse para seleccionar el archivo te recomiendo que no adjuntes un archivo muy
grande, ademas mas adelante podremos cambiarle el icono al nuestro "virus" osea si
adjuntamos una musica luego le pondremos el icono de winamp, etc.
Si no quieres adjuntarle ningun archivo entoces demarca esa casilla.
La demas configuracion en esta parte no la modifiques no es muy importante (es para usuarios
mas avanzados)
 VENTANA INVISIBILITY: La siguiente ventana se llama asi, si tu Ardamax esta registrado
correctamente entonces podras marcar todas las casillas (recomendado).
Te explico para que sirve cada casilla:






Hide tray icon: Esconde al Ardamax del "System Tray" osea desaparece el icono al cual
le diste click en el paso nº 1.
Hide program from Process V: oculta el ardamax de la ventana que aparece cuando
presionas Ctrl+Alt+Spr.
Remove Short Cuts: Quita Accesos directos al programa volviendolo invisible para
usuarios novatos.
Remove Program from uninstallation list: Quita el nombre del programa del panel
"Agregar o Quitar Programas"
Hide Program folder: Oculta la carpeta donde se instalo, de modo que no puedas
ingresar asi pongas mostrar carpetas ocultas.
Hide form Windows start up: Oculta el ardamax de la lista de programas que se
ejecutan al inicio del inicio de Windows.
 VENTANA SECURITY: Aqui le pones contraseña a tu keylogger para que no cualquiera pueda
activa el modo visible del keylogger en la maquina de la victima. Pero para mi esto es un poco
contradictorio, pues no se supone que en la maquina victima nadie sabe que esta instalado el
Ardamax?.
Aun asi si eres desconfiado ponle contraseña (click en Enabled) y marca todas las casillas.
 VENTANA WEB UPDATE: Estas opciones son para decirle al keylogger que una vez instalado
en la computadora de la victima busque cada cierto tiempo una actualizacion de modo que asi
se actualizen los antivirus y asi el ardamax aun sera indetectable. Yo personalmente desactivo
esta opcion porque aveces la computadora de la victima es una maquina bien lenta, y si el
keylogger se actualizase la pondria por ese momento mas lenta aun, asi que mejor no corro el
riesgo. Teniendo en cuenta que nunca me ha dado problemas y que aun asi las versiones mas
antiguas de este keylogger son indetectables, entonces mejor las desactivo.
 VENTANA OPTIONS: La primera casilla dice ejecutar el archivo al inicio de Windows
(marcala), La segunda dice Al ejecutar hacerlo en modo oculto (marcala tambien), En la caja de
texto que sigue dice que teclas debes presionar para pasar de modo oculto a modo visible y
viceversa por defecto es Ctrl+Alt+Shitf+H y aca es donde puedes cambiarlo.
 VENTANA CONTROL: Pasamos a la etapa en donde podemos decirle al keylogger como
queremos que nos envie la informacion que recoge de la computadora victima, Como esta es
una guia para newbies solo trataremos el "delivery method" Email.
La primera casilla es de vital importancia porque sino no nos mandara nada a nuestro correo,
(asi que marcala) esta casilla se llama "Enviar Logs cada..." y luego tienes que seleccionar el
tiempo yo lo pongo en 1 minuto es casi como si vieras lo que hace en tiempo real.
La parte de Include, y Log Format dejalos asi como la figura (asi aparecen por defecto)
Y la ultima casilla es una condicional y dice "Enviar solamente si el Log excede .... Kb" esto es
para que no te lleguen las cosas que escribe tu victima letra por letra, por que si le pones 1 Kb
son casi 100 caracteres 100 letras y eso sin contar los screenshots (foto a la pantalla de la
victima) asi que lo recomendable a mi criterio es 250 a 350 depende de ti por ejemplo a mi me
llegan los Logs cada 6 minutos a 250 Kb aunque este marcada la casilla en 1 minuto (esto se
debe a que antes de enviar el Log tiene que superar el peso especificado en este caso 250kb)
 VENTANA EMAIL: Esto se pone cada vez mas interesante!. Presta mucha atencion aqui. En
donde dice "Send To:" tienes que escribir tu email (OJO que no sea el puto hotmail -muerete
Gates- ) porque a hotmail no le llegan estos correos automatizados que te envia el programa
ademas por que si hotmail detecta mas de 499 correos con el mismo asunto deja de recibirlos.
Asi que yo recomiendo crearse una cuenta en Yahoo, ya que le da a tu correo un espacio de
almacenamiento
ilimitado!!!,
y
nunca
te
preocuparas
de
borrar
nada.
Lo que sigue es darle click en boton Find, aparecera un nombre medio raro en SMTP host, pero
tu dejalo ahi, si lo modificas puede que no te lleguen los mails.
El
Port
no
lo
cambies
de
25.
Luego que esten llenadas correctamente estas 3 cajas de texto, dale click en TEST se demorara
un poquito pero luego sale un mensaje diciendo Error imposible conectar, o sale Saccsesfuly
conected o algo asi, no me acuerdo, pero date cuenta pues no es tan dificil.
Si te sale error dale click de nuevo en Find y de nuevo en Test, y si te sigue saliendo el mismo
error espera unos minutos y vuelve a intentar.... y si te sigue saliendo el mismo puto error
cambia de correo, y si te sigue saliendo el reparapanpuctadesumadre mismo puto error
matate.
El espacio donde va "Send From" y "Username" y "Password" no es necesario que los llenes en
realidad
ni
se
para
que
son.
 VENTANA CONTROL: Esta es la segunda ventana control y nos pregunta que queremos que
grabe
el
keylooger
marca
todas.
Si no quieres que guarde los screenshots desmarca donde dice Screenshots
Si no quieres que guarde todas las paginas web a donde entra desmarca Web Activity
Si
no
quieres
que
guarde
lo
que
chatea
desmarca
Chat
logging
Ya mismo acabamos
 VENTANA SCREENSHOTS: esta ventana te aparecera si marcaste la casilla Screenshots en el
paso
10
y
configura
las
fotos
a
la pantalla
que
va
a
tomar
La
primer
parte
dice:
"Toma
la
foto
cada
....
minutos"
En la segunda parte puedes seleccionar tomar foto a la pantalla entera (Full Screen) o a la
ventana
activa.
En la tercera parte seleccionas la calidad de la imagen. Low - baja calidad. High - alta calidad.

VENTANA DESTINATION: es la ultima ventana, el ultimo paso a configurar:
En la primera parte dice en donde quieres que se coloque el archivo cuando se genere? por
defecto sale la carpeta de instalacion y el nombre por defecto es Install.exe asi que cambialo
clickando en Browse y luego seleccionas Escritorio y luego Guardar de modo que aparecera en
el escritorio cuando terminemos.
 Lo siguiente es en la misma ventana vamos a cambiarle el icono a nuestro programa (ojo he
dicho icono y no extension - es decir que por mas que tenga icono de foto no tendra la
extension .bmp sino la de una aplicacion .exe Asi que solo vamos a cambiarle el icono.
Recuerdas el archivo que le adjuntamos en el paso nº 3 ya pues si le adjuntamos un mp3 ponle
icono de Winamp o de Windows media. en esa pantallita generalmente no salen muchos icono
asi que si quieres por ejemplo ponerle el icono de Word clicka en Examinar y busca
"C:\Archivos de programa\Microsoft Office\OFFICE11" y ahi busca el World y le das click y
aparareceran los diversos iconos que usa World asi que selecciona el de documento de Word,
etc. O sino descargate este paquete de iconos que esta buenazo.
Das click en siguiente y te sale una nueva ventana con el resumen de las configuraciones que
has hecho y lo que haces es cick en Finalizar y listo, si elegiste el Escritorio tu nuevo virus
aparecera en el Escritorio con el icono que escogiste.
 Y listo terminaste de configurar tu ardamax y tu nuevo virus indetectable esta listo para
usarse (pero aun no para enviarse por hotmail o msn) Lo que pasa es que hotmail no deja
adjuntar archivos con extension .exe y el messenger no puedes tranferir archivos con la
extension .exe asi que inteligentemente tu comprimiras con Winzip y aunque no lo comprimas
casi nada lo unico que conseguiste fue que tu virus tenga extension .zip y no .exe entonces ya
lo puedes enviar al correo de todos tus contactos haciendo pasar por una cadena y facil que le
adjuntas un archivo ppt de modo que cuando abran el virus realmente se abra el archivo
powerpoint ....
Related documents
RECOVERY LABS
RECOVERY LABS
virus w32/agobot.bqj
virus w32/agobot.bqj
Identificación y eliminación de malware en Windows XP
Identificación y eliminación de malware en Windows XP
Cuidado con los Virus (Parte I) Julian Speciale Algunas personas se
Cuidado con los Virus (Parte I) Julian Speciale Algunas personas se
Normas de Seguridad para Afrontar el Virus I Love You
Normas de Seguridad para Afrontar el Virus I Love You
IRM7-DeteccionMalwareEnWindows
IRM7-DeteccionMalwareEnWindows
RECOVERY LABS
RECOVERY LABS
Virus WhiterF. en
Virus WhiterF. en
universidad técnica de cotopaxi
universidad técnica de cotopaxi
Análisis Forense en Sistemas Windows Escenario de una
Análisis Forense en Sistemas Windows Escenario de una
Malware que se propaga utilizando el chat
Malware que se propaga utilizando el chat
Material necesario - Departamento de Informática y Sistemas
Material necesario - Departamento de Informática y Sistemas
Virus “sxs.exe” (W32.Pasobir) en nuestras Memorias
Virus “sxs.exe” (W32.Pasobir) en nuestras Memorias
IBM System Migration Assistant 4.1: Guía del usuario
IBM System Migration Assistant 4.1: Guía del usuario
el correo electrónico
el correo electrónico
Atributos de archivos windows - informatica-fitec
Atributos de archivos windows - informatica-fitec
Un nuevo virus que está causando estragos
Un nuevo virus que está causando estragos
Virus Características Forma de limpieza
Virus Características Forma de limpieza
técnica de desinfección
técnica de desinfección
Virus SDBOT.GEN
Virus SDBOT.GEN
el registro de windows
el registro de windows
Alias: :LQ 7URMDQ`URSSHU 6PDOO
Alias: :LQ 7URMDQ`URSSHU 6PDOO