Cuidado con este Nuevo Virus…
Página 1 de 1.
Cuidado con este Nuevo Virus…
Admin Sáb Abr 19, 2008 11:26 pm
Un Saludo Cordial a Todos los Amigos www.ciberneticos.net
Antes que Nada, Aclaro que este Post es Informativo sin el afan de Asustar o de promocionar algun Antivirus.. ya que despues de todo es con el Fin de Alertar y de que tengan la mejor proteccion en su Pc, asi como el Cuidado del Mismo.., hace algunos Meses Su Servidor Alerto de un Virus que solo se podia eliminar con en programa llamado Dr.Web.. en este caso es Diferente, ya que el Virus es Muy Peligroso, Dañino y Perjudicial para Nuestra Pc.. Lo Digo Por Experiencia..
Cuidado con este Nuevo Virus….
Nombre: W32.EFECTO.A y W32.EFECTO.B
El virus es detectado en Algunos Antivirus con el nombre de: MONTAGUE.
Se Ejecuta como: Win2x.exe y save.exe
W32.EFECTO.A y W32.EFECTO.B es un ejecutable de tan solo 122,880 bytes compilado con Microsoft Visual Basic 6.0.
Al Ejecutarse, W32.EFECTO.A y W32.EFECTO.B; se copia en: WindowsSystemWin2x.exe y WindowsSystemsave.exe
Las Acciones que realiza este Virus en Nuestra Pc..
-Crea entradas en el registro para ejecutar Win2x.exe al inicio del sistema y save.exe durante la ejecución de cualquier tarea de impresión.
-Inhabilita el acceso al Editor de Registro de Windows y al Administrador de Tareas.
-Impide la ejecución de cajas de diálogo en MSDOS.
-Inhabilita el acceso al comando CMD(Comandos).
-Crea un Nuevo Administrados de Sistema y nosotros pasamos a ser Invitados de una cuenta.
-Oculta las carpetas de la raíz del disco C y cambia sus atributos a Solo Lectura y Ocultos.
-Crea una gran cantidad de copias del troyano en la raíz del disco C con íconos de carpeta y nombres similares a los de las carpetas existentes para confundir al usuario y proporcionar la re infección del sistema utilizando al propio usuario.
-Intercepta el servicio de impresión tal que sustituye al mismo con el archivo del troyano.
El virus MONTAGUE, Infecta los siguientes archivos:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilestlinkAU-600 Agent.exe
C:WINDOWSwinsys.exe
C:WINDOWSOV530EM.exe
C:WINDOWSsystem32ccPrxy.exe
C:WINDOWSsystem32SP00LSV.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMicrosoft Firewall Client 2004FwcMgmt.exe
C:Program FilesMicrosoft Firewall Client 2004FwcAgent.exe
C:Program FilesEsetnod32krn.exe
C:WINDOWSsystem32command.com
C:WINDOWSsystem32svchost.exe
c:windowsexplorer.exe
C:WINDOWSSystem32alg.exe
C:Program FilesVoipStunt.comVoipStuntVoipStunt.exe
C:Program FilesSecurity Task ManagerTaskMan.exe
C:DOCUME~1juanjose.NTVLOCALS~1TempRar$EX00.209HijackThis.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O4 - HKLM..Run: [TLinkAgent] C:Program FilestlinkAU-600 Agent.exe
O4 - HKLM..Run: [Winsys] C:WINDOWSwinsys.exe
O4 - HKLM..Run: [Ovt Wia] C:WINDOWSOV530EM.exe
O4 - HKLM..Run: [Win2x] C:WINDOWSsystem32Win2x.exe
O4 - HKLM..Run: [ccPrxy.exe] ccPrxy.exe
O4 - HKLM..Run: [SP00LSV.EXE] SP00LSV.EXE
O4 - HKLM..Run: [nod32kui] "C:Program FilesEsetnod32kui.exe" /WAITSERVICE
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [VoipStunt] "C:Program FilesVoipStunt.comVoipStuntVoipStunt.exe" -nosplash -minimized
O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:Program FilesYahoo!MessengerYahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:Program FilesYahoo!MessengerYahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ntv.icrt.cu
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = ntv.icrt.cu
O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = ntv.icrt.cu
O17 - HKLMSystemCS2ServicesTcpipParameters: Domain = ntv.icrt.cu
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:Program FilesEsetnod32krn.exe
O23 - Service: Number of any portable media. - Unknown owner - C:WINDOWSsystem32command.com
O23 - Service: Print Spooler (Spooler) - Unknown owner - C:WINDOWSsystem32save.exe
O23 - Service: Windows Security Manager - Unknown owner - C:Program FilesOutlook Expressmsinm.exe
El Virus: W32.EFECTO.A y W32.EFECTO.B: MONTAGUE,
Elimina y deshabilita los siguientes programas y procesos:
Norton en Todas sus versions.
Norton Antivirus
Norton AntiVirus Porfessional
Mcafee en Todas sus versions.
Anti-Virus
NOD32 en Todas sus versiones.
NOD32 Antivirus Program - [My Profile]
NOD32 Control Center
AntiViral Toolkit Pro
Kaspersky en Todas sus versions.
Kaspersky Anti-Virus Scanner
Kaspersky Anti-Virus personal
Kaspersky Anti-Virus Monitor
AVG En Todas sus versions.
AVG E-Mail Server Edition - Advanced Interface
AVG E-mail Server Edition - Basic Interface
AVG E-mail Server Edition - Control Centerr
Pop3trap
Ad-Aware SE Personal
eTrust Antivirus - Local Scanner
F-Secure Anti-Virus
AVP Monitor
Sygate Personal Firewall Pro
BitDefender
My Computer
Registry Monitor
HijackThis
BlackICE
Process Explorer - Sysinternals: www.sysinternals.com
Registry Monitor - Sysinternals: www.sysinternals.com
Windows Security Center
Windows Firewall
Control Panel
Run"Turn Off Computer
Log off Windows
Command Prompt
Spybot - Search & Destroy
Sophos Anti-Virus - SWEEP
Anti-Trojan - Infection Monitor
Registry Editor
Windows Task Manager
System Configuration Utility
Services
Ad-aware 6.0 Personal
System Restore
WinPatrol
Detección y Limpieza del Virus:
Si El Virus Infecta al Equipo, No hay modo de poder limpiar o desifectar el sistema, la unica solucion es el formateo del mismo, en algunos Foros mencionan que con el Antivirus Nod32 se elimina, es Falso, Tambien se dan ciertas modificaciones en el registro para eliminar el virus, pero como modificar el registro cuando no tenemos acceso al mismo. Esto es cuando el Virus ya esta Infectando al sistema.
El Virus llega por: Correo, Paginas XXX, Cybercafes, Edonkey, Emule, Kazaa, Pando, Torrent, y en archivos como por ejemplo: Mp3, imagenes, comprimidos, Word, documento de texto.
Pero teniendo la terminacion .exe
Es decir si reciben una imagen, un mp3 etc.. pero con terminacion.exe:
EJEMPLO:
Beyonce - Crazy.exe(pero con el Icono de un Mp3)..
Wallpaper.exe(con el icono JPeg)
Comprimido.exe(con el icono de Winrar o WinZip)..
Documentos de Word o excel.exe(Con los iconos Correspondientes a Word o Excel..
Para Evitar esto, Solo es detectado por Mcafee y Avast Porfessional.
-Mcafee solo lo detecta pero al ponerlo en cuarentena o tratarlo de limpiar el virus deshabilita y elimina los archivos de Mcafee.
-El Antivirus Avast Professional, Es el único, capaz de detectar y limpiar este gusano dañino, antes de que se ejecute..
Se recomienda la Actualización del Antivirus antes de que pase lo peor…
Su servidor Utilizo el Nod32, Kasperky, Norton, Mcafee sin Resultado para eliminar este Virus, ya que como mencione, ni siquiera lo detectaba, solo Mcafee con sus respectivas consecuencias.....
hasta que Instale el Avast o un programita KillBox, en el Equipo Infectado y Pude Detectar y Eliminar este Virus..
Lo digo Por Experiencia......... By Cibernautas of systems
Software Libre Linux
Antes que Nada, Aclaro que este Post es Informativo sin el afan de Asustar o de promocionar algun Antivirus.. ya que despues de todo es con el Fin de Alertar y de que tengan la mejor proteccion en su Pc, asi como el Cuidado del Mismo.., hace algunos Meses Su Servidor Alerto de un Virus que solo se podia eliminar con en programa llamado Dr.Web.. en este caso es Diferente, ya que el Virus es Muy Peligroso, Dañino y Perjudicial para Nuestra Pc.. Lo Digo Por Experiencia..
Cuidado con este Nuevo Virus….
Nombre: W32.EFECTO.A y W32.EFECTO.B
El virus es detectado en Algunos Antivirus con el nombre de: MONTAGUE.
Se Ejecuta como: Win2x.exe y save.exe
W32.EFECTO.A y W32.EFECTO.B es un ejecutable de tan solo 122,880 bytes compilado con Microsoft Visual Basic 6.0.
Al Ejecutarse, W32.EFECTO.A y W32.EFECTO.B; se copia en: WindowsSystemWin2x.exe y WindowsSystemsave.exe
Las Acciones que realiza este Virus en Nuestra Pc..
-Crea entradas en el registro para ejecutar Win2x.exe al inicio del sistema y save.exe durante la ejecución de cualquier tarea de impresión.
-Inhabilita el acceso al Editor de Registro de Windows y al Administrador de Tareas.
-Impide la ejecución de cajas de diálogo en MSDOS.
-Inhabilita el acceso al comando CMD(Comandos).
-Crea un Nuevo Administrados de Sistema y nosotros pasamos a ser Invitados de una cuenta.
-Oculta las carpetas de la raíz del disco C y cambia sus atributos a Solo Lectura y Ocultos.
-Crea una gran cantidad de copias del troyano en la raíz del disco C con íconos de carpeta y nombres similares a los de las carpetas existentes para confundir al usuario y proporcionar la re infección del sistema utilizando al propio usuario.
-Intercepta el servicio de impresión tal que sustituye al mismo con el archivo del troyano.
El virus MONTAGUE, Infecta los siguientes archivos:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilestlinkAU-600 Agent.exe
C:WINDOWSwinsys.exe
C:WINDOWSOV530EM.exe
C:WINDOWSsystem32ccPrxy.exe
C:WINDOWSsystem32SP00LSV.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMicrosoft Firewall Client 2004FwcMgmt.exe
C:Program FilesMicrosoft Firewall Client 2004FwcAgent.exe
C:Program FilesEsetnod32krn.exe
C:WINDOWSsystem32command.com
C:WINDOWSsystem32svchost.exe
c:windowsexplorer.exe
C:WINDOWSSystem32alg.exe
C:Program FilesVoipStunt.comVoipStuntVoipStunt.exe
C:Program FilesSecurity Task ManagerTaskMan.exe
C:DOCUME~1juanjose.NTVLOCALS~1TempRar$EX00.209HijackThis.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O4 - HKLM..Run: [TLinkAgent] C:Program FilestlinkAU-600 Agent.exe
O4 - HKLM..Run: [Winsys] C:WINDOWSwinsys.exe
O4 - HKLM..Run: [Ovt Wia] C:WINDOWSOV530EM.exe
O4 - HKLM..Run: [Win2x] C:WINDOWSsystem32Win2x.exe
O4 - HKLM..Run: [ccPrxy.exe] ccPrxy.exe
O4 - HKLM..Run: [SP00LSV.EXE] SP00LSV.EXE
O4 - HKLM..Run: [nod32kui] "C:Program FilesEsetnod32kui.exe" /WAITSERVICE
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [VoipStunt] "C:Program FilesVoipStunt.comVoipStuntVoipStunt.exe" -nosplash -minimized
O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:Program FilesYahoo!MessengerYahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:Program FilesYahoo!MessengerYahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:program filesmicrosoft firewall client 2004fwcwsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ntv.icrt.cu
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = ntv.icrt.cu
O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = ntv.icrt.cu
O17 - HKLMSystemCS2ServicesTcpipParameters: Domain = ntv.icrt.cu
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:Program FilesEsetnod32krn.exe
O23 - Service: Number of any portable media. - Unknown owner - C:WINDOWSsystem32command.com
O23 - Service: Print Spooler (Spooler) - Unknown owner - C:WINDOWSsystem32save.exe
O23 - Service: Windows Security Manager - Unknown owner - C:Program FilesOutlook Expressmsinm.exe
El Virus: W32.EFECTO.A y W32.EFECTO.B: MONTAGUE,
Elimina y deshabilita los siguientes programas y procesos:
Norton en Todas sus versions.
Norton Antivirus
Norton AntiVirus Porfessional
Mcafee en Todas sus versions.
Anti-Virus
NOD32 en Todas sus versiones.
NOD32 Antivirus Program - [My Profile]
NOD32 Control Center
AntiViral Toolkit Pro
Kaspersky en Todas sus versions.
Kaspersky Anti-Virus Scanner
Kaspersky Anti-Virus personal
Kaspersky Anti-Virus Monitor
AVG En Todas sus versions.
AVG E-Mail Server Edition - Advanced Interface
AVG E-mail Server Edition - Basic Interface
AVG E-mail Server Edition - Control Centerr
Pop3trap
Ad-Aware SE Personal
eTrust Antivirus - Local Scanner
F-Secure Anti-Virus
AVP Monitor
Sygate Personal Firewall Pro
BitDefender
My Computer
Registry Monitor
HijackThis
BlackICE
Process Explorer - Sysinternals: www.sysinternals.com
Registry Monitor - Sysinternals: www.sysinternals.com
Windows Security Center
Windows Firewall
Control Panel
Run"Turn Off Computer
Log off Windows
Command Prompt
Spybot - Search & Destroy
Sophos Anti-Virus - SWEEP
Anti-Trojan - Infection Monitor
Registry Editor
Windows Task Manager
System Configuration Utility
Services
Ad-aware 6.0 Personal
System Restore
WinPatrol
Detección y Limpieza del Virus:
Si El Virus Infecta al Equipo, No hay modo de poder limpiar o desifectar el sistema, la unica solucion es el formateo del mismo, en algunos Foros mencionan que con el Antivirus Nod32 se elimina, es Falso, Tambien se dan ciertas modificaciones en el registro para eliminar el virus, pero como modificar el registro cuando no tenemos acceso al mismo. Esto es cuando el Virus ya esta Infectando al sistema.
El Virus llega por: Correo, Paginas XXX, Cybercafes, Edonkey, Emule, Kazaa, Pando, Torrent, y en archivos como por ejemplo: Mp3, imagenes, comprimidos, Word, documento de texto.
Pero teniendo la terminacion .exe
Es decir si reciben una imagen, un mp3 etc.. pero con terminacion.exe:
EJEMPLO:
Beyonce - Crazy.exe(pero con el Icono de un Mp3)..
Wallpaper.exe(con el icono JPeg)
Comprimido.exe(con el icono de Winrar o WinZip)..
Documentos de Word o excel.exe(Con los iconos Correspondientes a Word o Excel..
Para Evitar esto, Solo es detectado por Mcafee y Avast Porfessional.
-Mcafee solo lo detecta pero al ponerlo en cuarentena o tratarlo de limpiar el virus deshabilita y elimina los archivos de Mcafee.
-El Antivirus Avast Professional, Es el único, capaz de detectar y limpiar este gusano dañino, antes de que se ejecute..
Se recomienda la Actualización del Antivirus antes de que pase lo peor…
Su servidor Utilizo el Nod32, Kasperky, Norton, Mcafee sin Resultado para eliminar este Virus, ya que como mencione, ni siquiera lo detectaba, solo Mcafee con sus respectivas consecuencias.....
hasta que Instale el Avast o un programita KillBox, en el Equipo Infectado y Pude Detectar y Eliminar este Virus..
Lo digo Por Experiencia......... By Cibernautas of systems
Software Libre Linux
Admin- Admin
- Cantidad de envíos : 255
Edad : 37
Localización : perzurc@hotmail.com
Fecha de inscripción : 02/04/2008 -
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.|
|
|