PROCESOS DE INICIO DE WINDOWS
System Database administration
Estado: MALWARE/VIRUS
Descripcion: Nombre: W32/Bloored.B
Tipo: Gusano de Internet
Alias: Bloored.B, Derdero.B, Win32/Derdero.B, Email-Worm.Win32.Bloored.b, W32.Derdero.B@mm, Win32.HLLP.Dermedo
Fecha: 19/feb/05
Plataforma: Windows 32-bit
Tamaño: 81,408 bytes
Este gusano se propaga por correo electrónico y redes P2P.
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows.
También puede infectar todos los archivos ejecutables .EXE en la unidad C:
El mensaje que utiliza posee las siguientes características:
De: [dirección falsa] o una de las siguientes
administration
management
server
service
support
userhelp
virus
Asunto: [uno de los siguientes]
Hackers on the loose
Information
Spyware Alert!
Virus alert
Texto del mensaje: [uno de los siguientes]
Hackers are on the loose after recent discovery of the
KaB exploit. To help protect your computer, read the
attached file.
A new kind of virus unlike you've ever seen is quickly
spreading. Read the attachment for more
The attached file contains information on how to
remove most kinds of spyware
Attached is a document with details pertaining on how
to remove the latest viruses circulating
Datos adjuntos: [alguno de los siguientes]
FixVir.???
help.???
info.???
patch.???
SpyFix.???
Donde ".???" es alguna de las siguientes extensiones:
.cmd
.doc.cmd
.doc.exe
.doc.pif
.exe
.pif
.scr
.txt.exe
.txt.pif
.zip
Si el adjunto es un .ZIP, su contenido es una copia del gusano con una de las extensiones anteriores.
En ocasiones, el .ZIP puede contener otro archivo .ZIP, el cuál si contiene al ejecutable del virus.
Cuando un adjunto, o un archivo infectado descargado de redes P2P es ejecutado, el gusano muestra una ventana de error falsa con el siguiente mensaje:
Fatal Error
Can',27h,'t access byte pointer
[ OK ]
El gusano crea los siguientes archivos en el equipo infectado:
c:\windows\system32\lesys.sys
c:\windows\system32\lzsys.sys
c:\windows\system32\nCalc.exe
c:\windows\system32\ReadMe.2.txt
c:\windows\system32\systemDA.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
También crea dos archivos con nombres en blanco y las siguientes extensiones en la misma carpeta desde donde haya sido ejecutado:
.exe
.pif
El gusano infecta todos los archivos cuya extensión sea .EXE, en todos los directorios de la unidad C:
Para propagarse por redes de intercambio de archivos, intenta crear los siguientes en aquellas carpetas cuyo nombre contenga la cadena SHAR (esto incluye las carpetas compartidas por defecto por la mayoría de las aplicaciones P2P):
Adobe Photoshop 6 Full Version.exe
Adobe Photoshop 6 Full Version.exe
Battlefield 1942.exe
Britney spears naked Playboy.jpeg[espacios en blanco].pif
DVD Copier.exe
Hot Teen Porn.mpeg[espacios en blanco].exe
Internet Explorer 7.exe
jenna jameson screensaver.scr
Kazaa Lite 2005 Edition.zip[espacios en blanco].pif
NETSKY SOURCE CODE.zip[espacios en blanco].exe
Norton AntiVirus 2006 BETA.exe
Snood new version.exe
Tits.mpeg[espacios en blanco].scr
Visual Studio.NET.FULL.rar[espacios en blanco].exe
WinAmp 5 Crack.exe
Windows Longhorn BETA.iso[espacios en blanco].exe
Windows XP crack.zip[espacios en blanco].exe
Windows XP Pro SP2.pif
WinRAR.exe
Young teen gets reamed.mpg[espacios en blanco].pif
Para autoejecutarse en cada reinicio de Windows, crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System Database administration = c:\windows\system32\systemDA.exe
El gusano genera varios mutex (marcadores en memoria), para evitar ejecutarse mas de una vez al mismo tiempo o para evitar se ejecuten otros códigos.
Para propagarse por correo electrónico, el gusano extrae los contactos a los que se enviará, de la libreta de direcciones de Windows, y evita enviarse a aquellos que contengan en su nombre alguna de las siguientes cadenas:
@avp
@fsecure
@gmai
@hotmail
@microsoft
@mm
@msn
@noreply
@norman
@norton
@panda
@sopho
@symantec
@vir
@virusli
Para enviarse sus mensajes infectados, utiliza su propio motor SMTP.
Examina si el equipo infectado se encuentra conectado a Internet, accediendo al sitio "www.kazaa.com".
Si el "Administrador de tareas" se encontrara abierto, el gusano lo cierra.
También modifica el archivo HOSTS de Windows, para evitar que el usuario pueda navegar por los siguientes sitios:
ca .com
google .ca
google .com
liveupdate .symantec .com
mcafee .com
microsoft .com
nai .com
norton .com
rohitab .com
securityresponse .symantec .com
windowsupdate .com
www .ca .com
www .google .ca
www .google .com
www .mcafee .com
www .microsoft .com
www .nai .com
www .norton .com
www .rohitab .com
www .sophos .com
www .windowsupdate .com
www .yahoo .com
yahoo .com
Intenta finalizar la ejecución de los siguientes procesos, relacionados con antivirus y aplicaciones de seguridad:
agentsvr.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
au.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avgserv9.exe
avltmain.exe
avprotect9x.exe
avpupd.exe
avserve2.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
blackd.exe
blackice.exe
bootwarn.exe
borg2.exe
bs120.exe
ccapp.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
cpd.exe
cpf9x206.exe
cpfnt206.exe
cv.exe
cwnb181.exe
cwntdwmo.exe
d3dupdate.exe
defwatch.exe
deputy.exe
dpf.exe
dpfsetup.exe
drwatson.exe
drwebupw.exe
ent.exe
escanh95.exe
escanhnt.exe
escanv95.exe
exantivirus-cnet.exe
fast.exe
firewall.exe
flowprotector.exe
fp-win_trial.exe
frw.exe
fsav.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
gbmenu.exe
gbpoll.exe
guard.exe
hacktracersetup.exe
htlog.exe
hwpe.exe
iamapp.exe
iamserv.exe
icload95.exe
icloadnt.exe
icmon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
ifw2000.exe
iparmor.exe
iris.exe
jammer.exe
kavlite40eng.exe
kavpers40eng.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
ldpro.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lsetup.exe
luall.exe
lucomserver.exe
luinit.exe
mcagent.exe
mcupdate.exe
mfw2en.exe
mfweng3.02d30.exe
mgui.exe
minilog.exe
moolive.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
nav80try.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
nisserv.exe
nisum.exe
nmain.exe
norton_internet_secu_3.0_407.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
nsched32.exe
ntvdm.exe
nupgrade.exe
nvarch16.exe
nwinst4.exe
nwtool16.exe
ostronet.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
padmin.exe
panixk.exe
pavproxy.exe
pcc2002s902.exe
pcc2k_76_1436.exe
pcciomon.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pdsetup.exe
periscope.exe
persfw.exe
pf2.exe
pfwadmin.exe
pingscan.exe
platin.exe
poproxy.exe
popscan.exe
portdetective.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
procexplorerv1.0.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
pview95.exe
qconsole.exe
qserver.exe
rav8win32eng.exe
rescue.exe
rescue32.exe
rrguard.exe
rshell.exe
rtvscn95.exe
rulaunch.exe
safeweb.exe
sbserv.exe
sd.exe
setup_flowprotector_us.exe
setupvameeval.exe
sfc.exe
sgssfw32.exe
shellspyinstall.exe
shn.exe
smc.exe
sofi.exe
spf.exe
sphinx.exe
spyxx.exe
ss3edit.exe
st2.exe
supftrl.exe
supporter5.exe
symproxysvc.exe
sysedit.exe
taskmon.exe
taumon.exe
tauscan.exe
tc.exe
tca.exe
tcm.exe
tds2-98.exe
tds2-nt.exe
tds-3.exe
tfak5.exe
tgbob.exe
titanin.exe
titaninxp.exe
tracert.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
undoboot.exe
update.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vfsetup.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vnpc3000.exe
vpc42.exe
vpfw30s.exe
vptray.exe
vscenu6.02d30.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webscanx.exe
wgfe95.exe
whoswatchingme.exe
winrecon.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wyvernworksfirewall.exe
xpf202en.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zauinst.exe
zonalm2601.exe
zonealarm.exe
Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos borrados, dependerá del daño causado por el gusano desde el momento de ocurrida la infección, hasta el momento de su detección.
Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
System Database administration
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema".
Fuente: www.vsantivirus.com