PROCESOS DE INICIO DE WINDOWS
NvMsnW
Estado: MALWARE/VIRUS
Descripcion: W32/Bropia.M, es un gusano que se propaga utilizando el MSN Messenger, este se conecta a un sitio Web para visualizar una imagen en el computador atacado.
Cuando el gusano se ejecuta crea el siguiente archivo:
%system%\ISASS.EXE
Además el gusano crea uno de las siguientes entradas en el registro para poder ejecutarse en cada reinicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Isass"="%system%\ISASS.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Isass"="%system%\ISASS.EXE"
o
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Anti"="%system%\ISASS.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Anti"="%system%\updates.exe"
o
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"NvMsnW"="%system%\ISASS.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"NvMsnW"="%system%\ISASS.EXE"
También se copia a si mismo en:
C:\Beautiful Ass.pif
C:\John Kerry as Super Chicken.scr
C:\Kool.pif
C:\Me & you pic!.pif
C:\Me Pissed!.pif
C:\sexy.pif
C:\She Could Fit her Ass in a Teacup.pif
C:\she's fuckin fit.pif
C:\titanic2.jpg.pif
Modifica la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
EnableDCOM=N
Seguidamente copia un archivo de nombre "l0l_53xy_l0l.html" y lo abre con el explorer. cuando este archivo es abierto se conecta a uno de los siguientes sitios Web y visualiza una imagen:
counter.rapidcounter.com/coun[xxxxxxxxx]/1107713659/bbldotg
www.freewebs.com/lol_[xxxxxxxxx]_you_lol/l0l_53xy_l0l.jpg
Finalmente cambia la configuración del Mouse (intercambia los botones derecho e izquierdo), y seguidamente intentará terminar los siguientes procesos:
msconfig.exe
regedit.exe
taskmgr.exe