P
PosteameloMuseo de Posts de Taringa!
Explorar Archivo
X

x_Darknness_x

Usuario (Chile)

Primer post: 17 abr 2010Último post: 17 abr 2010
1
Posts
0
Puntos totales
0
Comentarios
Virus.Win32.Sality.aa y sus variantes
Virus.Win32.Sality.aa y sus variantes
OfftopicporAnónimo4/17/2010

Hola a todos! hace un par de días que vengo reparando pc's con este tipo de virus (Virus.Win32.Sality.aa). Hace poco que apareció. Básicamente se propaga infectando otros archivos, normalmente ejecutables, y que permite además a otro usuario acceder de forma no autorizada al ordenador infectado. estas extenciones son las que contamina este bicho(.EXE, .SCR, .DLL). El virus intenta desactivar procesos y servicios que contienen cadenas correspondientes a los principales antivirus. Para verificar la conexión a Internet el virus se conecta a: http://www.microsoft.com El virus se conecta a diferentes direcciones para descargar otro software maliciosos, y el software que descargan de esas direcciones se desencripta en la carpeta temporal de Windows (%temp%) y se ejecuta. Método de Propagación Se copia a sí mismo en las unidades extraíbles y carpetas compartidas (nombre aleatorio).exe (nombre aleatorio).pif (nombre aleatorio).cmd Crea un fichero AUTORUN.INF en cada unidad extraible en la que se copien los ficheros, de forma que al acceder a ella, se ejecute una copia del virus. VAMOS A LOS BIFES!!! Para solucionar el problema hago lo sgte: 1) Desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. 2) Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. 3) Con un antivirus actualizado, localizar todas las copias del virus en el disco duro de su PC. Personalmente uso el KASPERSKY INTERNET SECURITY 2009, ya que otros antivirus no me dieron resultados. Nota: A veces los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. 4)Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). En el caso de que no se pueda eliminar el fichero del virus, tenes que terminar manualmente el proceso en ejecución del virus.Usando el administrador de tares. A continuación volver a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. 5) Debido a que el gusano deshabilita el acceso al editor del registro y al administrador de tareas, ejecuten los siguientes pasos para volver a habilitarlos: ir a 'Inicio -> Ejecutar' Escribir "cmd" -sin las comillas- Escribir las siguientes instrucciones: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Hay que ser extremadamente cuidadoso al manipular el registro. Si modificas ciertas claves de manera incorrecta puede dejar el sistema inutilizable. Eliminae las siguientes entradas del registro: Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings Valor: GlobalUserOffline = 6684751 Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system Valor: EnableLUA = 6422625 (Desactiva el control de usuario en Windows Vista) Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\ StandardProfile\AuthorizedApplications\List Valor: (Ruta del virus) = (ruta del virus):*:Enabled:ipsec Clave: HKCU\Software\user914\1214104697 Valor: 1919251317 = 3276857 Clave: HKCU\Software\user914\1214104697 Valor: -456464662 = 3407926 Clave: HKCU\Software\user914\1214104697 Valor: 1462786655 = 3604530 Clave: HKCU\Software\user914\1214104697 Valor: -912929324 = 3735602 Clave: HKCU\Software\user914\1214104697 Valor: 1006321993 = 3342390 Clave: HKCU\Software\user914\1214104697 Valor: -1369393986=0600687474703A2F2F7777772E6D7573696B72616A742E736B2F6D61696 E662E67696600687474703A2F2F6D616365646F6E69612E6D79312E7275 2F6D61696E682E67696600687474703A2F2F6A7273782E6A7265 2E6E65742E636E2F6C6F676F732E67696600687474 Clave: HKCU\Software\user914\1214104697 Valor: 549857331 = 865E52A75BF33F5D5AA15DAFA722193EDDA8540E6C496C04CF49 2EF296AFD1AFD EDBC79CEA25E0F6F53B2D9CC0FA963F3A4CC7456 15E85AFE1E18AEA7E620D11174F3892E84 B5B5DD288784938E304B2D65C454E833D6AF929 809110987E5B4B3E4D581071DA4948CB9F84 Clave: HKCU\Software\user914 Valor: u1_0 = 655360 Clave: HKCU\Software\user914 Valor: u2_0 = 655360 Clave: HKCU\Software\user914 Valor: u3_0 = 655360 Clave: HKCU\Software\user914 Valor: u4_0 = 655360 Clave: HKLM\Software\Microsoft\Tracing\FWCFG Valor: EnableFileTracing = 7471188 Clave: HKLM\Software\Microsoft\Tracing\FWCFG Valor: EnableConsoleTracing = 7471188 Clave: HKLM\Software\Microsoft\Tracing\FWCFG Valor: FileTracingMask = 7209065 Clave: HKLM\Software\Microsoft\Tracing\FWCFG Valor: ConsoleTracingMask = 7209065 Clave: HKLM\Software\Microsoft\Tracing\FWCFG Valor: MaxFileSize = 7077993 Clave: HKLM\Software\Microsoft\Tracing\FWCFG Valor: FileDirectory = %windir%\tracing Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile Valor: EnableFirewall = 7471209 Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile Valor: DoNotAllowExceptions = 7340133 Clave: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced Valor: Hidden = 4718592 Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system Valor: DisableTaskMgr = 6357076 Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system Valor: DisableRegistryTools = 7929970 Clave: HKLM\SOFTWARE\Microsoft\Security Center Valor: AntiVirusOverride = 6619254 Clave: HKLM\SOFTWARE\Microsoft\Security Center Valor: AntiVirusDisableNotify = 5111909 Clave: HKLM\SOFTWARE\Microsoft\Security Center Valor: FirewallDisableNotify = 5111909 Clave: HKLM\SOFTWARE\Microsoft\Security Center Valor: FirewallOverride = 6619254 Clave: HKLM\SOFTWARE\Microsoft\Security Center Valor: UpdatesDisableNotify = 5111909 Clave: HKLM\SOFTWARE\Microsoft\Security Center Valor: UacDisableNotify = 5111909 Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc Valor: AntiVirusOverride = 6619254 Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc Valor: AntiVirusDisableNotify = 5111909 Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc Valor: FirewallDisableNotify = 5111909 Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc Valor: FirewallOverride = 6619254 Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc Valor: UpdatesDisableNotify = 5111909 Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc Valor: UacDisableNotify = 5111909 6) Eliminar todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje. 7) Reiniciar el sistema y explorar todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivaste la restauración del sistema, recordá de volver a activarla. Creá un punto de restauración, te será útil para recurrir a él en caso de posibles infecciones o problemas en el futuro. PD: Es conveniente que pasen también un antispyware, yo uso del SPYWARE DR y el AD-AWARE. por si las moscas!! . ESPERO QUE LES SEA DE UTILIDAD; SALUDOS Y BUENA SUERTE!!

0
0
PosteameloArchivo Histórico de Taringa! (2004-2017). Preservando la inteligencia colectiva de la internet hispanohablante.

LEGAL

CONTACTO

18 de Septiembre 455, Casilla 52

Chillán, Región de Ñuble, Chile

Solo correo postal

© 2026 Posteamelo.com. No afiliado con Taringa! ni sus sucesores.

Contenido preservado con fines históricos y culturales.