Gusano que emplea multiples métodos para conseguir propagarse, como son, el envío de correos electrónicos, red de compartición de ficheros de KaZaA, unidades compartidas de red, IRC y grupos de noticias.
Cuando llega por correo, lo hace mediante un mensaje en formato HTML que simula proceder de Microsoft, y pretende engañar al receptor haciendole creer que el fichero anexo es un parche de seguridad. Además aprovecha una vulnerabilidad de Internet Explorer para ejecutarse automáticamente con la simple visualización del mensaje.
Además tiene capacidad para deterner procesos de aplicaciones antivirus, cortafuegos y herramientas de monitorización del sistema.
También puede deshabilitar el Editor de Registro de Windows, y obtener cierta información confidencial del usuario afectado.
Solución
1. Localice con un antivirus actualizado el fichero o los ficheros detectados como "Gibe.C" o "Swen". Tome nota del nombre del fichero del virus. Este nombre es aleatorio y será distinto en cada infección. En los pasos indicados a continuación se indicará como [nombre_virus]
2. Abra el adminstrador de tareas (por ejemplo presionando las teclas Control+Mayúsculas+Esc), y busque un proceso con el nombre [nombre_virus], obtenido anteriormente, y termínelo (click derecho -> Terminar proceso)
3. Elimine el fichero [nombre_virus]
4. A continuación hay que modificar varias claves del registro. Haga clic en el botón de inicio de Windows, elija 'Ejecutar', teclee 'regedit' (sin las comillas) y presione retorno. De esta manera se lanza el Editor del Registro de Windows. Tenga mucho cuidado al manipular el registro, si elimina o modifica una clave incorrecta puede dejar su equipo inutilizable.
Nota:Hemos recibido informes de algunos usuarios de Windows XP/2000, que, tras seguir los pasos anteriores, no pueden abrir el editor del registro, posiblemente debido a que el virus modifica las políticas de seguridad del sistema. Para evitar esto puede crear un usuario nuevo con privilegios de administrador y eliminar el virus desde esa cuenta (no se olvide arrancar en modo a prueba de fallos para que no se ejecute el virus)
Para navegar dentro del registro, fíjese que el Editor del Registro tiene un aspecto similar a la del Explorador de Windows; en el panel de la izquierda hay una vista en arbol (como las carpetas del explorador) donde aparecen las claves del registro, y en el panel derecho aparecen los valores (como los archivos en del explorador). Así, para navegar hasta la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
haga clic en el aspa (+) que aparece al lado de 'HKEY_LOCAL_MACHINE', para desplegar esta rama del registro. Ahora en vez de (+) aparece un (-), si hace clic sobre este plegará la rama. Dentro de esta rama busque la palabra 'SOFTWARE', y de nuevo despliégela haciendo clic en el +, así sucesivamente hasta llegar a 'Run'. Cuando se llege a la clave que haya que modificar, haga doble click en el valor que se desee modificar, que aparece en el panel derecho, o pulse 'Supr' si hay que eliminarlo.
5. Elimine el valor añadido a la siguiente clave del registro de Windows, para evitar la ejecución automática del gusano cada vez que se reinice el sistema.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[cadena_aleatoria] = [nombre_virus]
6. Restaure las siguientes claves del registro con los valores que aparecen para evitar la activación automática del gusano cada vez que se ejecute un fichero de extensiones .exe, .reg, .scr, .com, .bat, .pif.
Clave: HKEY_CLASSES_ROOT\exefile\shell\open\command
Valor: (Predeterminado) = "%1" %*
Cuando llegue a este paso la ventana de regedit tiene que tener un aspecto tal que el siguiente:
6.
Continúe restaurando las siguientes claves:
Clave: HKEY_CLASSES_ROOT\regfile\shell\open\command
Valor: (Predeterminado) = regedit.exe %1
Clave: HKEY_CLASSES_ROOT\scrfile\shell\open\command
Valor: (Predeterminado) "%1" /S
Clave: HKEY_CLASSES_ROOT\scrfile\shell\config\command
Valor: (Predeterminado) "%1"
Clave: HKEY_CLASSES_ROOT\comfile\shell\open\command
Valor: (Predeterminado)"%1" %*
Clave: HKEY_CLASSES_ROOT\batfile\shell\open\command
Valor: (Predeterminado) "%1" %*
Clave: HKEY_CLASSES_ROOT\piffile\shell\open\command
Valor: (Predeterminado) "%1" %*
7. Para evitar que otros usuarios descarguen el gusano desde nuestro equipo mediante la red de intercambio de ficheros de KaZaA, elimine los valores indicados de la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Valores: Dir99 = 012345:- nombre del directorio aleatorio -
DisableSharing =0
8. Elimine la siguiente entrada del registro:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Valor: DisableRegistryTools = 1
9. Parchear la aplicación Internet Explorer para reparar la vulnerabilidad utilizada por este virus.
La descarga se puede realizar desde la siguiente página del Boletín de Seguridad de Microsoft.
Como alternativa, puede utilizar herramientas de desinfección gratuitas proporcionadas por fabricantes de antivirus como las listadas a continuación. (Alerta-Antivirus no ha probado estas herramientas y no puede garantizar su funcionamiento)
* BitDefender: Antisven-es.exe
* Symantec: FixSwen.exe
* Panda Software: PQRemove.com
* Trend Micro: SysClean.com
* McAfee: Stinger.exe
muy confuso
, pero espero que les sirva, porque ami me pasaba esto pero lo solucione.
fuente. http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3032