Informacion en Virus (ultimos)

Ultimos Virus A continuación voy a dejar un listado de los virus mas recientes actualizado hasta la fecha del 6 de Diciembre. Aca se encuentran los nombres de los virus los detalles y las posibles formas de eliminarlos. Espero que les sea util. Listado de Virus: • Win32/Filecoder.E • Win32/VB.NSM • Win32/Filecoder.F • Agent.LXF • Agent.LBX • Mdrop.CIW • Zbot.KJ • Vobfus.GE • Gampass.Y Detalles: “Win32/Filecoder.E” Troyano que encripta archivos de las unidades locales. Detalles Cuando el malware se ejecuta encripta archivos para luego pedir al usuario que envié un mensaje SMS a un número especifico. Crea el siguiente archivo en la siguiente carpeta: C:/ Windows/ System/ FYKRAGNL.exe Crea la siguiente entrada del registro: HKCR/ .crypted] "(Default)" = "LQWGAQGIVE" HKCR/ LQWGAQGIVE] "(Default)" = "CRYPTED!" HKCR/ LQWGAQGIVE/ LQWGAQGIVE/ DefaultIcon] "(Default)" = "%system%/ FYKRAGNL.exe,0" HKCR/ LQWGAQGIVE/ shell/ open/ command] "(Default)" = "%system%/ FYKRAGNL.exe "%1"" Busca archivos con las siguientes extensiones para encriptarlos: * .3gp * .amr * .avi * .bmp * .doc * .img * .iso * .jpg * .mov * .mp3 * .mp4 * .msi * .nrg * .pdf * .php * .ppt * .psd * .rar * .txt * .vob * .wmv * .xls * .zip Solución 1. Reinicie en Modo a prueba de fallos. 2. Ejecute un antivirus actualizado y elimine los archivos infectados. 3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos. 4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema. 5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro: HKLM/ SOFTWARE/ Microsoft / Windows/ CurrentVersion/ Run 6. Cierre el editor del Registro del sistema. 7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano. “Win32/VB.NSM” Gusano que se copia en distintas carpetas del equipo infectado. Detalles Cuando se ejecuta el malware se copia en las siguientes carpetas: C:/ PDA.exe C:/ WINDOWS/ system32/ Dragon Son.exe C:/ WINDOWS/ system32/ Play Boys.exe C:/ WINDOWS/ system32/ PDA.exe C:/ WINDOWS/ system32/ Shai Ling.exe C:/ WINDOWS/ system32/ Internet V9.exe C:/ WINDOWS/ system32/ MP3.exe C:/ Documents and Settings/ All Users/ Start Menu/ Play Boys.exe C:/ Documents and Settings/ All Users/ Desktop/ PDA.exe C:/ Documents and Settings/ All Users/ Documents/ Shai Ling.exe C:/ Documents and Settings/ All Users/ Desktop/ Dragon Son.exe C:/ Documents and Settings/ All Users/ Desktop/ Internet V9.exe C:/ Documents and Settings/ All Users/ Start Menu/ Programs/ Accessories/ MP3.exe Para ejecutarse en cada reinicio del sistema crea las siguientes claves del registro: HKLM/ SOFTWARE/ Microsoft/ Windows/ CurrentVersion/ Run "Play Boys.exe" = "C:/ WINDOWS/ system32/ Play Boys.exe" También puede crear carpetas con los siguientes nombres: Khmer MP3 Kong Fu Story Phone Soft Play Boy Sex The Internet Last Version Intenta finalizar cualquier proceso que contenga las siguientes cadenas en su nombre: Windows Task Manager Run Windows Command Prompt Solución 1. Reinicie en Modo a prueba de fallos. 2. Ejecute un antivirus actualizado y elimine los archivos infectados. 3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos. 4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema. 5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro: HKLM/ SOFTWARE/ Microsoft / Windows/ CurrentVersion/ Run 6. Cierre el editor del Registro del sistema. 7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano. “Win32/Filecoder.F” Troyano que encripta archivos de las unidades locales. Detalles Cuando el malware se ejecuta encripta archivos para luego pedir al usuario que envié un mensaje SMS a un número especifico. Crea el archivo en la carpeta: C:/ Windows/ System/ FYKRAGNL.txt Solución 1. Reinicie en Modo a prueba de fallos. 2. Ejecute un antivirus actualizado y elimine los archivos infectados. 3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos. 4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema. 5. Elimine bajo la columna "Nombre", la entrada que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro: HKLM/ SOFTWARE/ Microsoft / Windows/ CurrentVersion/ Run 6. Cierre el editor del Registro del sistema. 7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano. “Agent.LXF” Troyano para plataforma Windows que crea una tarea en el sistema para cargarse al iniciar el sistema. Detalles Crea el fichero: %System%/ providd.exe. Se propagación mediante la participación de un usuario malicioso o descargado por otro software malicioso. Solución Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección. Elimine los ficheros: %System%/ providd.exe. Elimine las entradas del registro: Clave: HKCU/ Software/ Microsoft/ Windows/ CurrentVersion/ Run Valor: sqlpdro=%System%/ providd.exe Clave: HKLM/ SOFTWARE/ Microsoft/ Windows NT/ CurrentVersion/ Winlogon Valor: Taskman=%System%/ providd.exe Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro. “Agent.LBX” Troyano para plataforma Windows que modifica el registro para cargarse en memoria al iniciar el sistema. Detalles Crea los siguientes: %Windows%/ scssrr.exe. Se propagación mediante la participación de un usuario malicioso o descargado por otro software malicioso. Solución Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección. Elimine los ficheros: %Windows%/ scssrr.exe. Elimine las entradas del registro: Clave: HKLM/ SOFTWARE/ Microsoft/ Windows/ CurrentVersion/ Run Valor: Winlogon=%Windows%/ scssrr.exe Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro. “Mdrop.CIW” Troyano para la plataforma Windows que se ejecuta automáticamente en el arranque del sistema y crea ficheros en la carpeta del sistema de Windows. Detalles Cuando Mdrop-CIW es instalado, se crean los ficheros: %System%/ PRLS.DLL %System%/ WORK.DAT Los troyanos, por definición no disponen de una rutina propia de propagación. Suelen llegar a la máquina infectada por correo, descargados a través de redes P2P, descargados inadvertidamente mientras el usuario visita paginas maliciosas, etc. Solución Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección. Elimine los ficheros: %System%/ PRLS.DLL %System%/ WORK.DAT Elimine las entradas del registro: Clave:HKLM/ SOFTWARE/ Policies/ Microsoft/ Internet Explorer Valor:Main=DEPOff Restaure las siguientes entradas del registro al valor que tuviesen anteriormente, a continuación se indican sus valores por defecto: Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro. “Zbot.KJ” Troyano para la plataforma Windows que tiene la capacidad de ejecutarse cuando se inicia el sistema. Detalles Cuando se ejecuta el troyano, crea los archivos: %System%/ lowsec/ local.ds %System%/ lowsec/ user.ds %System%/ sdra64.exe El troyano incluye una funcionalidad para autoejecutarse cuando se inicia el sistema. Carece de rutina propia de propagación. Suele llegar al sistema descargado por otro código malicioso, o descargado sin el conocimiento del usuario al visitar alguna página Web infectada. Solución Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección. Elimine los ficheros: %System%/ lowsec/ local.ds %System%/ lowsec/ user.ds %System%/ sdra64.exe Elimine las entradas del registro: Clave: HKLM/ SOFTWARE/ Microsoft/ Windows NT/ CurrentVersion/ WinlogonUserinit Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro. “Vobfus.GE” Gusano para la plataforma Windows.Se propaga utilizando unidades extraíbles conectadas al sistema. Detalles Cuando Vobfus.GE se ejecuta por primera vez, crea los ficheros: %Windows%/ msa.exe %System%/ sshnas.dll %System%/ rgfqshz.dll %System%/ ijendlp.dll %System%/ lkpftkae.dat %System%/ lnnftria.dat %System%/ sonaajqt.dll %System%/ lmcezcgn.dll %Userprofile%/ kanef.exe %Escritorio%/ yjAymL.exe %Escritorio%/ PjCfog.bat También crea los trabajos en el programador de tareas: %Windows%/ Tasks/ At1.job %Windows%/ Tasks/ {Dígito aleatorio}1.job %Windows%/ Tasks/ {Dígito aleatorio}2.job Con estos jobs los siguientes son ejecutados todos los días: %Temp%/ c.exe %Windows%/ msa.exe %System%/ sshnas.dll Solución Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección. Elimine los ficheros: %Windows%/ msa.exe %System%/ sshnas.dll %System%/ rgfqshz.dll %System%/ ijendlp.dll %System%/ lkpftkae.dat %System%/ lnnftria.dat %System%/ sonaajqt.dll %System%/ lmcezcgn.dll %Userprofile%/ kanef.exe %Escritorio%/ yjAymL.exe %Escritorio%/ PjCfog.bat %Windows%/ Tasks/ At1.job %Windows%/ Tasks/ {Dígito aleatorio}1.job %Windows%/ Tasks/ {Dígito aleatorio}2.job %Temp%/ c.exe %Windows%/ msa.exe %System%/ sshnas.dll %Temp%/ a.exe %Temp%/ b.exe %Temp%/ c.exe Elimine las entradas del registro: Clave:HKCR/ Software/ Microsoft/ Windows/ CurrentVersion/ Run Valor:Videohost = "%Temp%/ c.exe" Valor:Minisoft = "%Windows%/ msb.exe" Valor:kanef = "%Userprofile%/ kanef.exe" Clave:HKLM/ System/ CurrentControlSet/ Services/ SSHNAS/ Parameters Valor:ServiceDll = "%System%/ sshnas.dll" Clave:HKCR/ CLSID/ {D6679FC8-E686-4611-B8CC-B5F85DB579D7/ InprocServer32 Valorefault = "%System%/ rgfqshz.dll" Clave:HKLM/ Software/ Classes/ CLSID/ {D6679FC8-E686-4611-B8CC- B5F85DB579D7}/ InprocServer32 Valorefault = "%System%/ rgfqshz.dll" Clave:HKLM/ Software/ Classes/ CLSID/ {016C6600-C309-494C-8A32- 271BC1F9B639}/ InprocServer32 Valorefault = "%System%/ sonaajqt.dll" Clave:HKCR/ CLSID/ {016C6600-C309-494C-8A32-271BC1F9B639}/ InprocServer32 Valorefault = "%System%/ sonaajqt.dll" Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro. “Gampass.Y” Troyano para plataforma Windows que modifica el registro del sistema para cargarse al iniciar el sistema. Detalles Crea los ficheros siguientes: %System%/ miditool.dll %System%/ rarinfo.dat Este troyano incluye funcionalidades para: Crear ficheros de comandos en %Windows% Crear fichero en %System% Se propaga mediante la participación de un usuario malicioso o descargado por otro software malicioso. Solución Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección . Elimine los ficheros: %System%/ miditool.dll %System%/ rarinfo.dat Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro. FUENTE Comentar es agradecer