SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Nuevo gusano destructivo que propaga via MSN Messenger.
Nombre de virus: W32/Melo.worm
Alias conocidos:
VB.NEY,
Generic.Malware.SP.680E7C35, W32.Jesse, Win32/VB.NEY
Riesgo
Infección: Bajo
(Bajo, Medio, Alto, Muy Alto)
Propagación: via MSN Messenger.
Activación: Por pulsar en enlace de
descarga
Detección: desde DATS 4774
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media,
Elevada)
w32/Melo.worm es un gusano que se propaga vía MSN Messenger, enviando un
mensaje con un enlace para su descarga.
Su ejecución puede borrar
archivos del equipo infectado, modificar el registro de Windows para reducir la
seguridad del sistema, y finalizar procesos en ejecución de diferentes programas
antivirus y cortafuegos.
Asimismo, intenta borrar claves críticas del registro que pueden evitar que
Windows se reinicie.
Detalles
Una vez se ejecuta, realiza las siguientes acciones:
· Se copia así mismo como %System%\drivers\etc\jesse.exe.
· Busca todos los ficheros de la carpeta raíz de las unidades A y C. Para cada fichero que encuentra, el gusano crea una copia de sí mismo como [NOMBRE DEL FICHERO EXISTENTE].exe, y borra el fichero original. Por ejemplo, si detecta la existencia de CONFIG.SYS, el gusano se copiará como CONFIG.SYS.EXE, y borrará CONFIG.SYS.
A:\Autor.txt
C:\Autor.txt
%System%\Antlist.bat
%System%\win_nt.bat
%System%\systemwork.bat
· Modifica las siguientes entradas del registro
o Para deshabilitar el Administrador de tareas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "1"
o
Para
autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
a = "c:\windows\system32\drivers\etc\jesse.exe"
- _AVPCC
- ACKWIN32
- AD-AWARE
- ADMINTOOL
- ADVXDWIN
- AGENTA
- AGENTSVR
- ALERTSVC
- ALOGSERV
- AMON9X
- ANTI-TROJAN
- ANTITROJ
- ANTIVIRUS
- APIMONITOR
- APLICA32
- APVXDWIN
- ASHDISP
- ASHQUICK
- ATGUARD
- ATRO55EN
- ATUPDATER
- ATWATCH
- AUTODOWN
- AUTOTRACE
- AVCONSOL
- AVENGINE
- AVGCC32
- AVGCTRL
- AVGSERV
- AVGSERV9
- AVGUARD
- AVKPOP
- AVKSERV
- AVKSERVICE
- AVKWCTL
- AVKWCTL9
- AVSCHED32
- AVSYNMGR
- AVWINNT
- AVXGUI
- AVXLIVE
- AVXMONITOR9X
- AVXMONITORNT
- AVXQUAR
- BD_PROFESSIONAL
- BIDSERVER
- BLACKD
- BLACKICE
- BOOTSCAN
- BOOTWARN
- CCEVTMGR
- CFGINTPR
- CFGWIZ
- CFIADMIN
- CFIAUDIT
- CFINET
- CFINET32
- CLAW95
- CLAW95CF
- CLEANER
- CLEANER3
- CLEANPC
- CMGRDIAN
- CMON016
- CONNECTIONMONITOR
- CPFNT206
- CWNB181
- CWNTDWMO
- DEFSCANGUI
- DEFWATCH
- DEPUTY
- DPATROL
- DRWEB32
- DRWEBSCD
- ECENGINE
- EFPEADM
- ESCANH95
- ESCANHNT
- ESCANV95
- ESPWATCH
- ETRUSTCIPE
- EXANTIVIRUS-CNET
- EXPERT
- F-AGNT95
- F-PROT
- F-PROT95
- F-STOPW
- FAMEH32
- FINDVIRU
- FIREWALL
- FLOWPROTECTOR
- FNRB32
- FP-WIN
- FSAV32
- FSAV530STBYB
- FSAVSTRT
- FSGK32
- FSMA32
- FSMB32
- GBMENU
- GBPOLL
- GENERICS
- GLADIATOR
- GUARDDOG
- GUARDER
- HACKERELIMINATOR
- HACKTRACERSETUP
- IAMAPP
- IAMSERV
- IAMSTATS
- IBMASN
- IBMAVSP
- ICLOAD95
- ICLOADNT
- ICSUPP95
- ICSUPPNT
- IOMON98
- IPARMOR
- ISRV95
- JAMMER
- KAVLITE40ENG
- MCVSSHLD
- MFW2EN
- MGAVRTCL
- MGAVRTE
- MGHTML
- MGUTIL
- MINILOG
- MONITOR
- MOOLIVE
- MPFTRAY
- MSSMMC32
- MWATCH
- N32SCANW
- NAVAPSVC
- NAVAPW32
- NAVLU32
- NAVSTUB
- NAVW32
- NAVWNT
- NEOWATCHLOG
- NEOWATCHTRAY
- NETARMOR
- NETINFO
- NETMON
- NETSCANPRO
- NETSPYHUNTER-1.2
- NETUTILS
- NISSERV
- NORMIST
- NPFMESSENGER
- NPSSVC
- NSCHED32
- NTRTSCAN
- NTXCONFIG
- NVARCH16
- NWSERVICE
- NWTOOL16
- OSTRONET
- OUTPOST
- PADMIN
- PANIXK
- PAVFIRES
- PAVPROXY
- PAVSRV51
- PCCCLIENT
- PCCGUIDE
- PCCIOMON
- PCCNTMON
- PCCPFW
- PCCWIN97
- PCCWIN98
- PCFWALLICON
- PCSCAN
- PERISCOPE
- PERSFW
- PFWADMIN
- PINGSCAN
- PLATIN
- POP3TRAP
- POPROXY
- PORTDETECTIVE
- PORTMONITOR
- PPVSTOP
- PRAZNA
- PROCMAN
- PROGRAMAUDITOR
- PROPORT
- PROTECTX
- PVIEW95
- QCONSOLE
- QSERVER
- QTTASK
- RAPAPP
- RAV7WIN
- RAV8WIN32ENG
- RAVMON
- RAVWIN8
- REALMON
- RMVTRJAN
- RRGUARD
- RSHELL
- RTVSCN95
- RULAUNCH
- SAFEWEB
- SBSERV
- SCAN32
- SCANPM
- SCRSCAN
- SGSSFW32
- SPHINX
- SS3EDIT
- SUPFTRL
- SUPPORTER5
- SWEEP95
- SWNETSUP
- SYMPROXYSVC
- TASKALERT
- TAUMON
- TAUSCAN
- TBSCAN
- TDS2-NT
- THGUARD
- TITANIN
- TITANINXP
- TRJSCAN
- TROJAN
- TROJANHUNTER
- TROJANTRAP3
- TUCONF
- TWEAK-XP
- UMXAGENT
- UMXLDRA
- V530WTBYB
- VBCMSERV
- VBCONS
- VBWIN9X
- VBWINNTW
- VETTRAY
- VIR-HELP
- VNLAN300
- VPFW30S
- VPTR AY
- VPTRAY
- VSCAN40
- VSCHED
- VSECOMR
- VSHWIN32
- VSMAIN
- VSSTAT
- WATCHDOG
- WATCHER
- WEBSCANX
- WEBTRAP
- WFINDV32
- WGFE95
- WIMMUN32
- WINGATE
- WINRECON
- WINROUTE
- WRADMIN
- WRCTRL
- WSBGATE
- XCOMMSVR
- XPF202EN
- ZATUTOR
- ZAUINST
- ZONALM2601
- Administrador de tareas de Windows
- Panel de control
- Editor del Registro
- Utilidad de configuración del sistema
- Restaurar sistema
Título: PROMOCION TELCEL
Mensaje:
Tu mensage se ha enviado, el mensage llegara dentro de los proximos 10
minutos, puedes distribuir esta promocion enviando este software de promocion
por e-mail a tus contactos.
o :
Título: Protection
Mensaje:
Virus removido satisfactoriamente
- jaja look a that video [http://]www.ideastelcel[ELIMINADO]
-
mira este video [http://]www.ideastelcel[ELIMINADO] jaja
Nota: Si el destinatario hace click en el enlace del mensaje, se le
solicitará descargar el fichero videosexy.zip. Este contiene el fichero
Videosexy.avi.exe, el cual es una copia del gusano.
HKEY_LOCAL_MACHINE\software\microsoft
HKEY_LOCAL_MACHINE\hardware
HKEY_CURRENT_USER\software\microsoft
HKEY_CURRENT_USER\hardware
Detección y eliminación
El gusano se
controla desde los
DAT
4774
. Para su eliminación se recomienda ejecutar nuestra utilidad
ELIJESSE.
SATINFO, VIRUSCAN SPAIN SERVICE 1 de Junio de 2006