Fecha: 17/set/04
Recientemente se a reportado un nuevo gusano de internet que esta atacando a muchos usuarios de MSN de Micro$oft, agregándole un enlace (Link) en el nik del contacto donde cada vez que se escribe un mensaje aparece.

Nombre: W32/Rayl.A - Wode.jpg (InfoSpyware)
Tipo: Gusano de Internet (MSN)
Alias: AdClicker-BD, Exploit.HTML.Mht, TrojanDownloader.Win32.Delf.ed, W32.Snone.A,
W32/Rayl.A.worm, Win32/Elomon.worm.48644,
Worm.MSN.Elon.a

http://www.infospyware.com/images/foro/msn.gif

Si el otro usuario hace un click en ese enlace
automáticamente quedara infectado su MSN y así
sucesivamente el mismo empezara a infectar al resto
de sus contactos.

Al pulsar el enlace de esta web "http:// www . xf2s .com/ msn/ wode.jpg" la cual mostrara una foto de una Japonesa
con el nombre "wode.jpg" automaticamente nuestro MSN
quedara infectado.

Esta imagen Wode.Jpg no es mas que un código html
<html>
<iframe src="news.htm" width="0" height="0" frameborder="0"></iframe>
<center><img src="1.jpg"></center>
<html>

Este código nos mostrara una imagen similar a esta:

http://www.infospyware.com/images/foro/China1.jpg

Y por otro lado nos cargara una pagina supuestamente inexistente la cual tiene las secuencias en un código JavaScript la cual una vulnerabilidad del IE ejecuta permitiendo que pueda secuestrar nuestro MSN

Los pasos para eliminar este parásito en forma manual son los siguientes:

1- Descargar los parches críticos de Windows Microsoft Security Bulletin MS04-018 (http://www.microsoft.com/technet/security/bulletin/ms04-018.mspx)

2- Abrir el Administrador de Procesos haciendo Ctrl+Alt+Del
y en caso de encontrar alguno de estos procesos, cortarlos:

MONIKER.EXE
SYSLRAY.EXE
HKT1.DLL

3- Iniciar el REGEDIT desde inicio>ejecutar y buscar este entrada

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run

Eliminar los siguientes valores:

realone_nt2003
realone_nt2004


4- Buscar los siguientes archivos que por lo gral se encuentran en esta carpeta
C:\WINDOWS\System32\ y eliminarlos:

MONIKER.EXE
SYSLRAY.EXE
HKT1.DLL

5- Reiniciar el PC

**Nota**
Para eliminarlo de forma automática descarguen la herramienta MSNCleaner by InfoSpyware (http://www.forospyware.com/t92153.html)


http://www.infospyware.com/images/foro/Anti-Wode.gif


________________________________________________

Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el Foro Oficial de HijackThis en español (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/)

.::FG::. (http://www.forospyware.com/Firefox/Firefox.htm)