• Registrarse
  • Iniciar sesión


  • Resultados 1 al 7 de 7

    ALERTA: Oscarbot nuevo gusano de mensajeria, Autorun y P2P

    Oscarbot Gusano que se propaga a través de programas de mensajería instantánea, redes P2P y a las unidades de disco conectadas en el sistema comprometido. Dispone de una funcionalidad de puerta trasera que permite realizar ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.289

      Malware ALERTA: Oscarbot nuevo gusano de mensajeria, Autorun y P2P

      Oscarbot


      Gusano que se propaga a través de programas de mensajería instantánea, redes P2P y a las unidades de disco conectadas en el sistema comprometido.
      Dispone de una funcionalidad de puerta trasera que permite realizar diversas acciones desde el sistema comprometido.

      Peligrosidad: 3 - Media

      Difusión: Baja Fecha de Alta:09-05-2009
      Última Actualización:09-05-2009
      Daño: Alto

      Dispersibilidad: Alta

      Nombre completo: [email protected]+P2P+US
      Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
      Mecanismo principal de difusión: [IM+P2P+US] - Se propaga mediante programas de Mensajería instantánea (como MSN Messenger o AIM), mediante redes de compartición de ficheros P2P (peer to peer) y a través de unidades del sistema (locales, mapeadas, extraíbles).
      Tamaño (bytes): 56320
      Alias:W32/Oscarbot.gen (PerAntivirus)

      Metodo manual de eliminacion

      1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
      2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

      Elimine los siguientes ficheros:
      * %Windir%\service.exe
      * %Drive%\autorun.inf

      Nota: %Windir% es una variable que hace referencia al directorio de intalación de Windows.
      Por defecto es C:\Windows (Windows 95/98/Me/XP/Server 2003) o C:\Winnt (Windows NT\2000).
      %Drive% es una variable que hace referencia a la unidad física, mapeable o extraíble en la que se crea el fichero (H:/ , S:/, etc).

      Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
      3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
      En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.
      4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

      Elimine las siguientes entradas del registro:

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      Valor: "Windows Services" = "%Windir%\service.exe"

      5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
      6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.


      INFECCIÓN Y EFECTOS


      Oscarbot copia el siguiente fichero en el sistema comprometido cuando se ejecuta:

      * %Windir%\service.exe

      Nota: %Windir% es una variable que hace referencia al directorio de intalación de Windows.
      Por defecto es C:\Windows (Windows 95/98/Me/XP/Server 2003) o C:\Winnt (Windows NT\2000).

      Crea además la siguiente entrada en el registro de Windows:

      Código:
      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  
      Valor: "Windows Services" = "%Windir%\service.exe"
      Dispone de un componente Backdoor que se conecta a un servidor de Chat y se une a canales aleatorios desde los cuales permite ejecutar un BOT para ejecutar en forma remota las siguientes posibles acciones:

      * Descargar y ejecutar archivos arbitrarios
      * Visualizar procesos del sistema
      * Crear y ejecutar procesos
      * Ejecutar ataques de Denegación de Servicios (DDoS)
      * Ver los hilos de MSN, AIM y Triton
      * Substraer passwords y archivos protegidos
      * Ejecutar recursos compartidos
      * Actualizarse asi mismo

      En el siguiente reinicio del sistema muestra el siguiente falso mensaje:



      Oscarbot se propaga a todos los dispositivos extraíbles del sistema comprometido utilizando el siguiente fichero "autorun.inf":

      Código:
      [autorun]  
      open=RECYCLER\S-1-6-21-2434476501-16444919xxxxxxxxxx 
      icon=%SystemRoot%\system32\xxxxxx 
      action=Open folder to view xxxxxx 
      shell\open=Open  
      shell\open\command=RECYCLER\S-1-6-21-2434476501-1644491937-6000xxxxxxxx 
      shell\open\defaultxx---
      
      código editado by moderación 
      Se propaga a través de programas de mensajería instantánea como AIM, MSN, ICQ y Triton al conectarse otros usuarios con el usuario del sistema comprometido.

      Utiliza además redes P2P como Edonkey2000, Morpheus, KaZaA, LimeWire, BearShare y Grokster para su propagación, copiando ficheros ejecutables en los directorios correspondientes de ficheros compartidos de cada aplicación con nombres atractivos para fomentar la descarga de otros usuarios.

      Detalles:

      Oscarbot está construido en Visual C++, tiene un tamaño de 55 KB y está encriptado utilizando algorítmos propios.

      Descubridor: PerAntivirus


      Fuente
      Última edición por Herrante fecha: 09/05/09 a las 08:45:35
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Nizax
      Registrado
      ago 2008
      Ubicación
      Argentina
      Mensajes
      4.870

      Re: ALERTA: Oscarbot nuevo gusano de mensajeria, Autorun y P2P

      Gracias HERRANTE por avisarnos de los nuevos virus que aparecen y como desinfectarlos. Saludos.

    3. #3
      Ex-Colaborador Avatar de Binnish
      Registrado
      ene 2009
      Ubicación
      España - Granad
      Mensajes
      15.219

      Re: ALERTA: Oscarbot nuevo gusano de mensajeria, Autorun y P2P

      Tomando nota

      Gracias HERRANTE

    4. #4
      Usuario Avatar de RROKO
      Registrado
      may 2009
      Ubicación
      El salvador San
      Mensajes
      259

      Triste Re: ALERTA: Oscarbot nuevo gusano de mensajeria, Autorun y P2P

      Shit tengo lime wire y ahora no quiero bajr musica
      con ese vicho que anda rondando

    5. #5
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: ALERTA: Oscarbot nuevo gusano de mensajeria, Autorun y P2P

      Como siempre...Buena Info Herrante.

      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de joegod
      Registrado
      abr 2009
      Ubicación
      Málaga
      Mensajes
      29

      Re: ALERTA: Oscarbot nuevo gusano de mensajeria, Autorun y P2P

      ¡¡Gracias por mantenernos actualizados continuamente!!

    7. #7
      Usuario Avatar de AcidRain
      Registrado
      mar 2008
      Ubicación
      Puerto Rico
      Mensajes
      314

      Re: ALERTA: Oscarbot nuevo gusano de mensajeria, Autorun y P2P

      Y el Ares tambn no?

      Ahhhh ^%%^@@$$# jajajaja no puede ser!

      Sabes que antivirus ya lo detectan?