Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Categoría: 2 (bajo riesgo)
Tipo: Gusano
Sistemas afectados: Windows 2003/XP/2000/NT/ME/98/95
Medio de contagio: se propaga a través de redes de ordenadores, realizando copias de sí mismo en el directorio raíz de unidades locales y mapeadas, exceptuando C:
Fecha de descubrimiento: 26 de Enero de 2005.
Tamaño: 73728 Bytes.
Síntomas:

* Muestra el siguiente mensaje en pantalla cuando es ejecutado:
"YOU ARE AN IDIOT!!"

* Reproduce la frase You are an idiot (Eres un idiota) cada 5 segundos.

Detalles técnicos:
Finaliza procesos pertenecen a herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, y su finalización deja al ordenador afectado vulnerable frente al ataque de otro malware.
Por otra parte, otros de esos procesos pertenecen a gusanos, como por ejemplo diversas variantes de Bagle y Netsky.

Método de infección:
Crea los siguientes archivos en el directorio de sistema de Windows:
* Un archivo con un nombre aleatorio de 8 caracteres y extensión EXE. Este archivo es una copia del gusano.
* MUSIC.MP3. Este archivo tiene un tamaño de 39288 Bytes, y reproduce la frase You are an idiot.

Crea las siguientes entradas en el Registro de Windows:

* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
DisplayName = ProjectX
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
ErrorControl = 0
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
ImagePath = %sysdir%\ %archivo%.exe
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
ObjectName = LocalSystem
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
Start = 2
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
Type = 0x110
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX\ Security
Security = %lista de datos binarios%
donde %sysdir% es el directorio de sistema de Windows y %farchivo% es el nombre aleatorio del archivo creado por el gusano.
Mediante estas entradas, Cisum.A se registra a sí mismo como un servicio de Windows llamado ProjectX, que se ejecuta cada vez que Windows se inicia.

Este gusano tiene un tamaño de 73728 Bytes.

Método de eliminación:
Se aconseja escanear el disco en "Modo seguro" o "Modo a prueba de fallos" con un antivirus actualizado.
Finalmente, para restaurar la configuración original de su ordenador, siga estas instrucciones:
* Borre las entradas que Cisum.A ha creado en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
DisplayName = ProjectX

HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
ErrorControl = 0

HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
ImagePath = %sysdir%\ %archivo%.exe

HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
Start = 2

HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX
Type = 0x110

HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ ProjectX\ Security
Security = %lista de datos binarios%
donde %sysdir% es el directorio de sistema de Windows y %archivo% es el nombre aleatorio del archivo creado por el gusano.
* Reinicie el ordenador.

* Finalmente, para eliminar cualquier rastro de Cisum.A, vuelva a realizar un análisis completo de su ordenador.

Notas importantes: Todavía no se han registrado incidencias
importantes provocadas por este gusano, pero conviene estar alerta.
Para asegurar su seguridad:
* Instale un buen antivirus en su ordenador.
* Mantenga su antivirus actualizado.
* Tenga activada la protección permanente de su antivirus en todo momento.

Referencias: Panda