• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Nueva amenaza enmascarada bajo el nombre de Kaspersky

    Nueva amenaza enmascarada bajo el nombre de Kaspersky Echando un ojo a las ultimas detecciones de distintos sitios de informacion he encontrado algo realmente curioso, se trata de un gusano propagador que se hace pasar ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      Malware Nueva amenaza enmascarada bajo el nombre de Kaspersky

      Nueva amenaza enmascarada bajo el nombre de Kaspersky

      Echando un ojo a las ultimas detecciones de distintos sitios de informacion he encontrado algo realmente curioso, se trata de un gusano propagador que se hace pasar por una advertencia del servicio Kaspersky Online y que exige la introducion de un código de acceso para desinfectar el equipo afectado, detalles a continuación:

      Gusano que se propaga por dispositivos extraíbles. Bloquea el acceso al ordenador hasta que el usuario no escriba la clave de desbloqueo que puede obtener enviando un SMS a determinado número.

      Nombre completo del virus: Worm.W32/[email protected]+Otros

      # Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.


      Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95

      Mecanismo principal de difusión: US Unidades del sistema (locales, mapeadas, extraíbles) + Otros Otro mecanismo de propagación.

      Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.

      Tamaño (bytes): 139.776

      Alias: * W32/Ransom.G.worm (Panda Security)

      Capacidad de autopropagación: Sí

      Se propaga de las siguientes maneras:

      Unidades del Sistema

      Unidades del sistema (locales, mapeadas, extraíbles)

      Se propaga dejando copias de sí mismo en todas las unidades que encuentre en el ordenador, ya sean mapeadas o dispositivos extraíbles. En cada uno de estos dispositivos crea los siguientes ficheros:

      * md.exe
      * autorun.inf

      El fichero md.exe es una copia del gusano. El archivo autorun.inf se ejecuta automáticamente cada vez que se accede al dispositivo infectado, su cometido es ejecutar la copia del gusano.

      Infección/Efectos

      Cuando Ransom.G se ejecuta, realiza las siguientes acciones:

      Crea la siguiente copia de sí mismo:

      * %System%\user32.exe

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      Crea los siguientes archivos:

      * %Windir%\Debug\sys.exe
      * %Windir%\UserMode\UserMode\Explorer.exe

      Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
      Por defecto es C:\Windows (Windows 98/Me/XP) o C:\Winnt (Windows NT/2000).

      Crea la siguiente entrada en el registro de Windows para deshabilitar el Administrador de Tareas:

      Código:
      Clave:  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 
        Valor:  DisableTaskMgr = 0
      Modifica la siguiente entrada del registro para ejecutarse en cada reinicio del sistema:

      Código:
      Clave:  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
        Valor:  Shell = %sysdir%\user32.exe
      Lanza continuamente el comando Taskkill de Windows para finalizar los siguientes procesos:

      * UTILMAN: Windows Utility Manager
      * SETHC: proceso asociado a Windows NT High Control Invocation
      * RUNDLL32: Proceso encargado de ejecutar las DLLs
      * NARRATOR: herramienta que se utiliza para convertir un texto en discurso
      * TASKMGR: corresponde al Administrador de Tareas, permite visualizar los procesos que están en ejecución
      * REGEDIT: Corresponde con el Editor del Registro, de esta forma se impide que se pueda acceder al Editor del Registro

      Cuando un usuario reinicia el ordenador se muestra una pantalla en ruso en la que se informa al usuario de que su ordenador permanecerá bloqueado hasta que el usuario escriba la clave de desbloqueo, con el fin de engañar al usuario y dar más credibilidad al mensaje, el título de la pantalla dice provenir de la empresa antivirus Kaspersky. Para obtener esta clave debe enviar un SMS a cierto número. La pantalla que se muestra es la siguiente


      El código de desbloqueo es el: 5748839

      Una vez se ha conseguido desbloquear el ordenador, el mensaje no se mostrará de nuevo cuando el ordenador se reinicie. Sin embargo, el ordenador seguirá infectado con el gusano.
      Otros detalles

      Está escrito en VisualBasic y comprimido con UPX.

      Contramedidas

      -->Desinfección

      1.Si le aparece este mensaje en ruso ordenador:



      El primer paso que tiene que realizar el desbloquear el acceso escribiendo la clave: 5748839 . De esta forma logrará acceder a su ordenador, aunque éste seguirá infectado. A continuación siga los pasos que le indique un especialista para desinfectar el equipo.

      Origen de los detalles tecnicos: INTECO - CERT

      Posiblemente de forma puntual ponga algún que otro informe de virus curiosos o destacados.

      Suerte ahí fuera
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Ex-Colaborador Avatar de Suerte
      Registrado
      may 2008
      Ubicación
      Colombia
      Mensajes
      7.565

      Re: Nueva amenaza enmascarada bajo el nombre de Kaspersky

      Gracias compa, por tenernos informado

      saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de almafuerte89
      Registrado
      mar 2008
      Ubicación
      Argentina
      Mensajes
      287

      Wink Re: Nueva amenaza enmascarada bajo el nombre de Kaspersky

      muy interesante
      Gracias
      OFF: alguien puede poner la informacion sobre el nuevo parche de microsoft para evitar los virus de pendrive?
      Última edición por almafuerte89 fecha: 31/08/09 a las 19:51:24

    4. #4
      Usuario Avatar de Gasto64
      Registrado
      ago 2009
      Ubicación
      Buenos Aires
      Mensajes
      8

      ¡Buena!

      Muy buena información, Muy bien explicado. La verdad que la mayoria de la gente es admirable en este foro.
      Mucha Suerte.
      Saludos.