Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Echando un ojo a las ultimas detecciones de distintos sitios de informacion he encontrado algo realmente curioso, se trata de un gusano propagador que se hace pasar por una advertencia del servicio Kaspersky Online y que exige la introducion de un código de acceso para desinfectar el equipo afectado, detalles a continuación:

Gusano que se propaga por dispositivos extraíbles. Bloquea el acceso al ordenador hasta que el usuario no escriba la clave de desbloqueo que puede obtener enviando un SMS a determinado número.

Nombre completo del virus: Worm.W32/Ransom.G@US+Otros

# Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.


Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95

Mecanismo principal de difusión: US Unidades del sistema (locales, mapeadas, extraíbles) + Otros Otro mecanismo de propagación.

Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.

Tamaño (bytes): 139.776

Alias: * W32/Ransom.G.worm (Panda Security)

Capacidad de autopropagación: Sí

Se propaga de las siguientes maneras:

Unidades del Sistema

Unidades del sistema (locales, mapeadas, extraíbles)

Se propaga dejando copias de sí mismo en todas las unidades que encuentre en el ordenador, ya sean mapeadas o dispositivos extraíbles. En cada uno de estos dispositivos crea los siguientes ficheros:

* md.exe
* autorun.inf

El fichero md.exe es una copia del gusano. El archivo autorun.inf se ejecuta automáticamente cada vez que se accede al dispositivo infectado, su cometido es ejecutar la copia del gusano.

Infección/Efectos

Cuando Ransom.G se ejecuta, realiza las siguientes acciones:

Crea la siguiente copia de sí mismo:

* %System%\user32.exe

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Crea los siguientes archivos:

* %Windir%\Debug\sys.exe
* %Windir%\UserMode\UserMode\Explorer.exe

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 98/Me/XP) o C:\Winnt (Windows NT/2000).

Crea la siguiente entrada en el registro de Windows para deshabilitar el Administrador de Tareas:

Modifica la siguiente entrada del registro para ejecutarse en cada reinicio del sistema:

Lanza continuamente el comando Taskkill de Windows para finalizar los siguientes procesos:

* UTILMAN: Windows Utility Manager
* SETHC: proceso asociado a Windows NT High Control Invocation
* RUNDLL32: Proceso encargado de ejecutar las DLLs
* NARRATOR: herramienta que se utiliza para convertir un texto en discurso
* TASKMGR: corresponde al Administrador de Tareas, permite visualizar los procesos que están en ejecución
* REGEDIT: Corresponde con el Editor del Registro, de esta forma se impide que se pueda acceder al Editor del Registro

Cuando un usuario reinicia el ordenador se muestra una pantalla en ruso en la que se informa al usuario de que su ordenador permanecerá bloqueado hasta que el usuario escriba la clave de desbloqueo, con el fin de engañar al usuario y dar más credibilidad al mensaje, el título de la pantalla dice provenir de la empresa antivirus Kaspersky. Para obtener esta clave debe enviar un SMS a cierto número. La pantalla que se muestra es la siguiente


El código de desbloqueo es el: 5748839

Una vez se ha conseguido desbloquear el ordenador, el mensaje no se mostrará de nuevo cuando el ordenador se reinicie. Sin embargo, el ordenador seguirá infectado con el gusano.
Otros detalles

Está escrito en VisualBasic y comprimido con UPX.

Contramedidas

-->Desinfección

1.Si le aparece este mensaje en ruso ordenador:



El primer paso que tiene que realizar el desbloquear el acceso escribiendo la clave: 5748839 . De esta forma logrará acceder a su ordenador, aunque éste seguirá infectado. A continuación siga los pasos que le indique un especialista para desinfectar el equipo.

Origen de los detalles tecnicos: INTECO - CERT

Posiblemente de forma puntual ponga algún que otro informe de virus curiosos o destacados.

Suerte ahí fuera

Gracias compa, por tenernos informado

saludos

muy interesante
Gracias
OFF: alguien puede poner la informacion sobre el nuevo parche de microsoft para evitar los virus de pendrive?

Muy buena información, Muy bien explicado. La verdad que la mayoria de la gente es admirable en este foro.
Mucha Suerte.
Saludos.