Blog Registrarse Manuales Programas Glosario

Regresar   Foro de InfoSpyware » Documentación » Virus y Spywares mas comunes
Actualizar Eliminar malware NAPSTER con NKill
 

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog
y seguirnos en nuestras vías de difusión: E-Mail - Facebook - Twitter.


Virus y Spywares mas comunes Guías paso a paso con herramientas específicas para eliminar los Malwares mas peligrosos. Vundo, Rogues, Conficker, Zlob, Bagle, CiD, MSN.Worm.

Tema Cerrado
 
Enviar a: Herramientas
  post #1  
Antiguo 10/03/10, 10:59:01
Avatar de GuillermoTell
Moderador Gral.
  
Registrado: abr 2006
Ubicación: Colombia
Mensajes: 8.394
Investigación Eliminar malware NAPSTER con NKill
Nombre: Napster

Tipo: Jokes

Alias: Malware Napster, Joke Napster

Síntomas: El malware se manifiesta de distintas formas que son mencionadas a continuación.
  • Ventanas emergentes avisando de estar infectado por el Hacker NAPSTER.

  • Para alarmar al usuario despliega mensajes que dicen cosas como:

    Cita:
    Hola muy buenos días
    me presento, soy un virus muy divertido, y fui enviado
    por una persona que evidentemente no te quiere.
    YO NO SOY MALO, pero obedezco ordenes.
    Te doy un consejo, trata de amigarte con esa persona
    porque sino voy a estar acá y nada...
    te voy a molestar porque me divierte mucho
    Y lamentablemente fui creado para dicho fin.
    Salu2
  • Paginas de Internet Explorer y/o Firefox con contenido pornográfico.
  • Ejecución de múltiples tareas programadas del tipo At*.job hasta At***.job (donde * es cualquier número)

    Cita:
    C:\WINDOWS\tasks\At1.job
    C:\WINDOWS\tasks\At2.job
    ...
    C:\WINDOWS\tasks\At11.job
    C:\WINDOWS\tasks\At12.job
    ...
    C:\WINDOWS\tasks\At101.job
    C:\WINDOWS\tasks\At102.job
    ...
  • En algunos casos reinicio del equipo con un mensaje de NT AUTHORITY\SYSTEM by NAPSTER.


Metodo de infección: El virus tiene su origen en una descarga de hxxx://www.taringa.net de un hack para matar a los enemigos de forma automatica en los juegos Call Of Dutty y/o Counter Strike, este conocido cheat ha sido modificado para que al instalarse la aplicación llamada Wallhack, se instale al mismo tiempo el Joke NASPTER.
  • Una vez ejecutado e instalado el cheat modificado, los archivos originales o fuente de esta infección se crean en la carpeta C:\Archivos de programa\Wall Hack junto a los archivos propios de ese programa.


    Código:
    C:\Archivos de programa\Wall Hack\mensaje.bat
C:\Archivos de programa\Wall Hack\mensaje2.bat
C:\Archivos de programa\Wall Hack\mensaje3.bat
C:\Archivos de programa\Wall Hack\mensaje4.bat
C:\Archivos de programa\Wall Hack\Naza.bat
C:\Archivos de programa\Wall Hack\reg.bat
C:\Archivos de programa\Wall Hack\tarea.bat
  • Para dificultar su eliminación y facilitar su propagación se copia si mismo en las siguientes ubicaciones:

    Código:
    c:\windows\system32\Naza.bat
c:\windows\Naza.bat
c:\Naza.bat
c:\tarea.bat
C:\fefo.bat
c:\reg.bat 
c:\mensaje.bat
c:\mensaje2.bat
c:\mensaje3.bat
c:\mensaje4.bat
  • Para ejecutar su rutina al inicio el malware se carga bajo las siguientes claves del registro.

    Código:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"napster_run"= C:\mensaje.bat
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"napster_run1"= C:\mensaje2.bat
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fefo"= C:\fefo.bat
  • En Hijackthis se pueden ver las entradas correspondientes a este malware de la siguiente forma:

    O4 - HKLM\..\Run: [napster_run] C:\mensaje.bat
    O4 - HKLM\..\Run: [napster_run1] C:\mensaje2.bat
    O4 - HKLM\..\Run: [fefo] C:\fefo.bat
InfoSpyware

  post #2  
Antiguo 11/03/10, 04:26:08
Avatar de Aяcαиgєℓ
Warrior
  
Registrado: feb 2007
Ubicación: Mexico
Mensajes: 5.921
Re: Analisis del malware NAPSTER
Pasos para eliminar NAPSTER


Herramientas necesarias para eliminar Napster

Cita:
Pasos para su eliminación

Cita:
- Descargar y actualizar las herramientas antes mencionadas.


- Iniciar en Modo Seguro // A prueba de fallos //

*Nota*Si no puede iniciar en Modo Seguro // A prueba de fallos // omita este paso.

- Ejecutar estas herramientas (una por una)
  1. Nkill.pif
  2. MalwareBytes' Antimalware


Cita:
*Nota* Para ejecutar NKill.pif, siga estos pasos:
  • Desactive temporalmente el Antivirus y/o Antispyware.
  • Descomprima NKill.zip en el Escritorio.
  • Abra la Carpeta NKill.
  • Ejecute el archivo NKill.pif.


  • El proceso de desinfección iniciará y el escritorio desaparecerá. No se alarme, ya que esto es normal.

  • Al término del análisis, se abrirá un bloc de notas con las acciones tomadas por NKill.pif.
  • NKill.pif, genera un reporte, el cual encontrará generalmente en C:\Nkill.txt. Ese reporte debe copiar y pegar en su próxima respuesta.
- Ejecute CCleaner, para limpiar cookies, temporales y el Registro. Úselo de acuerdo a su manual.

- Reinicie el equipo y compruebe los resultados.






________________________________________________

Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

ForoSpyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el Foro Oficial de HijackThis en español






Descargar Nkill.pif (NAPSTER Kill) , sólo para Win XP, Vista y Seven (32 Bits)
Archivos Adjuntos
Tipo de Archivo: zip NKill.zip (116,8 KB, 211 visitas)
Tema Cerrado

« Tema Anterior | Próximo Tema »
Herramientas

Reglas del foro
No puedes crear nuevos temas
No puedes responder temas
No puedes subir adjuntos
No puedes editar tus mensajes
BB code is activado
Las caritas están activado
Código [IMG] está activado
Código HTML está activado
Trackbacks are desactivado
Pingbacks are activado
Refbacks are activado

Temas Similares
Tema Autor Foro Respuestas Último mensaje
tengo conexion pero no abre navegadores reheroo Foro de Virus y Spywares 5 20/02/10 11:55:46
Disco duro dañado? (Solucionado) Silvana01 Foro de Hardware 2 10/11/09 10:53:42
Firefox se abre solo al inicio DieselZero Foro Oficial de HijackThis en español 3 16/10/09 07:57:53
SpyBot S&D 1.4 6/6/2007 ElPiedra Actualización de AntiSpywares 0 28/03/07 18:32:59
Problema con pagina de inicio (About:Blank) (solucionado) Joselo1984 Temas Solucionados 17 09/08/05 22:46:54




Todas las horas son GMT -4. La hora es 15:12:05.

Sobre Nosotros - Contáctanos - Privacidad - Staff - Archivo - Blog  

Powered by: InfoSpyware, Versión 3.8.4
Copyright © 2005 - 2010,, ForoSpyware.com
© Copyright 2004 - 2010 InfoSpyware ® Todos los derechos reservados.
InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31