virus Worm.W32/Mibling@IM
2 participantes
Página 1 de 1.
virus Worm.W32/Mibling@IM
Lara Croft Lun Dic 07, 2009 12:41 pm
Mibling (Peligrosidad: 1 - Mínima)
Gusano que se propaga a través de clientes de mensajería instantánea y abre una puerta trasera para comprometer el ordenador infectado.
Solución
Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.
En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:
Detenga el servicio creado por acción del código malicioso siguiendo el proceso indicado:
1. Pulse 'Inicio' , 'Ejecutar'.
2. Teclee services.msc, y pulse 'Aceptar'.
3. Localice y seleccione los servicios indicados en la sección de ‘Infección/Efectos’.
4. Pulse 'Acción', 'Propiedades'.
5. Pulse 'Detener'.
6. Cambie el 'Tipo de inicio:' a Manual.
7. Pulse 'Aceptar' y cierre la ventana de Servicios.
8. Reinicie su equipo.
Descargue el programa RegUnlocker y restaure el 'Modo seguro' desde la pestaña 'Reparadores'. Marque 'Repara el Modo Seguro (Modo a prueba de fallos)'. Haga click en el botón 'Aceptar'. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.
Elimine los siguientes ficheros:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\Adobe Gamma Loader.com
C:\Program Files\Microsoft Office\OFFICE11\ WINWORD.EXE
C:\Program Files\Microsoft Office\OFFICE11\services.exe
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.
Borre las siguiente claves del registo y todo su contenido:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Valor: "Shell" = "Explorer.exe, C:\Program Files\Microsoft Office\OFFICE11\services.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\Acha.exe
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\AmyMastura.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\BabyRina.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\cscript.exe\
Valor: "Debugger" = "rundll32.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\csrsz.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\lsasc.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\registry.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\SMSSS.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\wscript.exe\
Valor: "Debugger" = "rundll32.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\
Valor: "NeverShowExt" = ""
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
Valor: UacDisableNotify" = "1"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\
Valor: "AntiVirusDisableNotify" = "1"
Valor: "AntiVirusOverride" = "1"
Valor: "FirewallDisableNotify" = "1"
Valor: "FirewallOverride" = "1"
Valor: "FirstRunDisabled" = "1"
Valor: "UpdatesDisableNotify" = "1"
Valor: "UacDisableNotify" = "1"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system\
Valor: "EnableLUA" = "0"
Clave: HKEY_ALL_USERS\Software\Microsoft\Office\Common\
Valor: "QMSessionCount" = "2"
Clave: HKEY_ALL_USERS\Software\Microsoft\Office\Common\Assistant\
Valor: "CurrAsstState" = "26"
Borre las siguientes entradas de registro:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\Acha.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\AmyMastura.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\BabyRina.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\cscript.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\csrsz.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\lsasc.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\registry.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\SMSSS.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\wscript.exe
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.
Datos Técnicos
Peligrosidad: 1 - Mínima Difusión: Baja Fecha de Alta:05-06-2009
Última Actualización:08-06-2009
Daño: Bajo
[Explicación de los criterios] Dispersibilidad: Medio
Nombre completo: Worm.W32/Mibling@IM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Alias:Mibling (Symantec), W32/Mibling (PerAntivirus)
Detalles
Método de Infección/Efectos
Se instalan los siguientes archivos:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\Adobe Gamma Loader.com
C:\Program Files\Microsoft Office\OFFICE11\ WINWORD.EXE
C:\Program Files\Microsoft Office\OFFICE11\services.exe
El gusano borra los siguientes archivos:
C:\Program Files\Microsoft Office\OFFICE11\control.ini
C:\Program Files\Microsoft Office\OFFICE11\Drvics32.dll
C:\Program Files\Microsoft Office\OFFICE11\hjwgsd.dll
C:\Program Files\Microsoft Office\OFFICE11\jwiegh.dll
C:\Program Files\Microsoft Office\OFFICE11\PUB60SP.mrc
C:\Program Files\Microsoft Office\OFFICE11\remote.ini
C:\Program Files\Microsoft Office\OFFICE11\ruimsbbe.dll
C:\Program Files\Microsoft Office\OFFICE11\smss.exe
C:\Program Files\Microsoft Office\OFFICE11\yofc.dll
C:\Program Files\Microsoft Office\OFFICE11\ WINWORD.EXE
Una vez instalado en el sistema, crea las siguientes entradas del registro para ejecutarse cada vez que se inicia Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Valor: 'Shell' = 'Explorer.exe, C:\Program Files\Microsoft Office\OFFICE11\services.exe'
Crea las siguiente claves de registro:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Acha.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\AmyMastura.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\BabyRina.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\cscript.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\csrsz.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\lsasc.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\registry.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\SMSSS.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\wscript.exe
El gusano crea las siguiente entradas de registro, así el gusano se ejecutará en lugar de las aplicaciones solicitadas:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\Acha.exe
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\AmyMastura.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\BabyRina.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\cscript.exe\
Valor: "Debugger" = "rundll32.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\csrsz.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\lsasc.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\registry.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\SMSSS.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\wscript.exe\
Valor: "Debugger" = "rundll32.exe"
Crea el siguiente servicio creando la siguiente entrada de registro:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
Modificando las siguientes entradas de registro, para crear el servicio:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\
Valor: "NeverShowExt" = ""
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
Valor: UacDisableNotify" = "1"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\
Valor: "AntiVirusDisableNotify" = "1"
Valor: "AntiVirusOverride" = "1"
Valor: "FirewallDisableNotify" = "1"
Valor: "FirewallOverride" = "1"
Valor: "FirstRunDisabled" = "1"
Valor: "UpdatesDisableNotify" = "1"
Valor: "UacDisableNotify" = "1"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies\system\
Valor: "EnableLUA" = "0"
Clave: HKEY_ALL_USERS\Software\Microsoft\Office\Common\
Valor: "QMSessionCount" = "2"
Clave: HKEY_ALL_USERS\Software\Microsoft\Office\Common\Assistant\
Valor: "CurrAsstState" = "26"
También borra las siguientes entradas de registro para evitar iniciar el sistema en modo seguro:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\ContrelSet\Control\SafeBoot
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
El gusano abre una puerta trasera para conectarse a un canal de IRC y permitir a un atacante remoto accesos no auorizados.
Método de Propagación
El virus se propaga a través de mensajería instantánea, enviando un mensaje que contiene un enlace a una página Web de intercambio de ficheros http://[eliminado]ratis.4shared.com.
Gusano que se propaga a través de clientes de mensajería instantánea y abre una puerta trasera para comprometer el ordenador infectado.
Solución
Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.
En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:
Detenga el servicio creado por acción del código malicioso siguiendo el proceso indicado:
1. Pulse 'Inicio' , 'Ejecutar'.
2. Teclee services.msc, y pulse 'Aceptar'.
3. Localice y seleccione los servicios indicados en la sección de ‘Infección/Efectos’.
4. Pulse 'Acción', 'Propiedades'.
5. Pulse 'Detener'.
6. Cambie el 'Tipo de inicio:' a Manual.
7. Pulse 'Aceptar' y cierre la ventana de Servicios.
8. Reinicie su equipo.
Descargue el programa RegUnlocker y restaure el 'Modo seguro' desde la pestaña 'Reparadores'. Marque 'Repara el Modo Seguro (Modo a prueba de fallos)'. Haga click en el botón 'Aceptar'. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.
Elimine los siguientes ficheros:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\Adobe Gamma Loader.com
C:\Program Files\Microsoft Office\OFFICE11\ WINWORD.EXE
C:\Program Files\Microsoft Office\OFFICE11\services.exe
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.
Borre las siguiente claves del registo y todo su contenido:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Valor: "Shell" = "Explorer.exe, C:\Program Files\Microsoft Office\OFFICE11\services.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\Acha.exe
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\AmyMastura.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\BabyRina.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\cscript.exe\
Valor: "Debugger" = "rundll32.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\csrsz.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\lsasc.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\registry.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\SMSSS.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\wscript.exe\
Valor: "Debugger" = "rundll32.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\
Valor: "NeverShowExt" = ""
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
Valor: UacDisableNotify" = "1"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\
Valor: "AntiVirusDisableNotify" = "1"
Valor: "AntiVirusOverride" = "1"
Valor: "FirewallDisableNotify" = "1"
Valor: "FirewallOverride" = "1"
Valor: "FirstRunDisabled" = "1"
Valor: "UpdatesDisableNotify" = "1"
Valor: "UacDisableNotify" = "1"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system\
Valor: "EnableLUA" = "0"
Clave: HKEY_ALL_USERS\Software\Microsoft\Office\Common\
Valor: "QMSessionCount" = "2"
Clave: HKEY_ALL_USERS\Software\Microsoft\Office\Common\Assistant\
Valor: "CurrAsstState" = "26"
Borre las siguientes entradas de registro:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\Acha.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\AmyMastura.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\BabyRina.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\cscript.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\csrsz.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\lsasc.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\registry.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\SMSSS.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\wscript.exe
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.
Datos Técnicos
Peligrosidad: 1 - Mínima Difusión: Baja Fecha de Alta:05-06-2009
Última Actualización:08-06-2009
Daño: Bajo
[Explicación de los criterios] Dispersibilidad: Medio
Nombre completo: Worm.W32/Mibling@IM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Alias:Mibling (Symantec), W32/Mibling (PerAntivirus)
Detalles
Método de Infección/Efectos
Se instalan los siguientes archivos:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\Adobe Gamma Loader.com
C:\Program Files\Microsoft Office\OFFICE11\ WINWORD.EXE
C:\Program Files\Microsoft Office\OFFICE11\services.exe
El gusano borra los siguientes archivos:
C:\Program Files\Microsoft Office\OFFICE11\control.ini
C:\Program Files\Microsoft Office\OFFICE11\Drvics32.dll
C:\Program Files\Microsoft Office\OFFICE11\hjwgsd.dll
C:\Program Files\Microsoft Office\OFFICE11\jwiegh.dll
C:\Program Files\Microsoft Office\OFFICE11\PUB60SP.mrc
C:\Program Files\Microsoft Office\OFFICE11\remote.ini
C:\Program Files\Microsoft Office\OFFICE11\ruimsbbe.dll
C:\Program Files\Microsoft Office\OFFICE11\smss.exe
C:\Program Files\Microsoft Office\OFFICE11\yofc.dll
C:\Program Files\Microsoft Office\OFFICE11\ WINWORD.EXE
Una vez instalado en el sistema, crea las siguientes entradas del registro para ejecutarse cada vez que se inicia Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Valor: 'Shell' = 'Explorer.exe, C:\Program Files\Microsoft Office\OFFICE11\services.exe'
Crea las siguiente claves de registro:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Acha.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\AmyMastura.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\BabyRina.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\cscript.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\csrsz.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\lsasc.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\registry.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\SMSSS.exe
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\wscript.exe
El gusano crea las siguiente entradas de registro, así el gusano se ejecutará en lugar de las aplicaciones solicitadas:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\Acha.exe
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\AmyMastura.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\BabyRina.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\cscript.exe\
Valor: "Debugger" = "rundll32.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\csrsz.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\lsasc.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\registry.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\SMSSS.exe\
Valor: "Debugger" = "cmd.exe /c del"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\wscript.exe\
Valor: "Debugger" = "rundll32.exe"
Crea el siguiente servicio creando la siguiente entrada de registro:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
Modificando las siguientes entradas de registro, para crear el servicio:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\
Valor: "NeverShowExt" = ""
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
Valor: UacDisableNotify" = "1"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\
Valor: "AntiVirusDisableNotify" = "1"
Valor: "AntiVirusOverride" = "1"
Valor: "FirewallDisableNotify" = "1"
Valor: "FirewallOverride" = "1"
Valor: "FirstRunDisabled" = "1"
Valor: "UpdatesDisableNotify" = "1"
Valor: "UacDisableNotify" = "1"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies\system\
Valor: "EnableLUA" = "0"
Clave: HKEY_ALL_USERS\Software\Microsoft\Office\Common\
Valor: "QMSessionCount" = "2"
Clave: HKEY_ALL_USERS\Software\Microsoft\Office\Common\Assistant\
Valor: "CurrAsstState" = "26"
También borra las siguientes entradas de registro para evitar iniciar el sistema en modo seguro:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\ContrelSet\Control\SafeBoot
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
El gusano abre una puerta trasera para conectarse a un canal de IRC y permitir a un atacante remoto accesos no auorizados.
Método de Propagación
El virus se propaga a través de mensajería instantánea, enviando un mensaje que contiene un enlace a una página Web de intercambio de ficheros http://[eliminado]ratis.4shared.com.
Lara Croft- Admin
- Cantidad de envíos : 4515
Edad : 56
Localización : muy cerca de tí
karmas : 5154
reputación : 22
Fecha de inscripción : 27/10/2008 -
Re: virus Worm.W32/Mibling@IM
luzdeluna Mar Dic 08, 2009 8:23 am
muchas gracias Lara......... es una informacion muy importante, y que si se me presenta el caso, ya sé que hacer.......... 
luzdeluna- eminencia
- Cantidad de envíos : 417
Edad : 52
karmas : 464
reputación : 9
Fecha de inscripción : 29/11/2009
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.