Worm-Backdoor.W32/Bagle.AG@P2P+MM
Alias:
W32/Bagle.AG.worm (Panda Software), W32/Bagle.ag@MM (McAfee),
W32.Beagle.AC@mm (Symantec), WIN32/BAGLE.AG (Enciclopedia Virus
(Ontinent)), Win32.Bagle.AC (Computer Associates), Worm.Bagle.AG
(ClamAV), I-Worm.Bagle.ah (Kaspersky (viruslist.com)), W32/Bagle-AG
(Sophos)
Descripción:
Bagle.AG es un gusano que sólo afecta a ordenadores con Windows
XP/2000/NT. Bagle.AG abre un puerto TCP y permanece a la escucha, en
espera de que se realice una conexión remota. A través de ella,
permite el acceso remoto al ordenador afectado, para realizar en el
mismo acciones que comprometen la confidencialidad del usuario o
dificultan su trabajo.
Bagle.AG finaliza procesos pertenecientes a programas antivirus y
firewalls, entre otros. Esto deja el ordenador afectado vulnerable
frente al ataque de otros malware.
Adicionalmente, este gusano se conecta a diversas páginas web que
albergan un script PHP.
Bagle.AG se propaga a través del correo electrónico, en mensajes
escritos en inglés, y de programas de intercambio de ficheros punto
a punto (P2P).
Detalles:
Efectos
Bagle.AG realiza las siguientes acciones en ordenadores con
Windows XP/2000/NT:
Abre un puerto TCP y permanece a la escucha, en espera de que se
realice una conexión remota. A través de ella, permite el acceso
remoto al ordenador afectado, para realizar en el mismo acciones que
comprometen la confidencialidad del usuario o dificultan su trabajo.
Finaliza procesos pertenecientes a otro malware, además de a
programas antivirus y firewalls, entre otros:
AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE,
ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE,
ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE,
AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE,
AVGSERV9.EXE, AVLTMAIN.EXE, AVprotect9x.exe, AVPUPD.EXE,
AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE,
BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE,
BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE,
CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE,
CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE,
CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE,
CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE,
DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE,
ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE,
FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE,
FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE,
GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE,
HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE,
ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE,
ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE,
KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE,
KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE,
KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE,
LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE,
LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MFW2EN.EXE,
MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE,
MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE,
NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE,
NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE,
NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE,
NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE,
NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE,
NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE,
NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE,
OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE,
PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE,
PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCFWALLICON.EXE,
PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE,
PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE,
PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE,
PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE,
PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE,
REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE,
RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE,
SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE,
SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE,
SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE,
SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE,
TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE,
TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE,
TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRJSCAN.EXE, TRJSETUP.EXE,
TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE,
VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VFSETUP.EXE,
VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE,
VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE,
VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE,
VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE,
WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE,
WINRECON.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE,
WYVERNWORKSFIREWALL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE,
ZATUTOR.EXE, ZAUINST.EXE, ZONALM2601.EXE y ZONEALARM.EXE.
- Finalizando los procesos asociados a
herramientas de seguridad, Bagle.AG deja el ordenador afectado
vulnerable frente al ataque de otros malware.
- Se conecta a diversas páginas web que
albergan un script PHP:
- http://abtacha.wirebrain.de/o.php
- http://begros.de/o.php
- http://deepiceman.de/o.php
- http://dfk-crew.clanintern.de/o.php
- http://die-cliquee.de/o.php
- http://edwinf.surfplanet.de/o.php
- http://knecht.cs.uni-magdeburg.de/o.php
- http://login.rz.fh-augsburg.de/o.php
- http://niematec.de/o.php
- http://obechmann.de/o.php
- http://pe-data.de/o.php
- http://people-ftp.freenet.de/o.php
- http://people-ftp.freenet.de/o.php
- http://people-ftp.freenet.de/o.php
- http://ronnyackermann.de/o.php
- http://sgi1.rz.rwth-aachen.de/o.php
- http://symbit.de/o.php
- http://tripod.de/o.php
- http://web154.essen082.server4free.de/o.php
- http://web216.berlin240.server4free.de/o.php
- http://www.aachen.de/o.php
- http://www.abacho.de/o.php
- http://www.anwaltverein.de//o.php
- http://www.aquarius.geomar.de/o.php
- http://www.astronomie.de/o.php
- http://www.atlantis-show.de/o.php
- http://www.atlas-hannover.de/o.php
- http://www.awi-bremerhaven.de/o.php
- http://www.baden-wuerttemberg.de/o.php
- http://www.bayerninfo.de/o.php
- http://www.beck.de/o.php
- http://www.berlinonline.de/o.php
- http://www.bessy.de/o.php
- http://www.bitburger.de/o.php
- http://www.blk-bonn.de//o.php
- http://www.bmgs.bund.de/o.php
- http://www.brigitte.de/o.php
- http://www.bundesliga.de/o.php
- http://www.calistyler.de/o.php
- http://www.citypopulation.de/o.php
- http://www.dar-fantasy.de/o.php
- http://www.dasding.de/o.php
- http://www.degruyter.de/o.php
- http://www.destatis.de/o.php
- http://www.dortmund.de/o.php
- http://www.duden.de/o.php
- http://www.dwelle.de/o.php
- http://www.empire-show.de/o.php
- http://www.eumetsat.de/o.php
- http://www.europarl.de/o.php
- http://www.expo2000.de/o.php
- http://www.fernuni-hagen.de/o.php
- http://www.finanznachrichten.de/o.php
- http://www.firstgate.de/o.php
- http://www.frankfurt-airport.de/o.php
- http://www.frankfurter-buchmesse.de/o.php
- http://www.freiburg.de/o.php
- http://www.gantke-net.de/o.php
- http://www.gelbeseiten.de/o.php
- http://www.gtz.de/o.php
- http://www.gutenberg2000.de/o.php
- http://www.hannobunz.de/o.php
- http://www.heidelberg.de/o.php
- http://www.helmholtz.de/o.php
- http://www.hosteurope.de/o.php
- http://www.h-p-i.de/o.php
- http://www.immobilienscout24.de/o.php
- http://www.jugendherberge.de/o.php
- http://www.kabel1.de/o.php
- http://www.kalenderblatt.de/o.php
- http://www.karlsruhe.de/o.php
- http://www.king-alp.de/o.php
- http://www.king-alp.de/o.php
- http://www.klug-suchen.de/o.php
- http://www.kompetenznetze.de/o.php
- http://www.kompetenzz.de/o.php
- http://www.krebsinformation.de/o.php
- http://www.lords-of-havoc.de/o.php
- http://www.lufthansa.de/o.php
- http://www.lupo18t.de/o.php
- http://www.mathguide.de/o.php
- http://www.math-net.de/o.php
- http://www.mdirk.de/o.php
- http://www.medicine-worldwide.de/o.php
- http://www.meinestadt.de/o.php
- http://www.messe-duesseldorf.de/o.php
- http://www.messe-muenchen.de/o.php
- http://www.mohr.de/o.php
- http://www.monster.de/o.php
- http://www.munich-airport.de/o.php
- http://www.mupad.de/o.php
- http://www.murczak.de/o.php
- http://www.murczak.de/o.php
- http://www.niedersachsen.de/o.php
- http://www.nuernbergmesse.de/o.php
- http://www.onlinereviewguide.com/o.php
- http://www.pcwelt.de/o.php
- http://www.photokina.de/o.php
- http://www.rapz-records.de/o.php
- http://www.regtp.de/o.php
- http://www.renewables2004.de/o.php
- http://www.ruhr-uni-bochum.de/o.php
- http://www.saarbruecken.de/o.php
- http://www.saarland.de/o.php
- http://www.schaubuehne.de/o.php
- http://www.schulen-ans-netz.de/o.php
- http://www.slowfood.de/o.php
- http://www.staedtetag.de/o.php
- http://www.stellenmarkt.de/o.php
- http://www.stepstone.de/o.php
- http://www.stifterverband.de/o.php
- http://www.stricker-doerpen.de/o.php
- http://www.studentenwerke.de/o.php
- http://www.stufenlos-regelbar.de/o.php
- http://www.stuttgart.de/o.php
- http://www.stuttgarter-zeitung.de/o.php
- http://www.superstar-nord.de/o.php
- http://www.sysserver1.de/o.php
- http://www.szakos.de/o.php
- http://www.szakos.de/o.php
- http://www.testdaf.de/o.php
- http://www.tu-darmstadt.de/o.php
- http://www.tu-dresden.de/o.php
- http://www.tu-muenchen.de/o.php
- http://www.umweltbundesamt.de/o.php
- http://www.uni-bremen.de/o.php
- http://www.unibw-muenchen.de/o.php
- http://www.uni-duesseldorf.de/o.php
- http://www.uni-duisburg-essen.de/o.php
- http://www.uni-frankfurt.de/o.php
- http://www.uni-jena.de/o.php
- http://www.uni-mannheim.de/o.php
- http://www.uni-marburg.de/o.php
- http://www.uni-osnabrueck.de/o.php
- http://www.uni-tuebingen.de/o.php
- http://www.urlaubstage.de/o.php
- http://www.vwschubert.de/o.php
- http://www.webhits.de/o.php
- http://www.wiley-vch.de/o.php
- http://www.wissenschaft-online.de/o.php
- http://zeus05.de/o.php
- http://zille.cs.uni-magdeburg.de/o.php<
- Borra cualquier valor que encuentre en
las siguientes entradas del Registro:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- My AV
- Zone Labs Client Ex
- 9XHtProtect
- Antivirus
- Special Firewall Service
- service
- Tiny AV
- ICQNet
- HtProtect
- NetDy
- Jammer2nd
- FirewallSvr
- MsInfo
- SysMonXP
- EasyAV
- PandaAVEngine
- Norton Antivirus AV
- KasperskyAVEng
- SkynetsRevenge
- ICQ Net
Metodo de Infección
- Bagle.AG crea los siguientes archivos en
el directorio de sistema de Windows:
SYSXP.EXE. Este archivo es una copia
del gusano.
SYSXP.EXEOPEN y SYSXP.EXEOPENOPEN.
- Bagle.AG crea la siguiente entrada en el
Registro de Windows:
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\
Windows\ CurrentVersion\ Run
key = %sysdir%\ sysxp.exe
donde %sysdir% es el directorio de sistema
de Windows.
Mediante esta entrada, Bagle.AG
consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
- Bagle.AG se propaga a través del correo
electrónico y de los programas de intercambio de ficheros punto
a punto (P2P).
1.- Propagación a través de correo
electrónico.
Bagle.AG realiza el siguiente proceso:
- Llega al ordenador afectado en un
mensaje escrito en inglés de características variables:
Remitente:
Bagle.AG falsifica la dirección que aparece como remitente
del mensaje de correo que provoca la infección. Esto puede
dar lugar a confusiones.
Asunto:
uno de los siguientes:
- Changes..
- Encrypted document
- Fax Message
- Forum notify
- Incoming message
- Notification
- Protected message
- Re: Document
- Re: Hello
- Re: Hi
- Re: Incoming Message
- RE: Incoming Msg
- RE: Message Notify
- Re: Msg reply
- RE: Protected message
- RE: Text message
- Re: Thank you!
- Re: Thanks :)
- Re: Yahoo!
- Site changes
- Update
Contenido: tiene
formato HTML. Cuando se visualiza como texto plano, presenta
los siguientes marcadores HTML:
- html, body, /body, /html, br, br
- Puede ser uno de los siguientes
textos:
- Attach tells everything.
- Attached file tells
everything.
- Check attached file for
details.
- Check attached file.
- Here is the file.
- Message is in attach
- More info is in attach
- Pay attention at the attach.
- Please, have a look at the
attached file.
- Please, read the document.
- Read the attach.
- See attach.
- See the attached file for
details.
- Your document is attached.
- Your file is attached.
Si el archivo adjunto tiene
extensión ZIP, estará protegido mediante una contraseña,
y el mensaje incluirá uno de los siguientes textos:
- For security reasons
attached file is password protected. The password is
%clave%
- For security purposes the
attached file is password protected. Password --
%clave%
- Note: Use password %clave%
to open archive.
- Attached file is protected
with the password for security reasons. Password is
%clave%
- In order to read the attach
you have to use the following password: %clave%
- Archive password: %clave%
- Password - %clave%
- Password: %clave%
donde %clave% representa un
archivo de imagen con extensión BMP, que contiene la
contraseña necesaria para descomprimir el archivo
adjunto.
Por ejemplo, esta imagen podría
ser:
Archivo adjunto:
tiene un nombre y extensión variables, pudiendo ser
alguno de los siguientes:
- DETAILS
- DOCUMENT
- INFO
- INFORMATION
- MESSAGE
- README UPDATES
- TEXT_DOCUMENT
Posibles extensiones:
Dicho archivo podría estar
comprimido en formato ZIP, y protegido mediante contraseña.
El ordenador es afectado cuando
el archivo adjunto es ejecutado.
Bagle.AG busca direcciones de
correo electrónico en archivos que tengan las siguientes
extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP,
MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM,
STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
Bagle.AG se envía a sí mismo a
todas las direcciones de correo que ha recogido, empleando
para ello su propio motor SMTP.
Sin embargo, no se envía a
aquellas direcciones que contengan alguna de las siguientes
cadenas: @avp., @foo, @hotmail, @iana, @messagelab,
@microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee,
certific, contract@, feste, free-av, f-secur, gold-certs@,
google, help@, icrosoft, info@, kasp, linux, listserv,
local, news, nobody@, noone@, noreply, ntivi, panda, pgp,
postmaster@, rating@, root@, samples, sopho, spam, support,
unix, update, winrar, winzip.
2.- Propagación a través de
programas de intercambio de ficheros.
Bagle.AG realiza el siguiente proceso:
Crea copias de sí mismo en los
directorios compartidos de dichos programas, como por ejemplo
Bearshare, KaZaA, Limewire, Morpheus, etc.:
- c:\ My Shared Folder\
- c:\ Program Files\ BearShare\
- c:\ Program Files\ BearShare\
Shared\
- c:\ Program Files\ Common Files\
Microsoft Shared\
- c:\ Program Files\ Grokster\ My
Shared Folder\
- c:\ Program Files\ ICQ\ Shared
Files\
- c:\ Program Files\ Kazaa Lite\ My
Shared Folder\
- c:\ Program Files\ Kazaa\ My Shared
Folder\
- c:\ Program Files\ KMD\ My Shared
Folder\
- c:\ Program Files\ LimeWire\ Shared\
- c:\ Program Files\ Morpheus\ My
Shared Folder\
- c:\ Program Files\ Rapigator\ Share\
- c:\ Program Files\ Shareaza\
- c:\ Program Files\ WinMX\ My Shared
Folder\
- c:\ WINDOWS\ ime\ shared\
Para ello, utiliza los siguientes
nombres de archivo:
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Kaspersky Antivirus 5.0
- KAV 5.0
- Matrix 3 Revolution English
Subtitles.exe
- Microsoft Office 2003 Crack,
Working!.exe
- Microsoft Office XP working Crack,
Keygen.exe
- Microsoft Windows XP, WinXP Crack,
working Keygen.exe
- Opera 8 New!.exe
- Porno pics arhive, xxx.exe
- Porno Screensaver.scr
- Porno, sex, oral, anal cool,
awesome!!.exe
- Serials.txt.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
Otros usuarios de estos programas podrán
acceder de manera remota a estos directorios compartidos. Así,
se descargarán voluntariamente en su ordenador alguno de los
archivos creados por Bagle.AG, pensando que se trata de
aplicaciones informáticas interesantes, películas, imágenes,
etc. En realidad, se estarán descargando en sus ordenadores una
copia del gusano. Al ejecutar el archivo descargado, esos otros
ordenadores quedarán afectados por Bagle.AG.
Otros Detalles
Bagle.AG está escrito en el lenguaje
de programación Visual C++ v6.0. Este gusano tiene un tamaño
variable entre 21 y 35 KBytes cuando está comprimido mediante
PeX modificado.
Solución:
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la
infección, puede usar la característica de Restauración
del Sistema para eliminar el virus volviendo a un punto de
restauración anterior a la infección. (Tenga en cuenta que se
desharán los cambios de configuración de Windows y se eliminarán
todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de
eliminar el virus por otros medios, ya que podría haberse
creado una copia de seguridad del virus. Si necesita ayuda vea desactivar
la Restauración del Sistema en Windows Me y desactivar
la Restauración del Sistema en Windows XP.
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de
Antivirus Gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
- En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los
cambios realizados por el virus. Si necesita información sobre
cómo editar el registro puede ver esta guía
de edición del registro o este vídeo
de ayuda que ilustra el proceso. Sea
extremadamente cuidadoso al manipular el registro. Si modifica
ciertas claves de manera incorrecta puede dejar el sistema
inutilizable.
Elimine el siguiente valor:
key = %sysdir%\ sysxp.exe
de la siguiente clave del registro:
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\
Windows\ CurrentVersion\ Run
Restaure cualquiera de los siguientes valores :
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
que hayan sido eliminados en las siguientes claves del registro:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Reincie su ordenador y explore todo el disco duro con un
antivirus para asegurarse de la eliminación del virus. Si
desactivó la restauración del sistema, recuerde volver a
activarla.
Más Información sobre este virus en:
Fuente: red.es |
