LatinoSeguridad

Menú

Importante

Alerta de virus

Worm-Backdoor.W32/Fanbot@P2P+MM

Alias:
W32.Fanbot.A@mm (Symantec), WORM_FANBOT.A (Trend Micro), W32/Fanbot-H (Sophos)

Descripción:

Gusano con gran capacidad de difusión que se puede propagar a través del envío de correo electrónico masivo, mediante algunas redes de intercambio de ficheros (P2P) y aprovechando una vulnerabilidad en el servicio 'Plug and Play' de Windows.

Tiene capacidad para detener la ejecución de procesos e impedir el acceso a determinados sitios web modificando el fichero 'hosts'. Tanto los procesos como los sitios restringidos son, en gran parte, reletivos a antivirus y herramientas de seguridad.

Además, abre una puerta trasera en el equipo afectado lo que permite a un atacante remoto a través de IRC enviar instrucciones para, por ejemplo, descargar/ejecutar ficheros y capturar información del sistema.

Detalles:

Cuando Worm-Backdoor.W32/Fanbot@P2P+MM es ejecutado, realiza las siguientes acciones:

1. Muestra el siguiente mensaje falso de error:

Imagen de Symantec

2. Se copia a sí mismo como %System%\remote.exe

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

3. Crea las siguientes subclaves en el registro de Windows:

Subclaves:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes\Security

4. Para ejecutarse como un servicio cada vez que se reinicia el equipo, añade los valores indicados
a las siguientes claves del registro de Windows:

Clave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes
Valores: "ImagePath" = "%System%\remote.exe"
"DisplayName" = "Remote Procedure Call (RPC) Remote"
"Type" = "110"
"Start" = "2"
"ErrorControl" = "1"
"ObjectName" = "LocalSystem"

5. Crea un servicio con las siguientes características:

Nombre mostrado: Remote Procedure Call (RPC) Remote
Ruta: %System%\remote.exe
Tipo: Automatic

6. Abre una puerta trasera a través del puerto TCP 5262 y se conecta a alguno de los siguientes servidores IRC:

jojogirl.3322.org domain
SmallPhantom.meibu.com domain

7. Permanece en espera de recibir comandos procedentes de un atacante remoto, que permitirían
a este realizar cualquiera de las siguientes acciones en el sistema afectado:

Ejecutar ficheros.
Descargar ficheros.
Recoger información del sistema.
Eliminar o actualizar el gusano.
Iniciar o detener la rutina de envío masivo de correo.

8. Intenta propagarse a través de las redes de intercambio de ficheros (P2P) dejando copias de sí
mismo en aquellos directorios cuyos nombres contengan alguno de las siguientes cadenas de
texto:

share
sharing
incoming
download
bak
bear
donkey
htdocs
http
ftp
www
icq
kazaa
lime
morpheus
mule
upload
soft
- caracteres chinos que significan "software" -
- caracteres chinos que significan "copia de seguridad" -
- caracteres chinos que significan "compartido" -
- caracteres chinos que significan "descarga" -
- caracteres chinos que significan "subida de ficheros" -

Worm-Backdoor.W32/Fanbot@P2P+MM se replica en los directorios antes citados con alguno de los siguientes nombres de fichero:

1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
AcrobatReader_New.exe
activation_crack.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
angels.pif
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Bifrost.scr
BlackIce_Firewall_Enterpriseactivation_Crack.exe
Britney sex xxx.jpg.exe
Britney Spears [REMOVED].jpg.exe
Britney Spears [REMOVED].jpg.exe
Britney Spears [REMOVED].jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Butterfly.scr
Clone DVD 6.exe
Cloning.doc.exe
cool screensaver.scr
Cracks & Warez Archiv.exe
Dark Angels new.pif
dcom_patches.exe
Dictionary English 2004 - France.doc.exe
dictionary.doc.exe
DivX 8.0 final.exe
dolly_buster.jpg.pif
Doom 3 release 2.exe
doom2.doc.pif
e.book.doc.exe
E-Book Archive2.rtf.exe
e-book.archive.doc.exe
eminem - lick [REMOVED].mp3.pif
Eminem [REMOVED].jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
firefox-1.6a1.en-US.win32.installer.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
how to hack.doc.exe
icq2005-final.exe
Internet Explorer 9 setup.exe
'K.jpg.pif
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Kula.jpg.pif
Kula.scr
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
matrix.scr
max payne 2.crack.exe
Maxthon_New.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
MSN7-final.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
nuke2004.exe
Office_Crack.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
porno.scr
programming basics.doc.exe
Rain.scr
RealPlayer_New.exe
RFC compilation.doc.exe
rfc compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serial.txt.exe
Serials 2005_New.exe
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Strip-Girl-2.0b.exe
strippoker.exe
Super Dollfie.pif
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
TouchNet Browser 1.29b.exe
Ulead Keygen 2004.exe
UltraEdit-32 12.01 + Cracker.exe
virii.scr
Visual Studio Net Crack all.exe
Win Longhorn re.exe
Win Longhorn.doc.exe
WinAmp 13 full.exe
Winamp5.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
Winxp_Crack.exe
XXX hardcore pics.jpg.exe

9. Intenta enviarse a sí mismo a través de correo electrónico utilizando para ello su propio motor
SMTP (Simple Mail Transfer Protocol), lo que hace su funcionamiento independiente del cliente
de correo instalado en el equipo.

El mensaje enviado tiene las siguientes características:

Remitente: alguno de los siguientes:

noreply@[- dominio del receptor -]
webmaster@[- dominio del receptor -]
register@[- dominio del receptor -]
info@[- dominio del receptor -]
admin@[- dominio del receptor -]
service@[- dominio del receptor -]
mail@[- dominio del receptor -]
administrator@[- dominio del receptor -]
support@[- dominio del receptor -]

Asunto: alguno de los siguientes:

Share Skype.
What is Skype?
Skype for Windows 1.4 - Have you got the new Skype?
Hello. We're Skype and we've got something we would like to share with you.
Your Account is Suspended.
*DETECTED* Online User Violation.
Your Account is Suspended For Security Reasons.
Warning Message: Your services near to be closed.
Important Notification!
Members Support.
Security measures.
Email Account Suspension.
Notice of account limitation.

Nota: El texto del asunto también podría estar en letras mayúsculas.

Cuerpo del mensaje: alguno de los siguientes:

Dear [- nombre de usuario -], Skype is a little pie [- eliminado -]
Legal Information

Nota: Los caracteres "--" se muestra como "/" en sistemas operativos en chino, pero podría mostrarse de diferente forma en otros lenguajes.

Dear user [- nombre de usuario -], You have success [- eliminado -]
+++ [- nombre del dominio -] Antivirus - www.[- nombre del dominio -]
Dear user [- nombre de usuario -], It has come to o [- eliminado -]
+++ [- nombre del dominio -] Antivirus - www.[- nombre del dominio -]
Dear [- nombre del dominio -] Member, We have temp [- eliminado -]
+++ [- nombre del dominio -] Antivirus - www.[- nombre del dominio -]
Dear [- nombre del dominio -] Member, Your e-mail [- eliminado -]
+++ [- nombre del dominio -] Antivirus - www.[- nombre del dominio -]

Fichero Anexo: [-nombre de fichero -].zip,
donde -nombre de fichero - es uno de los siguientes:

Skype-stuffs
Skype-info
Skype-details
Skype
readme
Skype-document
Share Skype
Skype for Windows 1.4

El fichero .zip contiene otro fichero cuyo nombre se forma de la siguiente forma:
Nombre_de_fichero . Extensión1 - muchos espacios en blanco -. Extensión2
donde:

Nombre_de_fichero es alguno de los antes mencionados

Extensión1 es alguna de las siguientes:

Extensión2 es alguna de las siguientes:

El gusano evita enviarse a direcciones electrónicas que contengan alguna de las siguientes cadenas de texto:

root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
support
spm
spam
www
secur
abuse
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
master
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
messagelabs
support
.gov
gov.
.mil
foo.
antivi
fbi
f-pro
freeav
f-secur
kaspersky
mcafee
norman
norton
symantec
viruslis
jiangmin
rising
duba
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
sourceforge
slashdot

10. Intenta propagarse aprovechando la vulenrabilidad "Microsoft Windows Plug and Play Buffer
Overflow", descrita en el Boletín de Seguridad de Microsoft MS05-039.

11. Crea una marca de infección al añadir el valor indicado a la siguientes clave del registro de
Windows:

Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup
Valor: "Ph4nt0m" = "Ph4nt0m"

12. Para deshabilitar el servicio wuauserv, modifica el valor indicado de la siguiente clave del
registro de Windows:

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
Valor: "Start" = "4"

13. Para deshabilitar el servicio SharedAccess, modifica el valor indicado de la siguiente clave
del registro de Windows:

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Valor: "Start" = "4"

14. Añade al fichero %System%\drivers\etc\hosts las siguientes lineas de texto, para impedir
el acceso a las direcciones indicadas, muchas de ellas pertenecientes a empresas antivirus:

Play with the best [- eliminado -] !!! thanks!!!
0.0.0.0 jiangmin.com
0.0.0.0 www.jiangmin.com
0.0.0.0 Update2.JiangMin.com
0.0.0.0 Update3.JiangMin.com
0.0.0.0 rising.com.cn
0.0.0.0 www.rising.com.cn
0.0.0.0 online.rising.com.cn
0.0.0.0 iduba.net
0.0.0.0 www.iduba.net
0.0.0.0 kingsoft.com
0.0.0.0 db.kingsoft.com
0.0.0.0 scan.kingsoft.com
0.0.0.0 kaspersky.com.cn
0.0.0.0 www.kaspersky.com.cn
0.0.0.0 symantec.com.cn
0.0.0.0 www.symantec.com.cn
0.0.0.0 www.symantec.com
0.0.0.0 securityresponse.symantec.com
0.0.0.0 symantec.com
0.0.0.0 www.sophos.com
0.0.0.0 sophos.com
0.0.0.0 www.mcafee.com
0.0.0.0 mcafee.com
0.0.0.0 liveupdate.symantecliveupdate.com
0.0.0.0 www.viruslist.com
0.0.0.0 viruslist.com
0.0.0.0 viruslist.com
0.0.0.0 f-secure.com
0.0.0.0 www.f-secure.com
0.0.0.0 kaspersky.com
0.0.0.0 kaspersky-labs.com
0.0.0.0 www.avp.com
0.0.0.0 www.kaspersky.com
0.0.0.0 avp.com
0.0.0.0 www.networkassociates.com
0.0.0.0 networkassociates.com
0.0.0.0 www.ca.com
0.0.0.0 ca.com
0.0.0.0 mast.mcafee.com
0.0.0.0 my-etrust.com
0.0.0.0 www.my-etrust.com
0.0.0.0 download.mcafee.com
0.0.0.0 dispatch.mcafee.com
0.0.0.0 secure.nai.com
0.0.0.0 nai.com
0.0.0.0 www.nai.com
0.0.0.0 update.symantec.com
0.0.0.0 updates.symantec.com
0.0.0.0 us.mcafee.com
0.0.0.0 liveupdate.symantec.com
0.0.0.0 customer.symantec.com
0.0.0.0 rads.mcafee.com
0.0.0.0 trendmicro.com
0.0.0.0 www.pandaguard.com
0.0.0.0 pandasoftware.com
0.0.0.0 www.pandasoftware.com
0.0.0.0 www.trendmicro.com
0.0.0.0 www.grisoft.com
0.0.0.0 www.microsoft.com
0.0.0.0 microsoft.com
0.0.0.0 www.virustotal.com
0.0.0.0 virustotal.com

15. Intenta detener la ejecución de los siguientes procesos, muchos de ellos relativos a antivirus
y herramientas de seguridad:

A2HIJACKFREE.EXE
ADAM.EXE
AGTX0404.EXE
AGTX0411.EXE
AGTX0804.EXE
ALERTAST.EXE
ALESCAN.EXE
ALEUPDAT.EXE
ALUNOTIFY.EXE
ANTIVIRUS_UPDATE.EXE
APORTS.EXE
AUPDATE.EXE
BACKRAV.EXE
BLACKD.EXE
BLACKICE.EXE
BOTZOR.EXE
BRONSTAB.EXE
CCEMFLSV.EXE
CCENTER.EXE
CFGWIZ.EXE
CLEANUP.EXE
CMDAGENT.EXE
COOLBOT.EXE
CSM.EXE
CSSCAN.EXE
CVT.EXE
DEFWATCH.EXE
DWHWIZRD.EXE
EGHOST.EXE
EKSPLORASI.PIF
FINT2005.EXE
FRAMEWORKSERVICE.EXE
FRMINST.EXE
HELLMSN.SCR
HIJACKTHIS.EXE
HNETWIZ.EXE
HPMANAGER.EXE
IAMSTATS.EXE
ICESWORD.EXE
IDTEMPLATE.EXE
INBUILD.EXE
IPARMOR.EXE
ISSVC.EXE
JAVA.EXE
KATMAIN.EXE
KAV.EXE
KAV32.EXE
KAVDX.EXE
KAVLOG2.EXE
KAVPFW.EXE
KAVPFW.EXE
KAVSEND.EXE
KAVSTART.EXE
KAVSTART.EXE
KAVSVC.EXE
KILLBOX.EXE
KMAILMON.EXE
KNLPS.EXE
KNLSC13.EXE
KPFWSVC.EXE
KRECYCLE.EXE
KREGEX.EXE
KSHRMGR.EXE
KVCENTER.KXP
KVDETECH.EXE
KVDETECT.EXE
KVDISK.KXP
KVDOS.EXE
KVMONXP.KXP
KVOL.EXE
KVOLSELF.EXE
KVREPORT.KXP
KVSCAN.KXP
KVSRVXP.EXE
KVSTORY.KXP
KVSTUB.KXP
KVUPLOAD.EXE
KVWSC.EXE
KVXP.KXP
KWATCH.EXE
KWATCH9X.EXE
LANGSET.EXE
LDVPREG.EXE
LOGPARSER.EXE
LRSEND.EXE
LSETUP.EXE
LUALL.EXE
LUAWRAP.EXE
LUCOMSERVER.EXE
LUINIT.EXE
MAKEBOOT.EXE
MCAFFEAV.EXE
MCCONSOL.EXE
MCSCRIPT.EXE
MCSCRIPT_INUSE.EXE
MCUPDATE.EXE
MDAC.EXE
MOUSEBM.EXE
MOUSEMM.EXE
MOUSESYNC.EXE
MSAGENT.EXE
MSNMSGS.EXE
MSTASK.EXE
NAPRDMGR.EXE
NAVUSTUB.EXE
NDETECT.EXE
NVCHIP4.EXE
PATCH.EXE
PCCBROWS.EXE
PCCGUIDE.EXE
PCCLIENT.EXE
PCCLOG.EXE
PCCMAIN.EXE
PCCMDCOM.EXE
PCCSPYUI.EXE
PCCTLCOM.EXE
PCCTOOL.EXE
PCCVSCAN.EXE
PER.EXE
PFW.EXE
PHANTOM.EXE
PICX.EXE
PIREG.EXE
PM.EXE
PROCESSEXPLORER.EXE
RAV.EXE
RAVDOS.EXE
RAVHDBAK.EXE
RAVMON.EXE
RAVMOND.EXE
RAVPATCH.EXE
RAVSTORE.EXE
RAVSTUB.EXE
RAVTIMER.EXE
RAVXP.EXE
REALSCHED.EXE
REGCLEAN.EXE
REGGUIDE.EXE
REGSVR32.EXE
RESCUE.EXE
RFW.EXE
RFWMAIN.EXE
RFWSRV.EXE
RKDETECTOR.EXE
ROOTKITREVEALER.EXE
RSAGENT.EXE
RSCONFIG.EXE
RSSMS.EXE
RTVSCAN.EXE
RUNDLL32.EXE
SAVROAM.EXE
SCAN32.EXE
SCANBD.EXE
SCNCFG32.EXE
SCRIGZ.EXE
SERVCE.EXE
SETUPWIZ.EXE
SHCFG32.EXE
SHSTAT.EXE
SMARTDRV.EXE
SMARTUP.EXE
SMSS.EXE
SOUNDMAN.EXE
SYMANTECROOTINSTALLER.EXE
SYMCLNUP.EXE
SYSTEM.EXE
TASKGMR.EXE
TMNTSRV.EXE
TMOAGENT.EXE
TMPFW.EXE
TMPROXY.EXE
TRA.EXE
TRIALMSG.EXE
TROJANDETECTOR.EXE
TROJANWALL.EXE
TROJDIE.KXP
TSC.EXE
UNINSTALL.KXP
UPDATE.EXE
UPDATERUI.EXE
UPGRADE.EXE
VIRUSBOX.KXP
VPC32.EXE
VPDN_LU.EXE
VPTRAY.EXE
VSTSKMGR.EXE
WINHOST.EXE
WINLDR.EXE
WINTBP.EXE
WPA.EXE
WRITECAN.EXE
ZONEALARM.EXE

Solución:

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Elimine la siguiente subclave del registro de Windows:

Subclave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes

Elimine el valor indicado de la siguiente clave del registro de Windows:

Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup
Valor: "Ph4nt0m" = "Ph4nt0m"

Restaure el contenido predeterminado del valor indicado en las siguientes claves del registro de Windows:

Claves: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Valor: "Start" = "- restaurar -"
Restaure el fichero 'HOST' (normalmente ubicado en %System%\drivers\etc\) que ha sido modificado por acción del gusano.
Para ello, utilice una copia de seguridad de dicho fichero, o bien, elimine las siguientes lineas de su contenido, abriéndolo con algún editor, como por ejemplo Notepad:
- Play with the best [- eliminado -] !!! thanks!!!
- 0.0.0.0 jiangmin.com
- 0.0.0.0 www.jiangmin.com
- 0.0.0.0 Update2.JiangMin.com
- 0.0.0.0 Update3.JiangMin.com
- 0.0.0.0 rising.com.cn
- 0.0.0.0 www.rising.com.cn
- 0.0.0.0 online.rising.com.cn
- 0.0.0.0 iduba.net
- 0.0.0.0 www.iduba.net
- 0.0.0.0 kingsoft.com
- 0.0.0.0 db.kingsoft.com
- 0.0.0.0 scan.kingsoft.com
- 0.0.0.0 kaspersky.com.cn
- 0.0.0.0 www.kaspersky.com.cn
- 0.0.0.0 symantec.com.cn
- 0.0.0.0 www.symantec.com.cn
- 0.0.0.0 www.symantec.com
- 0.0.0.0 securityresponse.symantec.com
- 0.0.0.0 symantec.com
- 0.0.0.0 www.sophos.com
- 0.0.0.0 sophos.com
- 0.0.0.0 www.mcafee.com
- 0.0.0.0 mcafee.com
- 0.0.0.0 liveupdate.symantecliveupdate.com
- 0.0.0.0 www.viruslist.com
- 0.0.0.0 viruslist.com
- 0.0.0.0 viruslist.com
- 0.0.0.0 f-secure.com
- 0.0.0.0 www.f-secure.com
- 0.0.0.0 kaspersky.com
- 0.0.0.0 kaspersky-labs.com
- 0.0.0.0 www.avp.com
- 0.0.0.0 www.kaspersky.com
- 0.0.0.0 avp.com
- 0.0.0.0 www.networkassociates.com
- 0.0.0.0 networkassociates.com
- 0.0.0.0 www.ca.com
- 0.0.0.0 ca.com
- 0.0.0.0 mast.mcafee.com
- 0.0.0.0 my-etrust.com
- 0.0.0.0 www.my-etrust.com
- 0.0.0.0 download.mcafee.com
- 0.0.0.0 dispatch.mcafee.com
- 0.0.0.0 secure.nai.com
- 0.0.0.0 nai.com
- 0.0.0.0 www.nai.com
- 0.0.0.0 update.symantec.com
- 0.0.0.0 updates.symantec.com
- 0.0.0.0 us.mcafee.com
- 0.0.0.0 liveupdate.symantec.com
- 0.0.0.0 customer.symantec.com
- 0.0.0.0 rads.mcafee.com
- 0.0.0.0 trendmicro.com
- 0.0.0.0 www.pandaguard.com
- 0.0.0.0 pandasoftware.com
- 0.0.0.0 www.pandasoftware.com
- 0.0.0.0 www.trendmicro.com
- 0.0.0.0 www.grisoft.com
- 0.0.0.0 www.microsoft.com
- 0.0.0.0 microsoft.com
- 0.0.0.0 www.virustotal.com
- 0.0.0.0 virustotal.com
Instale el parche que repara la vulenrabilidad en le servcio 'Plug and Play' de Windows aprovechada por el gusano para propagarse.
Más información y acceso al parche que repara la vulnerabilidad en el Boletín de Seguridad de Microsoft MS05-039.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es

Webmaster:

webmaster@latinoseguridad.com

Ventas:

joseluis@latinoseguridad.com

Sugerencias

joseluis@latinoseguridad.com