Worm.W32/Randex.Y@SMB
Alias:
W32/Randex-Y (Sophos)
Descripción:
Randex.Y es un gusano de redes con un componente de puerta trasera
que permite el acceso no autorizado al equipo infectado a través de
canales IRC.
Detalles:
Randex.Y selecciona direcciones IP aleatorias e intenta
conectarse al recurso compartido IPC$ utilizando diferentes contraseñas.
Si consigue realizar la conexión se copiará en las siguientes
carpetas:
- \ADMIN$\system32\msnv32.exe
- \C$\WINNT\system32\msnv32.exe
Randex.Y crea una tarea programada para ejecutar dichos
archivos.
Cada vez que se ejecuta, el gusano intentará conectar con un
servidor IRC en un canal específico donde aguardará los comandos
del atacante.
Al ejecutarse por primera vez, el gusano se copia en la carpeta
System de Windows con el nombre IRBMe.exe y crea las
siguientes entradas en el registro para activarse en el inicio del
sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IRBMe
Sucks!!
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\IRBMe
Sucks!!
Randex.Y también podría crear el archivo remove.bat en la
carpeta temp de Windows. Este archivo no es vírico y puede
simplemente borrarse.
Solución:
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la
infección, puede usar la característica de Restauración
del Sistema para eliminar el virus volviendo a un punto de
restauración anterior a la infección. (Tenga en cuenta que se
desharán los cambios de configuración de Windows y se eliminarán
todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de
eliminar el virus por otros medios, ya que podría haberse
creado una copia de seguridad del virus. Si necesita ayuda vea desactivar
la Restauración del Sistema en Windows Me y desactivar
la Restauración del Sistema en Windows XP.
- Con un antivirus actualizado, localice todas las copias del
virus en el disco duro de su PC. Si no dispone de antivirus,
visite nuestra página de Antivirus
gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los
ficheros, puede ser debido a que el fichero está en uso por
estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede
reparar un fichero' en el caso de gusanos o troyanos debido a
que no hay nada que reparar, simplemente hay que borrar el
fichero.
- En el caso de que no se pueda eliminar el fichero del virus,
debe terminar manualmente el proceso en ejecución del virus.
Abra el Administrador de tareas (presione Control+Mayúsculas+Esc).
En Windows 98/Me seleccione el nombre del proceso y deténgalo.
En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho
en el proceso y seleccione 'Terminar Proceso'. A continuación
vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los
cambios realizados por el virus. Si necesita información sobre
cómo editar el registro puede ver esta guía
de edición del registro o este vídeo
de ayuda que ilustra el proceso. Sea
extremadamente cuidadoso al manipular el registro. Si modifica
ciertas claves de manera incorrecta puede dejar el sistema
inutilizable.
Elimine las siguientes entradas del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IRBMe
Sucks!!
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\IRBMe
Sucks!!
- Reinicie su ordenador y explore todo el disco duro con un
antivirus para asegurarse de la eliminación del virus. Si
desactivó la restauración del sistema, recuerde volver a
activarla.
Más información acerca de este virus en:
Fuente: red.es |
