Worm.W32/Spybot.W@P2P+MM

Alias:
W32/Spybot-W (Sophos), W32.HLLW.Moega.E (Symantec)

Descripción:
W32/Spybot-W es un gusano que se extiende a través de redes de intercambio de archivos, a través de unidades compartidas de red, a través de correo electrónico, a través de Messenger y de canales IRC.

Detalles:
El ejecutable de este gusano tiene el siguiente aspecto en el Explorador de Windows:

Imagen de Symantec

Para activarse en el inicio del sistema, el gusano se copia con el nombre wupdated.exe en la carpeta System de Windows y se registra como un proceso del sistema con el nombre wupdated (Windows Update Service). Para esto añade varios valores a la clave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wupdated

El gusano también intentará copiarse en la carpeta System de Windows en unidades compartidas de red con contraseñas no seguras e intentará iniciarse como Windows Update Service.

El gusano intentará penetrar en diferentes sistemas probando con las siguientes contraseñas:

• !@#$
• !@#$%
• !@#$%^
• !@#$%^&
• !@#$%^&*
• 1
• 111
• 123
• 1234
• 123456
• 654321
• admin
• administrator
• asdf
• asdfgh
• database
• guest
• hidden
• owner
• pass
• pass123
• password
• password123
• root
• secret
• server
• sql
• sqlagent
• system
• user
• wwwadmin

Para extenderse a través de canales IRC, el gusano modifica los archivos de configuración del programa mIRC de manera que cada usuario que se una al mismo canal recibirá un mensaje en el que se incita a la descarga del gusano.

Spybot.W intentará también extenderse a través de los servicios de mensajería instantánea MSN, AIM y Yahoo enviando el mensaje "hey, check out this funny pic: http://www.rf-mods.com/bot.pif."

Spybot.W dispone además de un componente de puerta trasera para IRC y un registro de pulsaciones de teclado.

Además roba la clave del CD de los siguientes juegos:

• Red Alert 2
• IGI 2
• Command & Conquer Generals
• FIFA 2003
• Need For Speed Hot Pursuit 2
• The Gladiators
• Soldier of Fortune II
• Rainbow Six III RavenShield
• Battlefield 1942 Road To Rome
• Battlefield 1942
• Counter-Strike
• Unreal Tournament 2003
• Half-Life
• Neverwinter Nights

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de "Restauración del Sistema" para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Reinicie el ordenador en modo a prueba de fallos o modo segur. De esta forma no se iniciará el servicio del gusano.
   
   
3. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.. Repare o borre el fichero infectado.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
   (Puede encontrar instrucciones para editar los registros pulsando aquí)

   Elimine la siguiente clave del registro y todo su contenido:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentContrlSet\Services\wupdated
   
   

5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más información acerca de este virus en:

• Symantec
• Sophos

Fuente: red.es