 W32/MyDoom-AJ |
Bienvenido, invitado ( Identificarse | Registrarse )
  |
 Mar 5 2007, 10:10 AM
Publicado:
#1
|
|
 Webmaster  Grupo: Webmaster Mensajes: 4,972 Registrado: 13-February 06 Desde: Tarragona - España Miembro No.: 1  |
[img]http://www.pcultimate.net/index.php?autocom=tutorials&CODE=13&image_id=62[/img]
Título :: W32/MyDoom-AJ Autor :: Black Dragon Categoría :: Analisis virus Ingredientes ::
Descripción de la activación y eliminación de este virus W32/Mytob-AJ Sistemas operativos vulnerables * Windows Efectos secundarios * Inhabilita la protección antivirus * Permite el acceso no autorizado al equipo infectado * Se envía a las direcciones almacenadas en la libreta de Outlook * Modifica datos en el equipo W32/Mytob-AJ es un gusano que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC. W32/Mytob-AJ puede extenderse aprovechándose de vulnerabilidades en el sistema operativo como LSASS (MS04-011). W32/Mytob-AJ recolecta direcciones de email desde archivos en el ordenador infectado y desde la agenda de direcciones de Windows. Microsoft ofrece desde su Web información y los parches para estas vulnerabilidades: <a rel="nofollow" href="http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx" target="_blank">MS04-011</a> ----------------------------- W32/Mytob-AJ es un gusano que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC. Al ejecutarse por primera vez, el gusano se copia en la carpeta del sistema de Windows con el nombre taskgmr.exe y creará las siguientes entradas en el registro para activarse en el inicio del sistema: CÓDIGO HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windows Task Manager taskgmr.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Windows Task Manager taskgmr.exe W32/Mytob-AJ puede extenderse aprovechándose de vulnerabilidades en el sistema operativo como LSASS (MS04-011). El gusano también modificará el archivo HOSTS para evitar el acceso a sitios Web relacionados con aplicaciones antivirus y de seguridad y añadirá una firma al final del archivo: CITA 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com -=Copyright © 2005-2006 HellBot3 Team All Rights Reserved.=- W32/Mytob-AJ recolecta direcciones de email desde archivos en el ordenador infectado y desde la agenda de direcciones de Windows. Los mensajes que envía W32/Mytob-AJ tienen las siguientes características: CITA Asunto: read it immediately Hello Congratulations! Re: Approved document Re: Your document Re: Administration approved Is that your password? It's you!? Bonjour CITA Procedencia: contact@microsoft.com postmaster@fbi.gov support@yahoo.com admin@fbi.gov contact@cia.gov contact@fbi.gov contact@symantec.com ---------------------------- Desinfeccion W32/mytob-aj 1. Descargar el Remover y ejecutarlo Ver Tutorial |
 |
 
|
|
