elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Ingresar Registrarse
06 Octubre 2008, 23:21  



+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderadores: ghastlyX, Red Mx)
| | |-+  Nuevo Worm W32/Elmo		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Imprimir
Autor Tema: Nuevo Worm W32/Elmo  (Leído 365 veces)
ip

Desconectado Desconectado

Mensajes: 171



Ver Perfil WWW
Nuevo Worm W32/Elmo
« en: 01 Julio 2003, 13:12 »
Hoy acaba de salir un virus nuevo, para variar es un tipico Worm (Gusano) que se propaga por medio de HotMail, el mail del virus se llama "AHORA PUEDES HACKEAR HOTMAIL", devido a que es un worm de hotmail es muy poderoso, los antivirus parace que no tienen aun no tiene antidoto, pero komo buen UTero les dire komo sacarlo a mano!!!!

Bueno, primero que nada tenemos que bajar un peñeño programa para limpiar las cadenas de regustro.... lo podi baja de aki:


http://www.softonic.com/informacion_extendida.phtml?n_id=11891&plat=1

Una ves instalado, bamos a la parte de PROGRAMAS DE INICIO
y eliminamos la entrada de archivo que se llama SYSTEM.EXE que se encuentra en c:\Windows\system.exe

Junto a este hay otros archivos que son el mismo virus que son:

icon_arrow.gif All Users.exe
icon_arrow.gif Command.exe
icon_arrow.gif HotmailPass.exe
icon_arrow.gif Hot Girl.scr
icon_arrow.gif Inf.exe
icon_arrow.gif Internet Download.exe
icon_arrow.gif Internet File.exe
icon_arrow.gif Part Hard Disk.exe
icon_arrow.gif Shell.exe
icon_arrow.gif System.exe
icon_arrow.gif System32.exe
icon_arrow.gif Temp.exe

Todos estos son archivos, y algunos no los reconocen porke tienen ikonos de carpeta....

ASEGURATE DE LO que BORRAS SON APLICACIONES, NO KARPETAS!!!!

Ya una ves konocido todo esto, procederemos a sacar el virus, al iniciar Windows (98 o XP) antes de hacer nada presinamos CTRL + ALT + SUPR
y le finalizamos tarea a COMMAND.EXE, una ves finalizado procedemos a "BORRAR" todos los archivos antes nombrados.....
Una ves borrados todo los archivos procedemos a reiniciar, luego actualizamos el equipo y finalmente actualisamos nuestro Anti Virus....


Saludos-.-.
En línea
Azazel
Visitante


Email
Re:Nuevo Worm W32/Elmo
« Respuesta #1 en: 01 Julio 2003, 20:23 »
 :-\no creo que se pueda limpiar el registro con el regcleaner como dices.
Este gusano no solo crea entradas tambien  modifica una cuantas que no creo se puedan restaurar con el regcleaner o almenos la version que yo tengo no lo hace, no se si esta ultima si pero lo dudo
Estas son algunas de las entradas que modifica:

KEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
 @=""c:\windows\command.exe","%1"%*"

 KEY_LOCAL_MACHINE\Software\Classes\comfile\shell\open\command
 @=""c:\windows\inf.exe","%1"%*"

 KEY_LOCAL_MACHINE\Software\Classes\batfile\shell\open\command
 @=""c:\windows\temp.exe","%1"%*"

 KEY_LOCAL_MACHINE\Software\Classes\piffile\shell\open\command
 @=""c:\windows\commands.com","%1"%*"

 KEY_LOCAL_MACHINE\Software\Classes\htafile\shell\open\command
 @=""c:\windows\commands.com","%1"%*"

Lo he removido de la computadora de una amiga y me ha costado mas de una hora hacerlo pero sigo pensando que lo mejor es aprender a editar un registro "a mano" en lugar de usar programas. Se aprende mucho.
Solo es una opinion 8) y tanto de sombrero al que lo escribió, a pesar de que los gusanos no me gustan y NO DEBERIAN ESCRIBIRSE
En línea
JelitoX

Desconectado Desconectado

Mensajes: 92


Quien no conozca algo q lance la primera piedra...


Ver Perfil WWW
Re:Nuevo Worm W32/Elmo
« Respuesta #2 en: 03 Julio 2003, 12:20 »
aparentemente me cayo este virus o gusano a mi computadora pero se me pone super lenta porq el gusano como q muta y crea carpetas hasta q ya no hay espacio en el disco o por lo menos eso me pasa a mi alguien me puede ayudar? a otra cosa yo tengo instalado el cybercontrol y el me bloquea el administrador de tareas no hay otra forma de ejecutar el adminisrtador de tareas?
En línea
Azazel
Visitante


Email
Re:Nuevo Worm W32/Elmo
« Respuesta #3 en: 03 Julio 2003, 14:52 »
 8)
aqui estan las entradas que crea:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 "System"="c:\windows\system.exe"
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 "System"="c:\windows\system.exe"
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
 "System"="c:\windows\commands.com"
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
 "System"="c:\windows\commands.com"
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
 "System"="c:\windows\temp.exe"
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
 "System"="c:\windows\temp.exe"
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
 "System"="c:\windows\system.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
"System"="c:\windows\system.exe"

tienes que editar tu registro y eliminarlas todas, pero antes tienes que terminar el proceso command.com que crea o no te dejará, y no recuerdo bien si tambien crea un proceso system.exe, ( no confundirse son system) ve si lo tienes y si es así lo terminas tambien antes de editar tu registro.

Tambien oculta las extensiones en el exploraror modificando esta entrada:

KEY_LOCAL_MACHINE\Software\Classes\exefile
 "NeverShowExt"=""

y modifica esta otras entradas para ejecutarse cada ves que ejecutes un archivo con esa extension:

KEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
 @=""c:\windows\command.exe","%1"%*"
 KEY_LOCAL_MACHINE\Software\Classes\comfile\shell\open\command
 @=""c:\windows\inf.exe","%1"%*"
 KEY_LOCAL_MACHINE\Software\Classes\batfile\shell\open\command
 @=""c:\windows\temp.exe","%1"%*"
 KEY_LOCAL_MACHINE\Software\Classes\piffile\shell\open\command
 @=""c:\windows\commands.com","%1"%*"
 KEY_LOCAL_MACHINE\Software\Classes\htafile\shell\open\command
 @=""c:\windows\commands.com","%1"%*"

deberas modificarlas eliminando en cada caso la direccion del virus, osea dejaras en cada caso "%1"%*"

en el win.ini escribe agrega este codigo que deberas borrar:

[windows]
load=archivo.exe
run=archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!!
mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####

y en el system.ini:

[boot]
Shell=explorer.exe temp.exe

tambien sobreescribe el fichero c:\windows\wininit.ini con la siguiente línea:

null=c:\windows\system.exe

Crea los siguientes archivos que deberas eliminar por mayor seguridad:

C:\windows\All Users.exe
C:\windows\command.exe
C:\windows\Hot Girl.scr
C:\windows\hotmailpass.exe
C:\windows\Inf.exe
C:\windows\Internet File.exe
C:\windows\Internet download .exe
C:\windows\Part Hard Disk.exe
C:\windows\Shell.exe
C:\windows\system.exe
C:\windows\System32.exe
C:\windows\System64.pif
C:\windows\Temp.exe
C:\windows\system32\command.com
C:\windows\system32\Inf.exe
C:\windows\system32\net.com
C:\windows\system32\www.microsoft.com
C:\windows\All User\Server.exe
C:\windows\menu inicio\programas\inicio\www.microsoft.com
C:\Recycled\Evo Morales.scr

Suerte  8)
En línea
Páginas: [1] Ir Arriba Imprimir 
Ir a:  







Consolas     La Web de Goku     MilW0rm     MundoDivx

Hispabyte     Truzone     TodoReviews     ZonaPhotoshop

hard-h2o modding    Foros de ayuda    Yashira.org    Videojuegos    indetectables.net   

Noticias Informatica    Seguridad Informática    ADSL    Foros en español    eNYe Sec

Todas las webs afiliadas están libres de publicidad engañosa.

Powered by SMF 1.1.6 | SMF © 2006-2008, Simple Machines LLC
Free counter and web stats