20 VIRUS Y SU FORMA DE ELIMINAR 1. … · 20 VIRUS Y SU FORMA DE ELIMINAR 1. WIN32/SPY.BEBLOH.A...

20 VIRUS Y SU FORMA DE ELIMINAR

1. WIN32/SPY.BEBLOH.A

INFORMACION

Troyano que contiene una puerta trasera para ser controlado

remotamente.

> CARACTERISTICAS

Cuando es ejecutado crea una copia de si mismo en la carpeta system32.

Para ejecutarse en cada reinicio del sistema crea la siguiente clave del

registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

\Image File Execution Options\userinit.exe

Debugger = [nombre del archivo]

Crea y ejecuta un nuevo hilo en los siguientes procesos:

csrss.exe

svchost.exe

thebat.exe

msimn.exe

iexplore.exe

explorer.exe

myie.exe

firefox.exe

avant.exe

mozilla.exe

maxthon.exe

Puede modificar o crear las siguientes claves del registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\opera.exe

Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe


Image File Execution Options\navigator.exe



Image File Execution Options\safari.exe



Image File Execution Options\opera.exe



Image File Execution Options\navigator.exe]



Image File Execution Options\safari.exe



Image File Execution Options\chrome.exe]


HKLM\SOFTWARE\Microsoft\Windows\Current Version\

Internet Settings\[valor]

El troyano intenta conectarse a los siguientes sitios:

nuomosus.cn/m5/login.php

witosate.cn/m5/login.php

cyboheig.cn/mp/login.php

> INSTRUCCIONES PARA ELIMINARLO

1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados

antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al

Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia

a alguno de los nombres anotados en el paso 3, en la siguiente clave del

registro:

HKLM\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda

presencia del malware.

2. WIN32/LOCKSCREEN.JN

INFORMACION

Troyano que bloquea el acceso al sistema operativo del sistema infectado.

> CARACTERISTICAS

Para ejecutarse en cada reinicio del sistema crea las siguientes claves del

registro:

HKLM\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

"Shell = "Ruta y nombre del archivo"

El troyano muestra en pantalla un mensaje que solicita al usuario que envié

un mensaje de texto a un número específico, de esta forma se le enviara la

clave para ingresar al sistema. La contraseña que permite el acceso puede ser

una de las siguientes:

2364365

1211113

1111112

0023420

5423459

1234563










registro:





presencia del troyano.

3. WIN32/ETAP.E

INFORMACION

Malware que infecta archivos ".exe", ".scr" y "dat" entre

otros.

> CARACTERISTICAS

Cuando se ejecuta busca archivos con alguna de las siguientes extenciones:

.exe

.scr

.dat

.ovl

.cpl

Evita infectar archivos que contengan cualquiera de las siguientes cadenas

en sus nombres:

ANTI

F-

PA

SC

DR

NO

IE

EX

WO

V

P

Si el nombre de una carpeta comienza con la letra "W", evita infectar su

contenido.










registro:






4. WIN32/SPY.SWISYN.AC

INFORMACION

Troyano que puede ser controlado en forma remota.

> CARACTERISTICAS

Cuando el malware es ejecutado queda a la espera de comandos remotos.

Intenta conectarse a las siguientes direcciones:

irc.rinet.ru

ftp.narod.ru

Las acciones que puede realizar son las siguientes:

Descargar archivos.

Envíar archivos.

Ejecutar archivos.


registro:

HKCU\Software\Microsoft\Windows

\CurrentVersion\Run

svchost = [ruta y nombre del malware]

También puede crear los siguientes archivos:

wsu32.dat

from.bin

ftp://ftp.narod.ru/








5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a

alguno de los nombres anotados en el paso 3, en la siguiente clave del

registro:






5. WIN32/WITKINAT.B

INFORMACION

Troyano que descarga otros malwares de internet.

> CARACTERISTICAS

Cuando es ejecutado descarga el siguiente archivo:

C:\Windows\System32\0030.dll

HKCU\Software\Microsoft\Windows NT

\CurrentVersion\Windows

AppInit_DLLs = C:\Windows\System32\0030.dll

CrntDLL = C:\Windows\System32\0030.dll

LoadAppInit_DLLs = 1

HKLM\SOFTWARE\Policies\Microsoft

\Internet Explorer\Main

DEPOff = 1

El malware ejecuta el siguiente proceso y luego muestra en pantalla sitios

que contengan adwares peligrosos para el ordenador:

iexplore.exe

También puede crear los siguientes archivos:

C:\Windows\System32\wexe.exe

C:\Windows\System32\wupd.dat

C:\Windows\System32\work.dat










registro:






6. WIN32/KWBOT.1_3

INFORMACION

Gusano que se propaga por redes P2P. Contiene una puerta

trasera para ser controlado en forma remota.

> CARACTERISTICAS

Cuando es ejecutado crea el siguiente archivo:

C:\Windows\System32\explorer32.exe

Para ejecutarse en cada reinicio del sistema crea las siguientes claves del

registro:

HKLM\Software\Microsoft\Windows

\CurrentVersion\Run

Windows Explorer Update Build 1142 = explorer32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Windows Explorer Update Build 1142 = explorer32.exe

INSTRUCCIONES PARA ELIMINARLO



3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de

eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del

sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de

los nombres anotados en el paso 3, en la siguiente clave del registro:




7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del

malware.

7. WIN32/AGENT.OBY

INFORMACION

Troyano que simula clic del ratón en avisos de publicidad

para incrementar las visitas de los mismos.

> CARACTERISTICAS

Cuando es ejecutado crea una copia de si mismo en la siguiente carpeta:

C:\Windows\System32\ntsvc32.exe


registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

Winlogon = c:\windows\system32\ntsvc32.exe

Crea y ejecuta un nuevo hilo con su propio código en todos los procesos en

ejecución.










registro:






8. WIN32/AKUAN.A

INFORMACION

Troyano que obtiene información del equipo infectado.

> CARACTERISTICAS

Cuando es ejecutado crea los siguientes archivos:

C:\Windows\System32\svr.exe

C:\Windows\System32\__gdi.dll

Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el

registro:

HKLM\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run

"gdi" = "C:\Windows\System32\system\svr.exe"

También puede crear las siguientes entradas en el registro:


\CurrentVersion\akuan

"filenametolog" = "[valor1]"

"sendif" = "[valor2]"

"mailtosend" = "[valor3]"

"sendaftersize" = "[valor4]"

"sendafterday" = "[valor5]"

"lastsenddate" = "[valor6]"

El troyano roba información del equipo infectado, luego la envía por correo

electrónico.

Contiene una dirección especifica que es abierta en el momento de la

infección.










registro:






9. WIN32/TROJANDOWNLOADER.UNRUY.AB

INFORMACION

Troyano que intenta descargar otros malwares desde internet.

> CARACTERISTICAS

Cuando es ejecutado crea las siguientes entradas del registro para ejecutarse

en cada reinicio del sistema:


\CurrentVersion\Run

"*" = "[ruta y nombre]\[nombre aleatorio].exe"


\CurrentVersion\Run

"*" = "[ruta y nombre]\[nombre aleatorio].exe"

El malware evita ejecutarse si detecta un proceso con alguna de las

siguientes cadenas de texto en su nombre:

ad-watch

almon

alsvc

alusched

apvxdwin

ashdisp

ashmaisv

ashserv

ashwebsv

avcenter

avciman

avengine

avesvc

avgnt

avguard

avp

bdagent

bdmcon

caissdt

cavrid

cavtray

ccapp

ccetvm

cclaw

ccproxy

ccsetmgr

clamtray

clamwin

counter

dpasnt

drweb

firewalln

fsaw

fsguidll

fsm32

fspex

guardxkickoff

hsock

isafe

kav

kavpf

kpf4gui

kpf4ss

livesrv

mcage

mcdet

mcshi

mctsk

mcupd

mcupdm

mcvs

mcvss

mpeng

mpfag

mpfser

mpft

msascui

mscif

msco

msfw

mskage

msksr

msmps

mxtask

navapsvc

nip

nipsvc

njeeves

nod32krn

nod32kui

npfmsg2

npfsvice

nscsrvce

nvcoas

nvcsched

oascl

pavfnsvr

PXAgent

pxagent

pxcons

PXConsole

savadmins

savser

scfmanager

scfservice

scftray

sdhe

sndsrvc

spbbcsvc

spidernt

spiderui

spysw

sunprotect

sunserv

sunthreate

swdoct

symlcsvc

tsanti

vba32ldr

vir.exe

vrfw

vrmo

vsmon

vsserv

webproxy

webroot

winssno

wmiprv

xcommsvr

zanda

zlcli

zlh

Roba información y luego enviarla a un equipo remoto.

También puede ejecutar las siguientes acciones:

Descargar archivos

Ejecutar archivos










registro:






10. WIN32/YURIST

INFORMACION

Troyano que roba información del equipo infectado.

> CARACTERISTICAS

Cuando es ejecutado crea una copia de si mismo en la siguiente carpeta:

C:\Windows\System32\xflash.exe

Se registra como un servicio utilizando el nombre "xflash"


registro:


\CurrentVersion\Run

xflash" = "xflash.exe

El malware roba información relacionada con las siguientes aplicaciones:

Miranda

Trillian

ICQ

También puede obtener los siguientes datos del equipo:

Versión del sistema operativo

Dispositivos conectados

Información del ordenador

Cuentas de correo electronico

Cuentas de FTP

Dicha información es enviada a un sitio predeterminado.

El troyano también puede descargar y ejecutar otros archivos de Internet.










registro:






11. WIN32/FESBER.A

INFORMACION

Gusano que se copia repetidas veces en el equipo infectado.

> CARACTERISTICAS

Cuando es ejecutado el malware intenta copiarse en la carpeta temporal.

En dicha carpeta se copia con el siguiente nombre:

tmp[valor aleatorio].exe

Luego el archivo es ejecutado.










registro:






12. WIN32/ZAKA.N

INFORMACION

Gusano que se propaga por redes de archivos compartidos

P2P.

> CARACTERISTICAS

Cuando se ejecuta crea una copia de si mismo en la siguiente carpeta:

C:\Windows\sendto\Kilme.exe

C:\Windows\all users\menu inicio\programas\inicio\Killl.e

Crea de copias de si mismo en el raiz de las unidades disponibles con el

nombre "Killme.exe"

Se propaga por redes P2P como Kazaa copiandose en la carpeta compartida

de dicha aplicación con alguno de los siguientes nombres:

Kaboomall Openthisone.exe

Kazaaa Kaboon_new_version_en.exe

My_Sister_Naked!!!.exe

Naked_teen_new!.exe

ry_teen_girl_new.exe

ry_teen_girl_new.exe

Cool_sexys!!.exe

Porn_Teens_noy_censured.exe

Kaza.exe

XXX_teen_Girl.exe

Killall!.exe

Puede mostrar el siguiente mensaje cuando es ejecutado:

Error?????????????


registro:


\CurrentVersion\Run

[nombre del archivo] = [ruta y nombre del archivo]










registro:






13. SWF/EXPLOIT.CVE-2007-0071

INFORMACION

Detección de ESET NOD32 para el exploit que aprovecha

una vulnerabilidad en Flash Player.

> CARACTERISTICAS

El exploit aprovecha una vulnerabilidad de desbordamiento de búfer que

puede ser explotada de forma remota. Un atacante puede sacar provecho de

este problema para ejecutar un código malicioso en el equipo del usuario.

Para que la explotación sea exitosa, el usuario debe tener instalada en su PC

cualquier versión de Adobe Flash Player anterior a la 9.0.124.0.



14. WIN32/AUTORUN.AB

INFORMACION

Gusano que se carga al inicio del sistema, y puede ejecutarse cada vez que se

accede a una unidad de disco o se inserta una unidad extraíble (por ejemplo,

memoria USB).

> CARACTERISTICAS

Al ejecutarse puede crear los siguientes archivos:

c:\windows\system32\logon.bat

c:\windows\system32\config\autorun.inf

c:\windows\system32\config\[nombre].exe

También crea el siguiente archivo:

?:\autorun.inf

Donde "?:" es una letra de unidad de disco, de la "E:" en adelante.

El archivo "logon.bat", y los archivos "autorun.inf" creados, tienes las

instrucciones para ejecutar a "[nombre].exe".

El virus crea la siguiente entrada en el registro para autoejecutarse en cada

reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Worms = "c:\windows\system32\logon.bat"

Las siguientes entradas también son creadas o modificadas, algunas de ellas

para desactivar algunas herramientas de Windows como el Editor del

Registro y el Administrador de Tareas de Windows, otras como para

eliminar la entrada Opciones de carpetas del menú de herramientas del

Explorador de Windows y del Panel de Control, y para esconder los archivos

con atributos de sistema y sus extensiones, todo ello con la intención de

dificultar su detección:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer

SearchHidden = "0"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer

SearchSystemDirs = "0"


\CurrentVersion\Explorer\Advanced

Hidden = "1"

HKCU\Software\Microsoft\Windows\CurrentVersion

\Explorer\Advanced

HideFileExt = "1"


\Explorer\Advanced

ShowSuperHidden = "0"


\Explorer\Advanced

SuperHidden = "1"


\Policies\Explorer

NoFolderOptions = "1"


\Policies\Explorer

NoDriveTypeAutoRun = "0"


\Policies\System

DisableRegedit = "1"


\Policies\System

DisableRegistryTools = "1"


\Policies\System

DisableTaskMgr = "1"

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start = "1"


1. Desactive la restauración automática en Windows XP/ME.





a alguno de los nombres anotados en el paso 3, en las siguientes claves del

registro:

HKCU\Software\Microsoft

\Windows\CurrentVersion

\Explorer



\Explorer\Advanced



\Policies\Explorer


\Windows NT\CurrentVersion

\Winlogon



\RunOnce

HKLM\SYSTEM\CurrentControlSet

\Services\SharedAccess




15. WIN32/MUMAWOW.C

INFORMACION

Infector de ejecutables y descargador de archivos de Internet. Puede

propagarse a través de recursos compartidos de redes.

> CARACTERISTICAS

Cuando se ejecuta, intenta infectar todos los archivos con extensión .EXE

dentro de la carpeta de "Archivos de programa" (o "Program Files"), y de la

carpeta "dllcache" dentro de "c:\windows\system32\".

También crea la siguiente copia de si mismo:

c:\windows\system32\logo_1.exe

Los siguientes archivos también pueden ser creados:

\Temp\[nombre al azar].dll

Crea la siguiente entrada en el registro para ejecutarse en cada reinicio del

sistema:


\CurrentVersion\Run

logg = "logo_1.exe"

Luego, intenta descargar y ejecutar otros malwares desde sitios de Internet

predeterminados. Algunos de los archivos pueden tener el mismo nombre

que programas legítimos de Windows, como por ejemplo SVCHOST.EXE.

Puede deshabilitar diversos programas y los siguientes procesos, todos

relacionados con la seguridad (antivirus, etc.):

avp.exe

eghost.exe

iparmor.exe

kav32.exe

kavpfw.exe

kavsvc.exe

kavsvcui.exe

kregex.exe

kvfw.exe

kvmonxp.kxp

kvsrvxp.exe

kvwsc.exe

kvxp.kxp

kwatchui.exe

mailmon.exe

navapsvc.exe

navw32.exe

nmain.exe

pfw.exe

ravmon.exe

ravmon.exe

ravmonclass

ravmond.exe

ravtimer.exe

ravtimer.exe

rising.exe

thguard.exe

trojanhunter.exe

trojdie.kxp

uihost.exe

yassistse.exe










registro:






16. WIN32/SPY.WEBMONER.NAM

INFORMACION

Troyano que roba información almacenada en las máquinas

de los usuarios del servicio WebMoney.

> CARACTERISTICAS

WebMoney es un sistema global de pago disponible para usuarios de

cualquier parte del mundo, y es utilizado tanto para uso particular como para

negocios, ya que permite enviar y recibir pagos de dinero en forma

inmediata.

Aeste troyano suele estar disfrazado como alguna clase de aplicación.

Cuando se ejecuta crea un par de archivos en el sistema, y una clave en el

registro para autoejecutarse en cada reinicio.

Permanece en memoria monitoreando las acciones del usuario. Cuando éste

accede a cualquier ventana con nombre "WebMoney", captura toda la

información ingresada, y la almacena en un archivo que en forma periódica,

es enviado por correo electrónico al autor del troyano.





3. Elimine bajo la columna "Nombre", la entrada "load32", en la siguiente

clave del registro:



registro:






17. WIN32/SOHANAD.NBO

INFORMACION

Troyano descargado por otro malware de Internet (al

momento actual Win32/TrojanDownloader-Autoit-Q), el cuál

es utilizado para capturar todo lo que el usuario ingresa a

través del teclado.

> CARACTERISTICAS

Puede propagarse a través de programas de mensajería instantánea como

AOL Instant Messenger, Windows Live Messenger, Windows Messenger y

Yahoo Messenger, enviando mensajes con enlaces a todas las listas de

contacto del usuario infectado.

Si el usuario hace clic en el enlace, se descarga y ejecuta el malware

propiamente dicho, desde determinados sitios de Internet.

También puede copiarse en disquetes y unidades removibles (memorias

USB, etc.), infectando otros equipos por esos medios.

Los siguientes archivos pueden crearse en un equipo infectado:

c:\windows\hinhem.scr

c:\windows\scvshosts.exe

c:\windows\system32\blastclnnn.exe

c:\windows\system32\scvshosts.exe

c:\windows\system32\autorun.ini

X:\[nombre del ejecutable]

Donde "X" es una unidad de disquete, CD, o cualquier unidad mapeada en

red.

También crea el siguiente archivo de tarea programada (.JOB), para

ejecutarse todos los días a las 9 de la mañana:

c:\windows\tasks\at1.job

Las siguientes entradas en el registro son creadas o modificadas:


\Windows\CurrentVersion\Policies\System


\Windows\CurrentVersion\Policies\Explorer

NofolderOptions = 0x00000001



DisableTaskMgr = 0x00000001



DisableRegistryTools = 0x00000001

Esos cambios eliminan la opción de carpetas de los menús del Explorador de

Windows y del Panel de control, y previenen que se inicie el Administrador

de tareas y el editor del registro.

También crea o modifica las siguientes entradas para autoejecutarse en cada

reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Yahoo Messengger = "c:\windows\system32\scvshosts.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = "Explorer.exe scvshosts.exe"

Los siguientes sitios y archivos pueden ser contactados por el troyano:

http: // settin[??]. yeahost.com/setting.doc

http: // settin[??]. yeahost.com/setting.xls

http: // settin[??]. 9999mb.com/setting.doc

http: // settin[??]. 9999mb.com/setting.xls

http: // www. freewebs. com/settin[??]/setting.doc

http: // www. freewebs. com/settin[??]/setting.xls







a alguno de los nombres anotados en el paso 3, en las siguientes claves del

registro:



\Run


\Windows NT\CurrentVersion

\Winlogon




18. WIN32/VIRUT.O

INFORMACION

Se trata de un virus de código encriptado, que infecta

archivos .EXE y .SCR de Windows.

> CARACTERISTICAS

Cuando un archivo infectado se ejecuta, el virus permanece en memoria, e

intenta infectar todo archivo con las extensiones antes mencionadas, que sea

accedido por cualquier otro proceso del sistema.

No infecta aquellos archivos cuyos nombres contengan alguna de las

siguientes cadenas de texto:

psto

wc32

wcun

winc

Además, posee características de caballo de Troya, siendo capaz de abrir una

puerta trasera en el equipo infectado, conectándose a un canal específico de

un servidor de IRC, desde donde puede recibir comandos de un usuario

remoto.

A través de esa conexión, el troyano también intentará descargar y ejecutar

un archivo desde Internet.








19. WIN32/SNDOG.A

INFORMACION

Gusano que se propaga por correo electrónico y redes P2P. Utiliza un mensaje

en español.

> CARACTERISTICAS

Cuando el gusano se ejecuta crea una copia de si mismo dentro de la

siguiente carpeta:

C:\Windows\csrss.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y

"c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32",

"c:\windows\system").

También crea varias copias de si mismo dentro de la carpeta

C:\WINDOWS\TEMP con los siguientes nombres:

Ave.exe

Broma.exe

Corsa.exe

Doors.exe

HuevoHussein.exe

Huevomaniaco.exe

liame.vbs

Pkzip.exe

Program.exe

Proyecto.exe

Setup1.exe

Unzip.exe

La ubicación de la carpeta "TEMP" puede ser:

En Windows 9x/ME:

c:\windows\TEMP

En Windows NT, XP, 2000 y Server 2003:

c:\documents and settings\[usuario]\local settings\TEMP

Intenta crear en la unidad A: una copia de si mismo con alguno de los

siguientes nombres:

ac&dc.exe

archivos.exe

Files.exe

media.exe

mono mario.exe

presentacion.exe

source.exe

Busca el todas las unidades de disco archivos cuya extensión sea .ZIP, si

Winzip se encuentra instalado en el equipo el gusano agrega alguno de los

archivos antes mencionados a todos los .ZIP.

El gusano busca los siguientes servicios pertenecientes a aplicaciones P2P:

EDonkey

P2P Edonkey

kazaa

morpheus

iMesh

BearShare

Grokster

Edonkey2000

Si alguno de dichos servicios es encontrado crea una copia de si mismo

dentro de la carpeta compartida por dichas aplicaciones con alguno de los

siguientes nombres:

Crack de winzip 9

Crack MusicMatch Jukebox 9

Delphi all versions keygen

Emurayden Xp

Half life Keygenerator

Half life opossing force crack

HLKeygenerator

Kazaa lite

Kazaa lite ++

Kazaa lite 2_3_5

Kazaa lite 3_1_0

Keygenerator

Keygenerator Office Xp

Mcafee Antivirus Scan Crack

McAfee Scan keygen

Messenger Plus

MSN Plus

MSN Poligammy for 6.x

Musicmatch 9.x crack

NAV Keygenerator

Neoragex parche para Kof2003

Norton Antivirus 2004 keygen

Office Xp crack

Opossing crack

Panda Antivirus Titanium Keygenrator for all versions

PAT Keygen

Poligammy for MSN 6.x

Setup

Visual Basic keygenerator

Windows Xp Home serial number

Windows Xp Profesional serial number

WinXp Home KeyGenerator

WinXp Profesional Serials

Para ejecutarse en cada inicio del sistema crea la siguiente entrada en el

registro de Windows:


\CurrentVersion\Run

Shockwave = c:\windows\csrss.exe

También modifica la página de inicio del Internet Explorer.

El gusano se envía a todos los contactos encontrados en la libreta de

direcciones.

Utiliza un mensaje con las siguientes características:

Asunto:[Alguno de los siguientes]

Fw: Romeo y Julieta

Fw: Huevo cartoon

Fw: El mono mario

Fw: la felicidad

Fw: La academia

Fw: Big brother Vip 3

Te adoro

Fw: que tanto quieres a tu amigo

Fw: Test de tenga a tu novio (a)?

Fw: tips para tirar choros a las chavas

Fw: Como saber si tienes un admirador secreto

Aviso Importante

Fw: Snoopy

Fw: [email protected]

Fw: nuevo programa para bajar musica

Fw: Antagonistas

Texto del mensaje:[Texto en español, cambia según el asunto]

Datos adjuntos:[Alguno de los archivos mencionados anteriormente]







5. Elimine bajo la columna "Nombre", la entrada "Shockwave", en la

siguiente clave del registro:





presencia del gusano.

Cambie la página de inicio del Internet Explorer desde Herramientas,

Opciones de Internet, General, Página de inicio, por una de su preferencia (o

pinche en "Página en blanco"). O navegue hacia una página de su agrado,

pinche en Herramientas, Opciones de Internet, General, y finalmente pinche

en "Usar actual".

20. ALS/BURSTED

INFORMACION

Virus escrito para el lenguaje AutoLISP de AutoCAD.

> CARACTERISTICAS

El virus se replica en un archivo separado, llamado ACAD.LSP, que es

ejecutado automáticamente por AutoCAD.

ACAD.LSP se localiza en el mismo directorio de los DWG. Cuando un

DWG es abierto, AutoCAD carga y ejecuta el contenido de ACAD.LSP.

El virus se copia a si mismo en el directorio de soporte de AutoCAD como

ACADAPP.LSP.

Agrega un comando de carga al archivo ACAD.LSP en el mismo directorio,

de modo que el virus se ejecuta cada vez que AutoCAD es iniciado.

Después, se copiará en cada directorio en que el usuario abra archivos

DWG, con el nombre ACAD.LSP.

El virus se engancha a tres comandos internos de AutoCAD,

deshabilitándolos.

El virus define un nuevo comando BURST que despliega el siguiente

mensaje:

BURST----½"Í¼¿éÖÐµÄÎÄ×ÖÕ¨¿ªºó³ÉÎªÊµÌå

En la primera de las variantes, BURST [DESCBLQ], está disponible en el

menú Express -> Blocks -> Explode, y sirve para "explotar" bloques,

convirtiendo los valores de los atributos en texto. Cuando el usuario intenta

acceder a este comando, recibe el siguiente mensaje:

was not able to be explode

En el segundo caso, reemplaza el comando ATTEDIT con uno falso, que le

pide al usuario seleccionar objetos (Select objects:), y entonces muestra un

mensaje diciendo que no se ha encontrado ninguno (Seltct objects: ?found),

donde "?" es un número. Finalmente muestra otro mensaje diciendo que el

objeto "?" no está disponible (? was not able to be attedit).





4. Reinicie el equipo.

Al reiniciar AutoCAD el archivo ACAD.LSP global puede mostrar un error.

El mismo debe ser editado para eliminar las llamadas a los archivos LSP

infectados que fueron eliminados.

CLASIFICACION DE LOS VIRUS

La primera clasificación que se hizo fue :

Caballos de

Troya Programa de aspecto inocente, que en realidad tiene una actividad

nefasta.

Bombas de

Tiempo Explotan en un día exacto

Polillas y

Gusanos

En realidad no son virus aunque se les considera como

tales.Introducen caracteres basura en pantalla, documentos y archivos

de trabajo.

En la actualidad hay más de 14,000 tipos de virus y se pueden clasificar por su

comportamiento, origen o tipo de archivo que atacan, y por lugar donde atacan y daño

que hacen.

En la PC hay varias clasificaciones, pero esencialmente existen 2 grandes familias de

virus:

1. Los de Programa de Arranque. -sustituyen ya sea al programa de arranque de un disco flexible o en un disco duro al programa maestro de arranque o al programa de arranque de la partición DOS. Una vez que el virus tiene el control, determinana si han sido cargados desde disco flexible y en ese caso infectan al disco duro. Posteriormente se aloja en la memoria para poder infectar los discos flexibles. Ejemplos:

a. Ping-Pong.- no es peligroso y tiene 1 byte conteniendo el número de versión. Genera un efecto de ping-pong en la pantalla.

b. Hacked Ping-Pong.- Destruye los primeros 8 sectores de un disco flexible.

c. SeeYou family.- virus dañino residente encriptado en memoria, infectan el sector de arranque de la unidad C: y discos flexibles. De acuerdo a la fecha del sistema eliminan sectores del disco y despliga uno de los mensajes: See you later ...

Happy birthday, Populizer !

2. Los de Programas Ordinarios. Conocidos como virus contaminadores de

archivos ejecutables (.exe, .com),hay de varios tipos. a. Los conocidos como acompañantes que son programas ".com" que se

autocopian con el mismo nombre de algún programa ".exe".

b. Otros se añaden al final del archivo ejecutable ".com", y luego sustituyen los primeros bytes del archivo por una instrucción de salto

para enviarle el control al virus.

Ejemplos

o Natas.4744 .- es de sobreescritura, se encripta y se encuentra residente en la memoria. Infecta archivos ".com" y ".exe", así como el sector de arranque de los discos flexibles y registros principales de inicio de discos duros (MBR).

o Flip .- infecta archivos .COM, .EXE, y .OVL , incluyendo el COMMAND.COM, también altera el MBR y sector de arranque de

discos duros.

Los virus de Mac se pueden clasificar en:

1. Infectores específicos de sistemas y archivos Mac. Ejemplos:

a. AIDS.- infecta aplicaciones y archivos de sistema. b. CDEF.- infecta archivos del escritorio.

2. Infectores HiperCard. Ejemplos:

a. Dukakis.- despliega el mensaje Dukakis para presidente. b. MerryXmas. - En ejecución infecta el sector de inicio de la memoria, que

a su vez infecta otros sectores en uso. Esto ocaciona caida del sistema y otras anomalías.

3. Mac Trojans. Ejemplos:

a. ChinaTalk . - supuestamente es un controlador de sonido, pero borra carpetas.

b. CPro. - supuestamente es una actualización de Compact Pro, pero intenta dar formato a los dicos montados.

4. Macro virus. Virus que manejan cadenas de texto en un documento, pueden trabajar igual en una Macintosh como en una PC. Desde que Word 6.x para Macintosh soporta macros de WordBasic, es vulnerable a ser infectado por macro virus, y generar documentos infectados.Cualquier aplicación para Macintosh que soporte Visual Basic también serán vulnerables. Ejemplo:

a. W97M/Remplace.b.- Consiste de 17 macros en un módulo llamado akrnl. Utiliza un archivo temporal c:\Étudiant.cfg para copiar su código. Desactiva la protección de Macro Virus, deshabilita las opciones de Macros, Plantillas y Editor de visual Basic.

FORMAS DE INFECCIÓN DE LOS VIRUS

Antes que nada, hay que recordar que un virus no puede ejecutarse por si solo, necesita

un programa portador para poder cargarse en memoria e infectar; asimismo, para poder

unirse a un programa portador necesita modificar la estructura de este, para que durante

su ejecución pueda realizar una llamada al código del virus.

Las partes del sistema más susceptibles de ser infectadas son el sector de arranque de

los disquetes, la tabla de partición y el sector de arranque del disco duro, y los ficheros

ejecutables (*.EXE y *.COM). Para cada una de estas partes tenemos un tipo de virus,

aunque muchos son capaces de infectar por sí solos estos tres componentes del sistema.

En los disquetes, el sector de arranque es una zona situada al principio del disco, que

contiene datos relativos a la estructura del mismo y un pequeño programa, que se

ejecuta cada vez que arrancamos desde disquete.

En este caso, al arrancar con un disco contaminado, el virus se queda residente en

memoria RAM, y a partir de ahí, infectará el sector de arranque de todos los disquetes a

los que se accedan, ya sea al formatear o al hacer un DIR en el disco, dependiendo de

cómo esté programado el virus.

El proceso de infección consiste en sustituir el código de arranque original del disco por

una versión propia del virus, guardando el original en otra parte del disco; a menudo el

virus marca los sectores donde guarda el boot original como en mal estado,

protegiéndolos así de posibles accesos, esto suele hacerse por dos motivos: primero,

muchos virus no crean una rutina propia de arranque, por lo que una vez residentes en

memoria, efectúan una llamada al código de arranque original, para iniciar el sistema y

así aparentar que se ha iniciado el sistema como siempre, con normalidad. Segundo, este

procedimiento puede ser usado como técnica de ocultamiento.

Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de

arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el resto lo

guarda en otros sectores del disco, normalmente los últimos, marcándolos como

defectuosos. Sin embargo, puede ocurrir que alguno de los virus no marquen estas

zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y así dejar de

funcionar el virus.

La tabla de partición esta situada en el primer sector del disco duro, y contiene una

serie de bytes de información de cómo se divide el disco y un pequeño programa de

arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de

partición suplanta el código de arranque original por el suyo propio; así, al arrancar

desde disco duro, el virus se instala en memoria para efectuar sus acciones. También en

este caso el virus guarda la tabla de partición original en otra parte del disco, aunque

algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de

partición y a ellos mismos en los últimos sectores de disco, y para proteger esta zona,

modifican el contenido de la tabla para reducir el tamaño lógico del disco. De esta

forma el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona

existe.

http://www.monografias.com/trabajos35/el-poder/el-poder.shtml

http://www.monografias.com/trabajos15/todorov/todorov.shtml#INTRO

http://www.monografias.com/trabajos11/basda/basda.shtml

http://www.monografias.com/trabajos11/memoram/memoram.shtml

http://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCE

http://www.monografias.com/trabajos16/marca/marca.shtml

http://www.monografias.com/trabajos12/elorigest/elorigest.shtml

http://www.monografias.com/trabajos13/mapro/mapro.shtml

http://www.monografias.com/trabajos56/marc/marc.shtml

http://www.monografias.com/trabajos4/acciones/acciones.shtml

Casi todos los virus que afectan la partición también son capaces de hacerlo en el boot

de los disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de

disco duro tendría un campo de trabajo limitado, por lo que suelen combinar sus

habilidades.

Con todo, el tipo de virus que más abunda es el de fichero; en este caso usan como

vehículo de expansión los archivos de programa o ejecutables, sobre todo .EXE y

.COM, aunque también a veces .OVL, .BIN y .OVR. AL ejecutarse un programa

infectado, el virus se instala residente en memoria, y a partir de ahí permanece al

acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es

así, se adhiere al archivo ejecutable, añadiendo su código al principio y al final de éste,

y modificando su estructura de forma que al ejecutarse dicho programa primero llame al

código del virus devolviendo después el control al programa portador y permitiendo su

ejecución normal.

Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el

archivo, ya que éste aumenta de tamaño al tener que albergar en su interior al virus,

siendo esta circunstancia muy útil para su detección. De ahí que la inmensa mayoría de

los virus sean programados en lenguaje ensamblador, por ser el que genera el código

más compacto, veloz y de menor consumo de memoria; un virus no seria efectivo si

fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de

trabajo o por un aumento exagerado en el tamaño de los archivos infectados. No todos

los virus de fichero quedan residentes en memoria, si no que al ejecutarse se portador,

éstos infectan a otro archivo, elegido de forma aleatoria de ese directorio o de otros.

Los efectos perniciosos que causan los virus son variados; entre éstos se encuentran el

formateo completo del disco duro, eliminación de la tabla de partición, eliminación de

archivos, ralentización del sistema hasta limites exagerados, enlaces de archivos

destruidos, archivos de datos y de programas corruptos, mensajes o efectos extraños en

la pantalla, emisión de música o sonidos.

QUE ES UN ESPIA INFORMATICO

Spyware se los llama a los programas espía que transmite información personal a

algún sitio de Internet o usuario. Quizás dirá -No me importa no tengo nada que

ocultar, bueno, si no tiene e-mail, y no utiliza ninguna contraseña, puede ser que no

tenga ninguna información que ocultar pero que tal el hecho de que baja el

rendimiento de su pc y ni hablar cuando se van acumulando programas spyware, que

revisan las cosas que hace, para encontrar el dato que le interese. Se ejecutan todos

estos programas espías que va acumulando y baja mucho el rendimiento de la pc y

hasta llega un momento en que deja de andar el sistema operativo por algún conflicto

error o virus.

Adware. Es una especie de variación de spyware, relacionado con la publicidad, por

ejemplo un adware puede hacer que una vez de halla detectado el tipo de páginas que

suele visitar le muestre cada vez que abre el Internet Explorer una publicidad sobre

una empresa y esta publicidad se carga una y otra vez restando velocidad y siendo

molesta ya que se muestra una y otra vez.

http://www.monografias.com/trabajos34/el-trabajo/el-trabajo.shtml

http://www.monografias.com/trabajos35/consumo-inversion/consumo-inversion.shtml

http://www.monografias.com/Arte_y_Cultura/Musica/

"El software publicitario suele ser un efecto secundario del software espía ya que

ambos monitorizan la actividad del usuario con un único objetivo: enviarle publicidad

personalizada de acuerdo a sus hábitos." spybot

"Otro tipo de software que se detecta bajo la categoría del software espía son las

cookies de seguimiento. Las cookies se utilizan en muchos sitios de internet con

mayor o menor utilidad. Las empresas de publicidad suelen guardar cookies en el

ordenador del usuario cada vez que su navegador carga un anuncio (banner) de esa

empresa. En ese caso y si la cookie contiene un GUID (Identificador Único Global), la

empresa podrá conocer todas las webs que usted visite y que contengan sus anuncios."

spybot

"El término 'keylogger' surgió en la época del DOS cuando los ordenadores se

manejaban a través de un teclado. Los transcriptores de actividad básicos en aquellos

tiempos simplemente registraban las teclas que pulsaban los usuarios. El espía, una

persona con acceso físico a la máquina, obtenía ese archivo de registro posteriormente

pudiendo ver todo lo que el usuario había tecleado.

Los nuevos transcriptores de actividad son mucho más sofisticados. Ahora no sólo

monitorizan las teclas que se pulsan, sino que también realizan capturas de pantalla

que muestran al espía las ventanas con las que usted estaba trabajando, capturan

información sobre su utilización de Internet y muchas otras cosas. El espía ni siquiera

necesita tener acceso físico a su ordenador, ya que la mayoría de los transcriptores de

actividad envían la información que registran por correo electrónico. " spybot”

Estos programas adware, spiware, keylogger y otros tantos, llegan a su computadora

principalmente a travez de internet y de programas que solo son mascaras y su

verdadero fin es difundir el software malicioso. Aunque en este ultimo caso ocurre

algo curioso, quizás el programa es útil y no solo una mascara, y es mas, hay muchos

programas muy utilizados que tienen atrás un programa espía, y es mas lo avisan en la

licencia que uno debe aceptar para que el programa se instale. El problema es que uno

generalmente no lee estas licencias de varias hojas y, como hemos dicho, los

programas espías causan problemas. Seguramente se encontrará una alternativa

gratuita de un programa gratuito.

En una computadora distintos tipos de programas maliciosos se van acumulando

llegando hasta 200 o 300 en total. Estos se van acumulando hasta que alguno termina

bloqueando definitivamente la pc. Los hacen sus autores principalmente por la

ganancia que le deja la difusión de publicidad o la venta de una base de datos

numerosa sobre los gustos de un gran numero de navegantes por Internet. Este tipo de

software es eliminado no tanto por un antivirus si no mas bien por un programa

especifico como lo es spybot un antivirus gratuito especial para este tipo de "bichos".

Un programa espía teóricamente no es un virus ya que la característica de un virus es

reproducirse, infectar y dañar información. No obstante son dañinos especialmente si

por ejemplo capturan el numero de su tarjeta de crédito al hacer una compra por

Internet o le activa siempre una página Web como inicial en su navegador con un

contenido indeseado que no desea que siempre aparezca cuando se conecta a Internet,

y que tal si su Pentium 4 anda a la velocidad de un 486. Todo programa en ejecución

consume recursos de sistema.

Hay muchos tipos de virus y programas maliciosos. En una próxima nota se comentará

sobre otros temas de seguridad. Tenga en cuenta que en primer lugar para prevenir los

inconvenientes que causan estos tipos de programas deberá tener en su ordenador

instalado al menos un antivirus actualizado. El spybot pese a que sea mi preferido la

realidad al igual que con todos los antivirus es que no es un 100% eficaz. Además no

olvide descargar su actualización.

UTILIDAD Y CONFIGURACION DE ARDAMAX

Ardamax Keylogger es una utilidad que captura toda la información introducida a través del

teclado, guardándola inmediatamente en un fichero log que puedes revisar cuando quieras.

De esta forma, puedes estar al tanto del uso que se le da a tu PC cuando no estás presente, o

puedes controlar las andanzas de tus hijos en Internet.

Puedes configurar el programa para que guarde el log en formato TXT o HTML, y grabar

también detales como la fecha y hora de la captura del texto, y qué aplicación se estaba

usando.

Además, tienes la opción de ejecutar el programa en modo "oculto", que lo hace totalmente

invisible al usuario, y permite controlarlo sin que éste se dé cuenta. Otra función interesante

es la posibilidad de enviar los ficheros log con los datos guardados a una determinada

dirección de correo electrónico cada cierto tiempo: perfecto para seguir vigilando incluso a

distancia!

CONFIGURACION

Haz click derecho en el icono del programa que aparecera en el System Tray (el System Tray

es donde aparece la hora) y dale click en Remote Installation te apareceta la ventana

Welcome.

http://3.bp.blogspot.com/_ZygFm_c8Qik/RtuXelrf_6I/AAAAAAAAAAk/CAICbMuDbwA/s1600-h/02.JPG

VENTANA WELCOME. Aca dice que vas a crear un executable con todo lo necesario para

instalar el keylogger en otra computadora, que ese archivo lo puedes mandar por mail, etc,

etc. Tu solo da click en Siguiente.

VENTANA APPEARANCE. En la siguiente pantalla aparece Append keylogger engine to file.

Esto es para adjuntarle un archivo cualquiera (documento, musica, foto o lo que quieras) al

keylogger de modo que cuando alguien de doble click en nuestro archivo se ejecuten ambos a

la vez (Aunque la victima solo vera ejecutarse el archivo adjunto).

Click en Browse para seleccionar el archivo te recomiendo que no adjuntes un archivo muy

grande, ademas mas adelante podremos cambiarle el icono al nuestro "virus" osea si

adjuntamos una musica luego le pondremos el icono de winamp, etc.

Si no quieres adjuntarle ningun archivo entoces demarca esa casilla.

La demas configuracion en esta parte no la modifiques no es muy importante (es para usuarios

mas avanzados)

http://2.bp.blogspot.com/_ZygFm_c8Qik/RtuYdVrf_7I/AAAAAAAAAAs/E3vajB5RLig/s1600-h/03.JPG

VENTANA INVISIBILITY: La siguiente ventana se llama asi, si tu Ardamax esta registrado

correctamente entonces podras marcar todas las casillas (recomendado).

Te explico para que sirve cada casilla:

Hide tray icon: Esconde al Ardamax del "System Tray" osea desaparece el icono al cual le diste click en el paso nº 1.

Hide program from Process V: oculta el ardamax de la ventana que aparece cuando presionas Ctrl+Alt+Spr.

Remove Short Cuts: Quita Accesos directos al programa volviendolo invisible para usuarios novatos.

Remove Program from uninstallation list: Quita el nombre del programa del panel "Agregar o Quitar Programas"

Hide Program folder: Oculta la carpeta donde se instalo, de modo que no puedas ingresar asi pongas mostrar carpetas ocultas.

Hide form Windows start up: Oculta el ardamax de la lista de programas que se ejecutan al inicio del inicio de Windows.

http://3.bp.blogspot.com/_ZygFm_c8Qik/RtuaClrf_-I/AAAAAAAAABE/emL9dX5EOzA/s1600-h/04.JPG

VENTANA SECURITY: Aqui le pones contraseña a tu keylogger para que no cualquiera pueda

activa el modo visible del keylogger en la maquina de la victima. Pero para mi esto es un poco

contradictorio, pues no se supone que en la maquina victima nadie sabe que esta instalado el

Ardamax?.

Aun asi si eres desconfiado ponle contraseña (click en Enabled) y marca todas las casillas.

VENTANA WEB UPDATE: Estas opciones son para decirle al keylogger que una vez instalado

en la computadora de la victima busque cada cierto tiempo una actualizacion de modo que asi

se actualizen los antivirus y asi el ardamax aun sera indetectable. Yo personalmente desactivo

esta opcion porque aveces la computadora de la victima es una maquina bien lenta, y si el

keylogger se actualizase la pondria por ese momento mas lenta aun, asi que mejor no corro el

riesgo. Teniendo en cuenta que nunca me ha dado problemas y que aun asi las versiones mas

antiguas de este keylogger son indetectables, entonces mejor las desactivo.

http://1.bp.blogspot.com/_ZygFm_c8Qik/RtubqFrf__I/AAAAAAAAABM/FjJ36JMYJ5U/s1600-h/05.JPG

http://4.bp.blogspot.com/_ZygFm_c8Qik/Rt06kFrgABI/AAAAAAAAABc/XsuZl_iPwnA/s1600-h/06.JPG

VENTANA OPTIONS: La primera casilla dice ejecutar el archivo al inicio de Windows

(marcala), La segunda dice Al ejecutar hacerlo en modo oculto (marcala tambien), En la caja de

texto que sigue dice que teclas debes presionar para pasar de modo oculto a modo visible y

viceversa por defecto es Ctrl+Alt+Shitf+H y aca es donde puedes cambiarlo.

VENTANA CONTROL: Pasamos a la etapa en donde podemos decirle al keylogger como

queremos que nos envie la informacion que recoge de la computadora victima, Como esta es

una guia para newbies solo trataremos el "delivery method" Email.

La primera casilla es de vital importancia porque sino no nos mandara nada a nuestro correo,

(asi que marcala) esta casilla se llama "Enviar Logs cada..." y luego tienes que seleccionar el

http://4.bp.blogspot.com/_ZygFm_c8Qik/Rt08KFrgACI/AAAAAAAAABk/PsM8jSEA_rI/s1600-h/07.JPG

http://2.bp.blogspot.com/_ZygFm_c8Qik/Rt08RlrgADI/AAAAAAAAABs/M1Bc7yA8gF8/s1600-h/08.JPG

tiempo yo lo pongo en 1 minuto es casi como si vieras lo que hace en tiempo real.

La parte de Include, y Log Format dejalos asi como la figura (asi aparecen por defecto)

Y la ultima casilla es una condicional y dice "Enviar solamente si el Log excede .... Kb" esto es

para que no te lleguen las cosas que escribe tu victima letra por letra, por que si le pones 1 Kb

son casi 100 caracteres 100 letras y eso sin contar los screenshots (foto a la pantalla de la

victima) asi que lo recomendable a mi criterio es 250 a 350 depende de ti por ejemplo a mi me

llegan los Logs cada 6 minutos a 250 Kb aunque este marcada la casilla en 1 minuto (esto se

debe a que antes de enviar el Log tiene que superar el peso especificado en este caso 250kb)

VENTANA EMAIL: Esto se pone cada vez mas interesante!. Presta mucha atencion aqui. En

donde dice "Send To:" tienes que escribir tu email (OJO que no sea el puto hotmail -muerete

Gates- ) porque a hotmail no le llegan estos correos automatizados que te envia el programa

ademas por que si hotmail detecta mas de 499 correos con el mismo asunto deja de recibirlos.

Asi que yo recomiendo crearse una cuenta en Yahoo, ya que le da a tu correo un espacio de

almacenamiento ilimitado!!!, y nunca te preocuparas de borrar nada.

Lo que sigue es darle click en boton Find, aparecera un nombre medio raro en SMTP host, pero

tu dejalo ahi, si lo modificas puede que no te lleguen los mails.

El Port no lo cambies de 25.

Luego que esten llenadas correctamente estas 3 cajas de texto, dale click en TEST se demorara

un poquito pero luego sale un mensaje diciendo Error imposible conectar, o sale Saccsesfuly

conected o algo asi, no me acuerdo, pero date cuenta pues no es tan dificil.

Si te sale error dale click de nuevo en Find y de nuevo en Test, y si te sigue saliendo el mismo

error espera unos minutos y vuelve a intentar.... y si te sigue saliendo el mismo puto error

cambia de correo, y si te sigue saliendo el reparapanpuctadesumadre mismo puto error

matate.

El espacio donde va "Send From" y "Username" y "Password" no es necesario que los llenes en

realidad ni se para que son.

http://1.bp.blogspot.com/_ZygFm_c8Qik/Rt08gVrgAEI/AAAAAAAAAB0/UKiBiEsxEnY/s1600-h/09.JPG

VENTANA CONTROL: Esta es la segunda ventana control y nos pregunta que queremos que

grabe el keylooger marca todas.

Si no quieres que guarde los screenshots desmarca donde dice Screenshots

Si no quieres que guarde todas las paginas web a donde entra desmarca Web Activity

Si no quieres que guarde lo que chatea desmarca Chat logging

Ya mismo acabamos

VENTANA SCREENSHOTS: esta ventana te aparecera si marcaste la casilla Screenshots en el

paso 10 y configura las fotos a la pantalla que va a tomar

La primer parte dice: "Toma la foto cada .... minutos"

En la segunda parte puedes seleccionar tomar foto a la pantalla entera (Full Screen) o a la

ventana activa.

En la tercera parte seleccionas la calidad de la imagen. Low - baja calidad. High - alta calidad.

http://1.bp.blogspot.com/_ZygFm_c8Qik/Rt09UVrgAFI/AAAAAAAAAB8/n_DHBjQ_gKc/s1600-h/10.JPG

http://2.bp.blogspot.com/_ZygFm_c8Qik/Rt09YlrgAGI/AAAAAAAAACE/JnvDFrEM4lY/s1600-h/11.JPG

VENTANA DESTINATION: es la ultima ventana, el ultimo paso a configurar:

En la primera parte dice en donde quieres que se coloque el archivo cuando se genere? por

defecto sale la carpeta de instalacion y el nombre por defecto es Install.exe asi que cambialo

clickando en Browse y luego seleccionas Escritorio y luego Guardar de modo que aparecera en

el escritorio cuando terminemos.

Lo siguiente es en la misma ventana vamos a cambiarle el icono a nuestro programa (ojo he

dicho icono y no extension - es decir que por mas que tenga icono de foto no tendra la

extension .bmp sino la de una aplicacion .exe Asi que solo vamos a cambiarle el icono.

Recuerdas el archivo que le adjuntamos en el paso nº 3 ya pues si le adjuntamos un mp3 ponle

icono de Winamp o de Windows media. en esa pantallita generalmente no salen muchos icono

http://1.bp.blogspot.com/_ZygFm_c8Qik/Rt09kVrgAHI/AAAAAAAAACM/VZfiV6eW7fg/s1600-h/12.JPG

http://1.bp.blogspot.com/_ZygFm_c8Qik/Rt09lVrgAII/AAAAAAAAACU/Qk4o8Hp5mYU/s1600-h/13.JPG

asi que si quieres por ejemplo ponerle el icono de Word clicka en Examinar y busca

"C:\Archivos de programa\Microsoft Office\OFFICE11" y ahi busca el World y le das click y

aparareceran los diversos iconos que usa World asi que selecciona el de documento de Word,

etc. O sino descargate este paquete de iconos que esta buenazo.

Das click en siguiente y te sale una nueva ventana con el resumen de las configuraciones que

has hecho y lo que haces es cick en Finalizar y listo, si elegiste el Escritorio tu nuevo virus

aparecera en el Escritorio con el icono que escogiste.

Y listo terminaste de configurar tu ardamax y tu nuevo virus indetectable esta listo para

usarse (pero aun no para enviarse por hotmail o msn) Lo que pasa es que hotmail no deja

adjuntar archivos con extension .exe y el messenger no puedes tranferir archivos con la

extension .exe asi que inteligentemente tu comprimiras con Winzip y aunque no lo comprimas

casi nada lo unico que conseguiste fue que tu virus tenga extension .zip y no .exe entonces ya

lo puedes enviar al correo de todos tus contactos haciendo pasar por una cadena y facil que le

adjuntas un archivo ppt de modo que cuando abran el virus realmente se abra el archivo

powerpoint ....

http://www.recursosvisualbasic.com.ar/htm/ocx-componentes-activex-dll/101-libreria-icl-con-400-iconos.htm

20 VIRUS Y SU FORMA DE ELIMINAR 1. … · 20 VIRUS Y SU FORMA DE ELIMINAR 1. WIN32/SPY.BEBLOH.A...

Documents

Transcript of 20 VIRUS Y SU FORMA DE ELIMINAR 1. … · 20 VIRUS Y SU FORMA DE ELIMINAR 1. WIN32/SPY.BEBLOH.A...