Agent.XO

Se trata de un gusano que afecta a la plataforma de Windows. La infección tiene lugar por el intercambio de archivos entre distintos equipos. Éste tipo de virus da lugar a archivos maliciosos que se propagan por los demás equipos a los que tiene acceso.Su autoejecución modifica ciertos parámetros del sistema como cambiar la carpeta de inicio en la que aparecen los programas que se ejecutan al arrancar el equipo.Eliminar gusanos es mas sencillo que eliminar virus, no infecta a los ficheros por lo tanto es mas fácil limpiar los códigos maliciosos. Con que se elimine el archivo infectado es suficiente.

Eggdrop.ANA

Se trata de un gusano que afecta a la plataforma de Windows. Se propaga a través de los dispositivos extraíbles que se conectan al PC. Altera el acceso a determinadas direcciones de internet porque afecta a ficheros Hosts.Tiene capacidad de autopropagación y lo hace con la instalación de los siguientes ficheros en el dispositivo:

–\scan\scan.com

–autorun.inf

El fichero autorun.inf se ejecuta automáticamente cada vez que se conecta el dispositivo en una unidad, su finalidad es ejecutar la copia del gusano. De este modo si se conecta el dispositivo infectado en un ordenador limpio, automáticamente el equipo quedará infectado.Cuando este gusano se ejecuta copia estos ficheros al equipo:

• %Temp% \tpa.exe

• %System% \winupd01.exe: es una copia de sí mismo.

• %System% \5afa3b.exe

• %Windir% \services.exe

Pasos para la eliminación del virus:

–Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.

–Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC y elimine los archivos señalados anteriormente.

–Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus.

– Editar el registro para deshacer los cambios realizados por el virus.

–Restaure el fichero "Host" que ha sido modificado por el gusano.

–Elimine de todos los dispositivos extraíbles que hayan podido estarconectados al equipo infectado el siguiente fichero:

\scan\scan.com

–Elimine todos los archivos temporales del ordenador, incluidos losarchivos temporales del navegador, vacíe también la Papelera dereciclaje.

–Reinicie su ordenador y explore todo el disco duro con un antiviruspara asegurarse de la eliminación del virus.

Difupat

No tiene rutina propia de propagación. Cuando se ejecuta crea lossiguientes ficheros:

-%System%\reinstall.exe

-%ProgramFiles%\Internet Explorer\bootloader.dll-%ProgramFiles%\Internet Explorer\detoured.dll-%ProgramFiles% \Internet Explorer\funcition.dll-%ProgramFiles% \Internet Explorer\funcition.ini-%ProgramFiles% \Internet Explorer\install.exe-%ProgramFiles% \Internet Explorer\pserver.exe-%ProgramFiles% \Internet Explorer\pserver.ini-%System%\Internet Explorer \bootloader.dll-%System%\Internet Explorer \detoured.dll-%System%\Internet Explorer \funcition.ini-%System%\Internet Explorer \iexplore.exe-%System%\Internet Explorer \install.exe-%System%\Internet Explorer \pserver.exe-%System%\Internet Explorer \pserver.ini

-Para la eliminación del virus seguir los siguientes pasos:

-Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.

-Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC(Microsoft Security Essentials )

-Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

-Editar el registro para deshacer los cambios realizados por el virus.

-Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del

navegador, vacíe también la Papelera de reciclaje.

-Reinicie su ordenador .

Nestky.P

Es un gusano que se propaga a través del envío masivo de correos electrónicos a las direcciones contenidas en el equipo afectado. Los mensajes siempre son en inglés. Para su envío utiliza vulnerabilidades antiguas de internet lo que hace que se ejecute con solo abrir el archivo. También se propaga por intercambio de ficheros.

El asunto que se muestra en los correos electrónicos son los siguientes:

• Re: Mail Authentification

• Re: Delivery Protection

• Re: Secure delivery

• Re: Protected Mail Delivery

• Re: Protected Mail System

Si lleva incluido archivos adjuntos se muestran de la siguiente manera:

–<<your_document>>

–<<game_xxo>>

–<<websites03>>

–<<document05>>

Cuerpo del mensaje:

–Please see the attached file for details

– Please read the attached file!

–Your document is attached

–Please read the document

–Your file is attached

–Please confirm the document

–Your document is attached.

–Please read the important document.

–See the file

–Requested file.

–Authentication required

–I have attached your document

–I have received your document. The corrected document is attached

–Your details

Cuando es ejecutado realiza las siguientes acciones:

1- Crea un mutex2- Se copia a sí mismo como %Windir%\FVProtect.exe 3- Deposita y ejecuta en el sistema, el fichero %Windir%\userconfig9x.dll (26.624 Bytes)4- Crea los siguientes ficheros en ese mismo directorio %Windir% :

• base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)

• zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882 bytes)

• zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894 bytes)

• zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886 bytes)

• zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes)

Para eliminarlo localize y elimine los siguientes archivos:

• :\windows\base64.tmp

• c:\windows\fvprotect.exe

• c:\windows\userconfig9x.dll

• c:\windows\zip1.tmp

• c:\windows\zip2.tmp

• c:\windows\zip3.tmp

• c:\windows\zipped.tmp

No olvide vaciar la papelera de reciclaje-

Si su antivirus no puede repararlo puede ser debido a que el virus está en funcionamiento (reside en la memoria).En caso de que no pueda borrarlo el antivirus deberá hacerlo manualemente con las indicaciones q le hemos dado anteriormente. Una vez hecho esto, reinicie su ordenador y explore el disco duro con el antivirus para comprobar la eliminación del virus.