Variante de SdBot/SillyIM propagandose por MSN Messenger (IMG-0012.zip)

Publicado: septiembre 12, 2007 en Articulos

En las últimas horas una nueva variante de Win32/SdBot (NOD32) o W32.SillyIM (Symantec) ha estado propagándose muy rápidamente vía MSN Messenger. El mismo envía mensajes en español, inglés y portugués (según versiones), los siguientes son algunos de los textos transmitidos a los contactos del usuario infectado:

oye voy a poner esa foto de nosotros en mi myspace
jaja debes poner esa foto como foto principal en tu myspace o algo
jaja recuerda cuando tuviste el pelo asi
hola esas son las fotos
oye voy a agregar esa foto a mi blog ya

hey i’m going to add this picture of us to my weblog
Here are my private pictures for you

Variante de SdBot propagandose por MSN Messenger

, al mismo tiempo intenta enviar un archivo comprimido en ZIP con el siguiente nombre:

IMG-0012.zip

, el cual contiene un ejecutable cuya extensión COM intenta ser disimulada colocando una URL en su nombre:

img0012-www.photostorage.com

Variante de SdBot propagandose por MSN Messenger

Cuando se ejecuta, se copia a sí mismo en el directorio:

c:\windows\system\lsass.exe (Tiene un tamaño aproximado de 25kb)

, copia el archivo ZIP dentro de:

c:\windows\IMG-0012.zip

y crea la siguiente entrada en el resgistro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = “c:\windows\system\lsass.exe”

NOTA: Algunos nombres de archivos y rutas pueden variar según la variante del virus, actualmente las detallas anteriormente son las que se he encontrado durante las pruebas realizadas.

Reparación manual

1 – Actualice su antivirus.

2 – Reinicie Windows en “Modo a prueba de fallos”

Si no sabe como hacerlo, puede leer esta pequeña guia de VSAntivirus:
http://www.vsantivirus.com/faq-modo-fallo.htm

3 – Elimine lo siguientes archivos:

c:\windows\system\lsass.exe (puede estar oculto)
c:\windows\IMG-0012.zip

4 – Elimine la siguiente clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = “c:\windows\system\lsass.exe”

5 – Ejecute su antivirus y analice su equipo en busca de malware.

6 – Reinicie su equipo.

7 – Vuelva a analizar su sistema con su antivirus.

También es recomendable que descargue y ejecute MSNCleaner con Windows en Modo a prueba de fallos, el mismo detecta y elimina este y otros virus/troyanos de común propagación por la red de MSN Messenger.

comentarios
  1. Enrique dice:

    Gracias por la ayuda

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s