1. Agent.XO
Se trata de un gusano que afecta a la plataforma de Windows. La infección tiene lugar por el
intercambio de archivos entre distintos equipos. Éste tipo de virus da lugar a archivos maliciosos
que se propagan por los demás equipos a los que tiene acceso.
Su autoejecución modifica ciertos parámetros del sistema como cambiar la carpeta de inicio en la
que aparecen los programas que se ejecutan al arrancar el equipo.
Eliminar gusanos es mas sencillo que eliminar virus, no infecta a los ficheros por lo tanto es mas
fácil limpiar los códigos maliciosos. Con que se elimine el archivo infectado es suficiente.
Eggdrop.ANA
Se trata de un gusano que afecta a la plataforma de Windows. Se propaga a través de los
dispositivos extraíbles que se conectan al PC. Altera el acceso a determinadas direcciones de
internet porque afecta a ficheros Hosts.
Tiene capacidad de autopropagación y lo hace con la instalación de los siguientes ficheros en el
dispositivo:
–scanscan.com
–autorun.inf
El fichero autorun.inf se ejecuta automáticamente cada vez que se conecta el dispositivo en una
unidad, su finalidad es ejecutar la copia del gusano. De este modo si se conecta el dispositivo
infectado en un ordenador limpio, automáticamente el equipo quedará infectado.
Cuando este gusano se ejecuta copia estos ficheros al equipo:
• %Temp% tpa.exe
• %System% winupd01.exe: es una copia de sí mismo.
• %System% 5afa3b.exe
• %Windir% services.exe
Pasos para la eliminación del virus:
–Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.
–Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC y
elimine los archivos señalados anteriormente.
–Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en
uso por estar el virus en ejecución (residente en memoria). En el caso de que no se pueda eliminar el
fichero del virus, debe terminar manualmente el proceso en ejecución del virus.
– Editar el registro para deshacer los cambios realizados por el virus.
–Restaure el fichero "Host" que ha sido modificado por el gusano.
–Elimine de todos los dispositivos extraíbles que hayan podido estar
conectados al equipo infectado el siguiente fichero:
scanscan.com
2. –Elimine todos los archivos temporales del ordenador, incluidos los
archivos temporales del navegador, vacíe también la Papelera de
reciclaje.
–Reinicie su ordenador y explore todo el disco duro con un antivirus
para asegurarse de la eliminación del virus.
Difupat
No tiene rutina propia de propagación. Cuando se ejecuta crea los
siguientes ficheros:
-%System%reinstall.exe
-%ProgramFiles%Internet Explorerbootloader.dll
-%ProgramFiles%Internet Explorerdetoured.dll
-%ProgramFiles% Internet Explorerfuncition.dll
-%ProgramFiles% Internet Explorerfuncition.ini
-%ProgramFiles% Internet Explorerinstall.exe
-%ProgramFiles% Internet Explorerpserver.exe
-%ProgramFiles% Internet Explorerpserver.ini
-%System%Internet Explorer bootloader.dll
-%System%Internet Explorer detoured.dll
-%System%Internet Explorer funcition.ini
-%System%Internet Explorer iexplore.exe
-%System%Internet Explorer install.exe
-%System%Internet Explorer pserver.exe
-%System%Internet Explorer pserver.ini
-Para la eliminación del virus seguir los siguientes pasos:
-Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.
-Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su
PC(Microsoft Security Essentials )
-Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero
está en uso por estar el virus en ejecución (residente en memoria).
-Editar el registro para deshacer los cambios realizados por el virus.
-Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del
3. navegador, vacíe también la Papelera de reciclaje.
-Reinicie su ordenador .
Nestky.P
Es un gusano que se propaga a través del envío masivo de correos electrónicos a las direcciones
contenidas en el equipo afectado. Los mensajes siempre son en inglés. Para su envío utiliza
vulnerabilidades antiguas de internet lo que hace que se ejecute con solo abrir el archivo. También
se propaga por intercambio de ficheros.
El asunto que se muestra en los correos electrónicos son los siguientes:
• Re: Mail Authentification
• Re: Delivery Protection
• Re: Secure delivery
• Re: Protected Mail Delivery
• Re: Protected Mail System
Si lleva incluido archivos adjuntos se muestran de la siguiente manera:
–<<your_document>>
–<<game_xxo>>
–<<websites03>>
–<<document05>>
Cuerpo del mensaje:
–Please see the attached file for details
– Please read the attached file!
–Your document is attached
–Please read the document
–Your file is attached
–Please confirm the document
–Your document is attached.
–Please read the important document.
–See the file
–Requested file.
–Authentication required
–I have attached your document
4. –I have received your document. The corrected document is attached
–Your details
Cuando es ejecutado realiza las siguientes acciones:
1- Crea un mutex
2- Se copia a sí mismo como %Windir%FVProtect.exe
3- Deposita y ejecuta en el sistema, el fichero %Windir%userconfig9x.dll (26.624 Bytes)
4- Crea los siguientes ficheros en ese mismo directorio %Windir% :
• base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable
(40.520 bytes)
• zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882
bytes)
• zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894
bytes)
• zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886
bytes)
• zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes)
Para eliminarlo localize y elimine los siguientes archivos:
• :windowsbase64.tmp
• c:windowsfvprotect.exe
• c:windowsuserconfig9x.dll
• c:windowszip1.tmp
• c:windowszip2.tmp
• c:windowszip3.tmp
• c:windowszipped.tmp
No olvide vaciar la papelera de reciclaje-
Si su antivirus no puede repararlo puede ser debido a que el virus está en funcionamiento (reside en
la memoria).
En caso de que no pueda borrarlo el antivirus deberá hacerlo manualemente con las indicaciones q
le hemos dado anteriormente. Una vez hecho esto, reinicie su ordenador y explore el disco duro con
el antivirus para comprobar la eliminación del virus.