Strict Standards: Accessing static property Database::$database as non static in /home/manual/public_html/includes/class/Database.class.php on line 26
Manual informática de w32/evomo@mm

w32/evomo@mm

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/evomo@mm

w32.vivael@mm, w32/colevo@mm, w32/colevo, w32/colevo-a, i-worm.colevo, worm_colevo.a,
tipo: gusano
tama?o: 188,928 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminación the hacker 5.5, registro de virus al 27/06/2003
descripci?n creada el 27/06/2003, 1:19am (gmt-05:00)
vea las recomendaciones para eliminar este gusano!
es un gusano de origen boliviano que se propaga v?a e-mail a todos los contactos de .net messenger, el gusano muestra varias im?genes del pol?tico boliviano evo morales.
caracter?sticas del e-mail:
variante 1:
from: {usuario afectado}
asunto: al fin se puede hackear a hotmail!!
archivo adjunto: hotmailpass.exe o variable
variante 2:
caracter?sticas del e-mail:
from: {usuario afectado}
asunto: el adelanto de matrix ta gueno
cuerpo:
oye te ? paso el programa para entrar a cuentas del messenger
z y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?
u respondeme que tal te parecio. chau
archivo adjunto: hotmailpass.exe o variable
ejecuci?n del gusano:
al ejecutar el gusano crea los siguientes archivos:
en la carpeta windows :
command.exe system.exe hot girl.scr all users.exe inf.exe temp.exe internet download .exe shell.exe system32.exe system64.pif internet file.exe part hard disk.exe hotmailpass.exe en la carpeta system :
command.com net.com www.microsoft.com inf.exe en la carpeta de inicio (falla porque el nombre de carpeta es incorrecto):
c:\windows\menu inicio\programas\inicio\www.microsoft.com en la carpeta de reciclaje:
c:\recycled\evo morales.scr nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt)
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
modifica el registro de windows para ejecutar el gusano cada vez que se inicia una aplicaci?n con extensi?n .exe, .pif, .hta, .bat, .com
hkey_local_machine\software\classes\exefile\shell\open\command
predeterminado= windows \command.exe 1 *
hkey_local_machine\software\classes\comfile\shell\open\command
predeterminado= windows \inf.exe 1 *
hkey_local_machine\software\classes\batfile\shell\open\command
predeterminado= windows \temp.exe 1 *
hkey_local_machine\software\classes\htafile\shell\open\command
predeterminado= windows \commands.com 1 *
hkey_local_machine\software\classes\piffile\shell\open\command
predeterminado= windows \commands.com 1 *
hkey_local_machine\software\microsoft\windows\currentversion\runsevices
system = windows \commands.com
hkey_local_machine\software\microsoft\windows\currentversion\run
system = windows \system.exe
hkey_local_machine\software\microsoft\windows\currentversion\run\1\2\3\4
system = windows \temp.exe
los cambios en estas llaves de registro son al azar pudiendo cambiar el nombre del ejecutable (.exe, .com)
tambi?n modifica los archivos win.ini y system.ini, dostart.bat
win.ini:
a?ade en las llaves run=, load= referencias al archivo archivo.exe
[windows]
load= windows \archivo.exe
run= windows \archivo.exe
####viva el evo, y jamas erradicaran la coca cola!!! mentira colla maldito!! (pyn pablo_hack@hotmail.com)####
system.ini:
de:
[boot]
shell=explorer.exe
a:
[boot]
shell=explorer.exe temp .exe
dosstart.bat
a?ade:
windows \shell.exe
otra informaci?n:
el gusano est? escrito en delphi, mide 188kb y est? comprimido con el compresor aspack (495kb sin comprimir aproximadamente)
recomendaciones para eliminacion del gusano w32/evomo@mm:
el gusano w32/evomo@mm hace dependiente el sistema operativo de los archivos infectados v?a el registro de windows.
para desinfectar el sistema se recomienda utilizar the hacker 5.5 para windows (modo gr?fico) , de esta forma el antivirus realiza en forma autom?tica:
corrige el registro de windows colocando el valor 1 * en las siguientes llaves hkey_local_machine\software\classes\exefile\shell\open\command
hkey_local_machine\software\classes\comfile\shell\open\command
hkey_local_machine\software\classes\batfile\shell\open\command
hkey_local_machine\software\classes\htafile\shell\open\command
hkey_local_machine\software\classes\piffile\shell\open\command
detecta y elimina los archivos infectados con w32/evomo-mm
si desea desinfectar un equipo que no tiene the hacker 5.5 para windows instalado en el disco duro debe utilizar el programa th.exe desde el disquete nro 1, siga estos pasos:
corrija el registro de windows primero: ejecute la utilidad regevomo.scr v?a el explorador windows
reinicie el sistema en modo ms-dos y ejecute the hacker (th.exe) desde el disquete nro 1 ? borre los archivos infectados
en caso haya eliminado los archivos infectados en forma manual o desde el modo ms-dos (th.exe) sin corregir primero el registro de windows no se podr? abrir ning?n archivo con extensi?n .exe, .com, .pif, .hta, .bat apareciendo mensajes de error que falta el archivo command.exe, inf.exe, etc.
en este caso simplemente abra la utilidad regevomo.scr para corregir el registro de windows y que todo vuelva a funcionar normalmente, la utilidad tiene la extensi?n .scr a fin de que el sistema pueda ejecutarlo.
la utilidad regevomo.scr coloca el valor 1 * en las siguientes llaves::
hkey_local_machine\software\classes\exefile\shell\open\command
hkey_local_machine\software\classes\comfile\shell\open\command
hkey_local_machine\software\classes\batfile\shell\open\command
hkey_local_machine\software\classes\htafile\shell\open\command
hkey_local_machine\software\classes\piffile\shell\open\command
bajar utilidad: regevomo.scr


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo