vbs/sorpe.a

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de vbs/sorpe.a

vbs. sorpe.a@mm, trojan.vbs.spore.a
tipo: gusano
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminación the hacker 5.7 registro de virus al: 14/12/2004

vbs/sorpe.a @mm , es un gusano de envi? masivo de e-mails, se env?a a si mismo a todas las direcciones de e-mail que encuentre en archivos con las siguientes extensiones, .asp, .doc, .hta, .hte, .htm, .html, .htt, .htx, .rtf, .shtm, .stm, .txt y xml .
caracter?sticas del mensaje de e-mail:
asunto: [puede ser uno de los siguientes:]
microsoft updates news security updates news service pack 2 updates news system updates news microsoft operating system updates news microsoft security updates news microsoft update news letter microsoft news update news microsoft`s big security update news cuerpo :
service pack 2 is due soon for microsoft users, bug fixes, internet explorer patches and new security features. please read more from the file attcahed to this microsoft news letter.
archivo adjunto: msnews.vbs
-----------------------------
cuando el gusano se ejecuta se copia a si mismo como:
windows \syslogs\syslog32.vbs system \msnews.vbs program files \windowsupdate\wupdmgr.tmp\wupdscn.vbs tambi?n pega y ejecuta los siguientes archivos:
system \user32.reg system \sysreg.reg seguidamente pega y ejecuta el archivo system \tskmgr32.vbs para finalizar alg?n proceso llamado taskmgr.exe
nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
spore= system \msnews.vbs
tambi?n modifica la siguiente entrada del registro para prevenir que los archivos pegados sean le?dos por los 5 editores de texto que se mencionan:
hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\disallowrun
1=regedit.exe
hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\disallowrun
2=notepad.exe
hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\disallowrun
3=wordpad.exe
hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\disallowrun
4=write.exe
hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\disallowrun
5=wuauclt.exe
luego modifica la siguiente entrada:
hkey_current_user\software\microsoft\windows\currentversion\policies\explorer
disallowrun=1
si la fecha del sistema es 01/01/2005 el gusano visualizar? el siguiente mensaje:
vbs.spore@mm (c) 2004
w a r n i n g :
your system resources is in a critical state. to avoid any damages to your system or files, please restart your computer or contact the system administrator.
seguidamente enviar? un mensaje de email a los vendedores antivirus, el email tiene las siguientes caracter?sticas:
de: billgates@microsoft.com
para: [puede ser uno de los siguientes:]
support@sophos.com newvirus@kaspersky.com virus_research@nai.com info@mcafee.com virus_doctor@trendmicro.com support@support.trendmicro.com samples@f-secure.com anti-virus-support@f-secure.com vsample@avertlabs.com securityresponse@symantec.com asunto: [uno de los siguientes]
a strange vbs file on my pc..!! is this vbs file appart of windows operating system..?? i found a vbs virus on my pc.!! help.. i`ve been infected with a vbs virus.. i think i have a vbs virus..?? help... vbs virus infection..!!! here is a new vbs virus i found..!! my system has been infected with a vbs file..!! not again, i`ve just been infected again.. (vbs) my pc is acting strange..?? cuerpo:
hello,
i found this vbs file on my pc. but i`m not too sure if it is a virus so i am sending you a copy for safety reasons..!
---------------------------
finalmente desinstala algunos procesos que contengan los siguientes textos en su nombre script y block


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo