Virus : WIN32/AUTORUN.D, Amigda.exe
domingo, enero 06, 2008
Hola Mundo!
Amigo(a)s ciberneticos espero que les resulte familiar este estupido gusano de internet que lo unico que me causo fue una perdida de tiempo, a y el malestar de los pobres usuarios alejados del tema informatico y a los cuales solo les interesa tener operativo su pc para revisar su mail personal, word, winamp y otras aplicaciones que no van al caso, lo unico que espero es que le sirva de referencia a alguna persona que en estos momentos este pasando el mismo mal rato que yo.
Nombre: Win32/AutoRun.D, Amigda.exe
Otros : AutoRun.D, IM-Worm.Win32.Opanki.O, Trojan.Startup.VB.A, Trojan/Worm, W32.SillyDC, W32/Amigda.A.worm, W32/MEWpacked.gen, Win32/AutoRun.D / Amigda.exe
Tipo: Gusano de Internet
Fecha: 25/06/2007
Tamaño: 5,620 Bytes
Destructivo: No
Origen: Aparentemente un Programador Chileno
Informaciòn : Virus que se carga al inicio del sistema, y puede ejecutarse cada vez que se accede a una unidad de disco o se inserta una unidad extraíble.
CARACTERISTICAS
Modifica el registro para limitar las siguientes acciones:
Modificación del registro (REGEDIT y otras herramientas)
"Opciones de carpetas" del Menú de herramientas
Acceso al Administrador de tareas (CTRL+ALT+SUPR)
Acceso al menú de "Ejecutar" y línea de comandos
Acceso a las opciones de Apagar o reiniciar
Cuando se ejecuta, algunas variantes pueden mostrar un mensaje como el siguiente, entre otros:
“Anti Reggaeton :: Viva Chile Mierda”
Crea los siguientes archivos:
c:\windows\system32\amigda.exe
También crea los siguientes archivos con atributos de ocultos:
?:\amigda.exe
?:\autorun.inf
Donde "?:" es una letra de unidad de disco, de la "E:" en adelante.
El virus crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = "explorer.exe c:\windows\system32\amigda.exe"
Algunas de las siguientes entradas también son creadas o modificadas, algunas de ellas para desactivar algunas herramientas de Windows como el Editor del Registro y el Administrador de Tareas de Windows, otras como para eliminar la entrada Opciones de carpetas del menú de herramientas del Explorador de Windows y del Panel de Control, y para esconder los archivos con atributos de sistema y sus extensiones, todo ello con la intención de dificultar su detección:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchSystemDirs = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
HideFileExt = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
ShowSuperHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
SuperHidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoFolderOptions = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoDriveTypeAutoRun = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegedit = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegistryTools = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableTaskMgr = "1"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "1"
Como Eliminarlo :
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
Leave your response