Peerfrag.FM

Peerfrag.FM, que es, como se contagia, que daños puede hacer y como eliminarlo. El gusano Peerfrag.FM es muy peligroso por los daños realizados en la máquina infectada. El virus convierte nuestro ordenador en un servidor de internet con muchas puertas abiertas. Además, se autopropaga a través de Redes de Compartición de Ficheros P2P, Mensajería Instantánea y Unidades del Sistema (locales, mapeadas o extraibles)

Publicado por AntiVirus

Su nombre completo es Malware.W32/Peerfrag.FM @ P2P+IM+US+Otros y es un gusano que se propaga por redes P2P, a través de Messenger y por unidades extraíbles compartidas. Abre una puerta trasera conectándose con un servidor malicioso. Aprovecha las vulnerabilidades que le dejan los sistemas operativos de Microsoft Windows de 32 bits y sus mutaciones puede afectar a Microsoft Windows Vista, Windows XP, Windows Server 2008, Windoes Server 2003, Windows 2000, Windows NT, Windows Me, Windows 98 y , Windows 95

¿Que hace el gusano Peerfrag.FM?

Las acciones que pueden realizarse en forma remota son las siguientes:

  • Ataques DoS/DDoSv
  • Descargar archivos
  • Ejecutar archivos
  • Escanear puertos
  • Obtener información del equipo
  • Robar contraseñas guardadas en Firefox
  • Robar Credenciales y contraseñas

¿Como saber si se está infectado con el gusano Peerfrag.FM?

El gusano se conecta a través del UDP:1221 al dominio sub7.ahdjejgf.com

Además, el gusano Peerfrag.FM crea una serie de archivos en los dispositivos extraibles, así como en las carpetas de los siguientes programas:

  • eMule
  • eMule Plus
  • Kazaa
  • Ares Galaxy
  • BearShare
  • DC++
  • iMesh
  • LimeWire
  • Shareaza

Crea los siguientes archivos en los dispositivos extraíbles conectados al sistema comprometido:

  • %Unidad de Disco% \system32\wnzip32.exe
  • %Unidad de Disco% \system32\Desktop.ini
  • %Unidad de Disco% \autorun.inf

Además, crea la siguiente carpeta y los siguientes ficheros en el disco duro

  • %Unidad en la que está instalada Windows% \RECYCLER\S-1-5-21-[valor aleatorio]\
  • %Unidad en la que está instalada Windows% \RECYCLER\S-1-5-21-[valor aleatorio]\wnzip32.exe
  • %Unidad en la que está instalada Windows% \RECYCLER\S-1-5-21-[valor aleatorio]\Desktop.ini

El gusano Peerfrag.FM crea, dentro del explorer, un hilo con su propio código.

Puede propagarse por Messenger enviando un enlace malicioso a todos los contactos del usuario comprometido.

Además, crea las siguientes claves en el registro

  • Clave:  HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Clave: HKEY_LOCAL_MACHINE\software\classes\.key\

A los que les otorgan los siguientes valores (respectivamente)

  • Valor: 'Taskman' = '[unidad]\S-1-5-21-[valor]\rundll32.exe'
  • Valor:  'Shell' = 'explorer.exe,[unidad]\S-1-5-21-[valor]\rundll32.exe'

¿Cómo eliminar el Gusano Peerfrag.FM?

Intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema:

  1. Desactivar temporalmente la Restauración del Sistema.
  2. Reiniciar el ordenador a Modo a Prueba de Fallos.
  3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
  4. Elimine los archivos explicados en ¿Como saber si está infectado?
  5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
  6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
  7. Eliminar archivos temporales
  8. Reiniciar el ordenador
Email Del.icio.us Digg Fresqui Technorati Meneame

Posts relacionados

26 Dic 2009
Bajo la(s) categoria(s): gusano, , , , , , , , , , , , , , , , , , , , , , ,

Deje un comentario