 |
Menú |
|
|
|
Referencias |
|
|
|
Alertas |
|
|
|
|
|
|
Se han reportado casos en USBnet en los que se ha detectado actividad de este gusano de envio de correo masivo, que es una variante del W32.Novarg.A@mm. El principal síntoma de contagio por esta amenaza informática es que deshabilita el acceso a las actualizaciones de antivirus y/o sitios de Microsoft tales como support.microsoft.com o windowsupdate.microsoft.com. Este gusano se propaga principalmente a través del correo electrónico y comenzó a aparecer en USBnet pocas horas después del Novarg.
|
|
|
|
|
La descripción y comportamiento del gusano es absolutamente similar a la del Novarg.A original; por lo tanto, el patrón de los mensajes es el mismo.
Alerta de virus W32.Novarg.A@mm
Sin embargo hay otras características importantes a resaltar:
-
El gusano se copia al sistema con los siguientes nombres de archivo: explorer.exe y ctfmon.dll. Hay que tener cuidado si se va a eliminar manualmente explorer.exe, ya que existe un archivo de sistema imprescindible para el buen funcionamiento de Windows que lleva ese nombre. La diferencia principal entre el explorer.exe de Windows y el gusano es que el primero se halla en la carpeta %windir%, la cual generalmente es "C:\Windows" o "C:\WINNT", mientras que el gusano se halla en la carpeta %sysdir% que es "C:\Windows\system32", "C:\WINNT\system32" o "C:\Windows\system". Ctfmon.dll es un servidor proxy que puede ejecutar archivos; básicamente es el componente de puerta trasera. Es importante no confundir este archivo con Ctfmon.exe, que es un componente de Microsoft Office. Si alguno de estos archivos existe en su disco duro, es indicativo de
-
que el equipo está infectado.
-
El gusano espera conexiones en el puerto TCP 10080.
-
Sobreescribe el archivo HOSTS.
Afortunadamente, este gusano es fácil de detectar y eliminar.
Exhortamos seguir estas recomendaciones y de esta manera, se estará protegiendo contra posibles infecciones de este gusano, y reduciendo el impacto negativo a toda la red.
Para aclarar dudas o solicitar más información, comuníquese con el Departamento de Atención al Usuario por la dirección ayudadst@usb.ve, o por teléfono al 4100.
Gracias anticipadas por su colaboración.
Pasos para recuperar acceso a las actualizaciones de antivirus
En Windows 95, 98 y ME, vaya a [ejecutar] en el menú inicio, escriba "command" (sin las comillas), para obtener una línea de comando. Dentro de la misma, escriba lo siguiente:
y pulse [enter].
Para todas las demás versiones de Windows, vaya a [ejecutar] en el menú inicio, escriba "cmd" (sin las comillas), para obtener una línea de comando. Dentro de la misma, escriba lo siguiente:
-
del /F %systemroot%\system32\drivers\etc\hosts [enter]
-
echo # Temporary HOSTS file >%systemroot%\system32\drivers\etc\hosts [enter]
-
attrib +R %systemroot%\system32\drivers\etc\hosts [enter]
En Windows NT, debe reiniciar la red o el computador luego de escribir esos comandos.
En Windows 2000, XP y 2003 no hay necesidad de reiniciar.
En cambio, debe escribir el siguiente comando (en la línea de comandos)
-
ipconfig /flushdns [enter]
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Archivos anexos
|
Antimydoom
|
|
|
Para eliminar el gusano Novarg.A y W32.Mydoom.B@mm, arregla el Windows Registry y finaliza los procesos activos del gusano.
|
|
clrav
|
|
|
Para eliminar el gusano Novarg.A y W32.Mydoom.B@mm, arregla el Windows Registry y finaliza los procesos activos del gusano. De Kaspersky Labs.
|
|
f-mydoom
|
|
|
Para eliminar el gusano Novarg.A y W32.Mydoom.B@mm, arregla el Windows Registry y finaliza los procesos activos del gusano. De F-Secure.
|
|
|
|
|
|
|
Historia de los Virus Informáticos |
|
|
|
|
|
|
[16/07/2003]
|
|
|
|
[16/09/2003]
|
|
|
|
[06/11/2003]
|
|
|
|
|
Conceptos |
|
|
|
|
|
|
[10/12/2003]
|
|
|
|
[20/11/2003]
|
|
|
|
