30 de Noviembre 2004
W32.Inzae.B@mm
Ese es el nombre del virus que me acaba de joder todo el chiringuito...
Copio y pego mas adelante de paginas con mas cache que la mia para no llevar a equivocos...
A mi me ha desmontado el PC, he tenido que formatear y he sido incapaz de recuperar un puto archivo.
Espero que no os pase lo mismo, aunque yo ya haya infectado ya a alguien. Asi que ya sabeis, si oos tengo en mi libreta de direcciones y os envio un mail, borrarlo porque tiene muy mala pinta.
Y yo ni siquiera vi la foto de la Nuria Bermudez, me cagon la puta... Ni eso me queda.
NOTA: en negrita como me afecto a mi...
> INFORMACION
Gusano que se propaga por correo electrónico en mensajes con textos en español. Es capaz de borrar archivos del sistema infectado. Cuando se ejecuta, muestra la imagen de una mujer desnuda (Nuria Bermúdez, famosa en España por sus escándalos).
> CARACTERISTICAS
Existe una posible infección cuando:
Se muestra la imagen de una mujer desnuda.
Cae notoriamente el rendimiento del sistema, y están presenten la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif
Análisis:
El gusano es un archivo de 50,832 bytes.
Puede llegar en mensajes con las siguientes características:
Asunto: [uno de los siguientes]
# FW:Como el aire...xD
# FW:El amor,el amor,jajaja
# FW:Miralo!!!!
# FW:Más de los mismo, pero vale la pena...
# FW:Más te quise yo :P,jajaja
# FW:Pero que cosasssssss ,jajajaja
# FW:Pero si es cierto!!!
# FW:Podrás dormir??jajaja
# FW:Venga que lo disfrutes ;) jajaja
# Impresiona!!!!
Texto del mensaje: [uno de los siguientes]
# Esto no me lo creo,joeee , jajajaj
# Miralo y me comentas luego,jajajaja
# Miralo y reenvia!!!!!jajajaja,comparte leñe!
# Mirame!, jajaja
# No comment,xDD ,Nos vemos!!
# Pa q tu vea!jajaja
# Pero que cosasssss!
# Si tu me vieras....
# Te pongo a 100,jajaja
# jajajaja,no pue ser!
Datos adjuntos: [uno de los siguientes archivos]
# Basta_YA.zip
# Claro_que_lo_se.zip
# Con_mas_amor.zip
# Las_cosas_cambian.zip
# Lo_que_te_mereces.zip
# Lo_que_ves.zip
# No_me_lo_creo.zip
# Nunca_estamos.zip
# Para_ti_mas.zip
# Siempre_estas_ahi.zip
El adjunto contiene uno de los siguientes archivos
# Absolutismo.bmp
# Lo_mejor.bmp
# Q_mas_da.bmp
# Que_puede_ser.bmp
# Siempre_juntos.bmp
# Sientelo.bmp
Cuando se ejecuta por primera vez, se muestra la imagen desnuda de Nuria Bermúdez.
Acciones:
Crea los siguientes archivos en el sistema infectado:
# c:\windows\system32\command.pif
# c:\windows\system32\m.zip
# c:\windows\system32\paula.pif
# c:\windows\system32\ss.exe
# c:\windows\system32\svchosl.pif
# c:\windows\system32\sw.exe
# c:\windows\system32\sx.exe
# c:\windows\system32\sz.exe
También crea los siguientes archivos:
# X:\codm
# X:\extasis8.pif
# X:\inzae.pif
# X:\p
# X:\page
# X:\pht003.pif
# X:\rd2_roberto.pif
# X:\symbolic3.pif
Donde "X" representa las unidades de disco C:, D:, E: y F:.
Modifica o crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para enviarse por correo electrónico, utiliza su propio motor SMTP.
El gusano puede borrar archivos con las siguientes extensiones:
.asm
.asp
.bdsproj
.bmp
.cpp
.cs
.csproj
.css
.doc
.dpr
.frm
.gif
.htm
.html
.jpeg
.jpg
.mdb
.mp3
.nfm
.nrg
.pas
.pcx
.pdf
.php
.ppt
.rc
.rc2
.reg
.resx
.rpt
.sln
.txt
.vb
.vbp
.vbproj
.wav
.xls
> INSTRUCCIONES PARA ELIMINARLO
Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Pawur
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y elimine los archivos infectados.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", la entrada "Svchost", en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
TALue
Escrito por dario el 30 de Noviembre 2004 a las 09:08 PMbuenas soy de argentina, y les cuento que me agarro exactamente el mismo viru y me borro todo TODO..estoy bastante caliente pero bue..por suerte ya lo elimine de la pc..Saludos
Escrito por: gabriel en 4 de Diciembre 2004 a las 06:44 AMA mi tambien me agarro este viruz. Me borro absolutamente todo!
Ya lo borre y pase un soft para recuperar información del hd y pude recuperar algunas cosas! por ahi esto les ayuda si no tenian back-up.
soy elvis bravo y soy parcticante de la fie y haentrado un virus en le servidor y necsito ayuda porque no se nada y y no se para que me pagan porque hasta el apoyo sabe mas que nosotros
soy un pezzzzzzzzzzzzz
ayudaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
hola, soy cynthia de monterrey mexico, y me mandaron este virus, y la verdad no se como hacer para eliminarlo... por favor envienme ayuda, l a verdad no se si me ha borrado algun archivo, lo unico que ya no me funciona es el msn ya no quiere mandar msjs... y de otros archivos nose si me los ha eliminado... gracias