Diario de una Ameba: W32.Inzae.B@mm

Noviembre 30, 2004

W32.Inzae.B@mm

Ese es el nombre del virus que me acaba de joder todo el chiringuito...

Copio y pego mas adelante de paginas con mas cache que la mia para no llevar a equivocos...

A mi me ha desmontado el PC, he tenido que formatear y he sido incapaz de recuperar un puto archivo.

Espero que no os pase lo mismo, aunque yo ya haya infectado ya a alguien. Asi que ya sabeis, si oos tengo en mi libreta de direcciones y os envio un mail, borrarlo porque tiene muy mala pinta.

Y yo ni siquiera vi la foto de la Nuria Bermudez, me cagon la puta... Ni eso me queda.

NOTA: en negrita como me afecto a mi...

> INFORMACION
Gusano que se propaga por correo electrónico en mensajes con textos en español. Es capaz de borrar archivos del sistema infectado. Cuando se ejecuta, muestra la imagen de una mujer desnuda (Nuria Bermúdez, famosa en España por sus escándalos).

> CARACTERISTICAS

Existe una posible infección cuando:

Se muestra la imagen de una mujer desnuda.

Cae notoriamente el rendimiento del sistema, y están presenten la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif

Análisis:

El gusano es un archivo de 50,832 bytes.

Puede llegar en mensajes con las siguientes características:

Asunto: [uno de los siguientes]

# FW:Como el aire...xD
# FW:El amor,el amor,jajaja
# FW:Miralo!!!!
# FW:Más de los mismo, pero vale la pena...
# FW:Más te quise yo :P,jajaja
# FW:Pero que cosasssssss ,jajajaja
# FW:Pero si es cierto!!!
# FW:Podrás dormir??jajaja
# FW:Venga que lo disfrutes ;) jajaja
# Impresiona!!!!

Texto del mensaje: [uno de los siguientes]

# Esto no me lo creo,joeee , jajajaj
# Miralo y me comentas luego,jajajaja
# Miralo y reenvia!!!!!jajajaja,comparte leñe!
# Mirame!, jajaja
# No comment,xDD ,Nos vemos!!
# Pa q tu vea!jajaja
# Pero que cosasssss!
# Si tu me vieras....
# Te pongo a 100,jajaja
# jajajaja,no pue ser!

Datos adjuntos: [uno de los siguientes archivos]

# Basta_YA.zip
# Claro_que_lo_se.zip
# Con_mas_amor.zip
# Las_cosas_cambian.zip
# Lo_que_te_mereces.zip
# Lo_que_ves.zip
# No_me_lo_creo.zip
# Nunca_estamos.zip
# Para_ti_mas.zip
# Siempre_estas_ahi.zip

El adjunto contiene uno de los siguientes archivos

# Absolutismo.bmp
# Lo_mejor.bmp
# Q_mas_da.bmp
# Que_puede_ser.bmp
# Siempre_juntos.bmp
# Sientelo.bmp

Cuando se ejecuta por primera vez, se muestra la imagen desnuda de Nuria Bermúdez.

Acciones:

Crea los siguientes archivos en el sistema infectado:

# c:\windows\system32\command.pif
# c:\windows\system32\m.zip
# c:\windows\system32\paula.pif
# c:\windows\system32\ss.exe
# c:\windows\system32\svchosl.pif
# c:\windows\system32\sw.exe
# c:\windows\system32\sx.exe
# c:\windows\system32\sz.exe

También crea los siguientes archivos:

# X:\codm
# X:\extasis8.pif
# X:\inzae.pif
# X:\p
# X:\page
# X:\pht003.pif
# X:\rd2_roberto.pif
# X:\symbolic3.pif

Donde "X" representa las unidades de disco C:, D:, E: y F:.

Modifica o crea la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Para enviarse por correo electrónico, utiliza su propio motor SMTP.

El gusano puede borrar archivos con las siguientes extensiones:

.asm
.asp
.bdsproj
.bmp
.cpp
.cs
.csproj
.css
.doc
.dpr
.frm
.gif
.htm
.html
.jpeg
.jpg
.mdb
.mp3
.nfm
.nrg
.pas
.pcx
.pdf
.php
.ppt
.rc
.rc2
.reg
.resx
.rpt
.sln
.txt
.vb
.vbp
.vbproj
.wav
.xls

> INSTRUCCIONES PARA ELIMINARLO

Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Pawur

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "Svchost", en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

TALue

Escrito por dario el Noviembre 30, 2004 09:08 PM

Comentarios

buenas soy de argentina, y les cuento que me agarro exactamente el mismo viru y me borro todo TODO..estoy bastante caliente pero bue..por suerte ya lo elimine de la pc..Saludos

Escrito por: gabriel en Diciembre 4, 2004 06:44 AM

A mi tambien me agarro este viruz. Me borro absolutamente todo!
Ya lo borre y pase un soft para recuperar información del hd y pude recuperar algunas cosas! por ahi esto les ayuda si no tenian back-up.

Escrito por: steven en Diciembre 7, 2004 08:21 AM

soy elvis bravo y soy parcticante de la fie y haentrado un virus en le servidor y necsito ayuda porque no se nada y y no se para que me pagan porque hasta el apoyo sabe mas que nosotros
soy un pezzzzzzzzzzzzz
ayudaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

Escrito por: elvis89498 en Enero 25, 2005 06:57 PM

hola, soy cynthia de monterrey mexico, y me mandaron este virus, y la verdad no se como hacer para eliminarlo... por favor envienme ayuda, l a verdad no se si me ha borrado algun archivo, lo unico que ya no me funciona es el msn ya no quiere mandar msjs... y de otros archivos nose si me los ha eliminado... gracias

Escrito por: cynthia en Febrero 3, 2005 01:50 AM

Escribir un comentario



	Diario de una Ameba « Mal, Casi Bien, Bien \| Principal \| Plagio publicitario » Noviembre 30, 2004 W32.Inzae.B@mm Ese es el nombre del virus que me acaba de joder todo el chiringuito... Copio y pego mas adelante de paginas con mas cache que la mia para no llevar a equivocos... A mi me ha desmontado el PC, he tenido que formatear y he sido incapaz de recuperar un puto archivo. Espero que no os pase lo mismo, aunque yo ya haya infectado ya a alguien. Asi que ya sabeis, si oos tengo en mi libreta de direcciones y os envio un mail, borrarlo porque tiene muy mala pinta. Y yo ni siquiera vi la foto de la Nuria Bermudez, me cagon la puta... Ni eso me queda. NOTA: en negrita como me afecto a mi... > INFORMACION Gusano que se propaga por correo electrónico en mensajes con textos en español. Es capaz de borrar archivos del sistema infectado. Cuando se ejecuta, muestra la imagen de una mujer desnuda (Nuria Bermúdez, famosa en España por sus escándalos). > CARACTERISTICAS Existe una posible infección cuando: Se muestra la imagen de una mujer desnuda. Cae notoriamente el rendimiento del sistema, y están presenten la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Svchost = c:\windows\system32\svchosl.pif Análisis: El gusano es un archivo de 50,832 bytes. Puede llegar en mensajes con las siguientes características: Asunto: [uno de los siguientes] # FW:Como el aire...xD # FW:El amor,el amor,jajaja # FW:Miralo!!!! # FW:Más de los mismo, pero vale la pena... # FW:Más te quise yo :P,jajaja # FW:Pero que cosasssssss ,jajajaja # FW:Pero si es cierto!!! # FW:Podrás dormir??jajaja # FW:Venga que lo disfrutes ;) jajaja # Impresiona!!!! Texto del mensaje: [uno de los siguientes] # Esto no me lo creo,joeee , jajajaj # Miralo y me comentas luego,jajajaja # Miralo y reenvia!!!!!jajajaja,comparte leñe! # Mirame!, jajaja # No comment,xDD ,Nos vemos!! # Pa q tu vea!jajaja # Pero que cosasssss! # Si tu me vieras.... # Te pongo a 100,jajaja # jajajaja,no pue ser! Datos adjuntos: [uno de los siguientes archivos] # Basta_YA.zip # Claro_que_lo_se.zip # Con_mas_amor.zip # Las_cosas_cambian.zip # Lo_que_te_mereces.zip # Lo_que_ves.zip # No_me_lo_creo.zip # Nunca_estamos.zip # Para_ti_mas.zip # Siempre_estas_ahi.zip El adjunto contiene uno de los siguientes archivos # Absolutismo.bmp # Lo_mejor.bmp # Q_mas_da.bmp # Que_puede_ser.bmp # Siempre_juntos.bmp # Sientelo.bmp Cuando se ejecuta por primera vez, se muestra la imagen desnuda de Nuria Bermúdez. Acciones: Crea los siguientes archivos en el sistema infectado: # c:\windows\system32\command.pif # c:\windows\system32\m.zip # c:\windows\system32\paula.pif # c:\windows\system32\ss.exe # c:\windows\system32\svchosl.pif # c:\windows\system32\sw.exe # c:\windows\system32\sx.exe # c:\windows\system32\sz.exe También crea los siguientes archivos: # X:\codm # X:\extasis8.pif # X:\inzae.pif # X:\p # X:\page # X:\pht003.pif # X:\rd2_roberto.pif # X:\symbolic3.pif Donde "X" representa las unidades de disco C:, D:, E: y F:. Modifica o crea la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Svchost = c:\windows\system32\svchosl.pif De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system"). Para enviarse por correo electrónico, utiliza su propio motor SMTP. El gusano puede borrar archivos con las siguientes extensiones: .asm .asp .bdsproj .bmp .cpp .cs .csproj .css .doc .dpr .frm .gif .htm .html .jpeg .jpg .mdb .mp3 .nfm .nrg .pas .pcx .pdf .php .ppt .rc .rc2 .reg .resx .rpt .sln .txt .vb .vbp .vbproj .wav .xls > INSTRUCCIONES PARA ELIMINARLO Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección: http://www.nod32.it/cgi-bin/mapdl.pl?tool=Pawur 1. Desactive la restauración automática en Windows XP/ME. 2. Reinicie en Modo a prueba de fallos. 3. Ejecute un antivirus actualizado y elimine los archivos infectados. 4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema. 5. Elimine bajo la columna "Nombre", la entrada "Svchost", en la siguiente clave del registro: HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Run 6. Cierre el editor del Registro del sistema. 7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano. TALue Escrito por dario el Noviembre 30, 2004 09:08 PM Comentarios buenas soy de argentina, y les cuento que me agarro exactamente el mismo viru y me borro todo TODO..estoy bastante caliente pero bue..por suerte ya lo elimine de la pc..Saludos Escrito por: gabriel en Diciembre 4, 2004 06:44 AM A mi tambien me agarro este viruz. Me borro absolutamente todo! Ya lo borre y pase un soft para recuperar información del hd y pude recuperar algunas cosas! por ahi esto les ayuda si no tenian back-up. Escrito por: steven en Diciembre 7, 2004 08:21 AM soy elvis bravo y soy parcticante de la fie y haentrado un virus en le servidor y necsito ayuda porque no se nada y y no se para que me pagan porque hasta el apoyo sabe mas que nosotros soy un pezzzzzzzzzzzzz ayudaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Escrito por: elvis89498 en Enero 25, 2005 06:57 PM hola, soy cynthia de monterrey mexico, y me mandaron este virus, y la verdad no se como hacer para eliminarlo... por favor envienme ayuda, l a verdad no se si me ha borrado algun archivo, lo unico que ya no me funciona es el msn ya no quiere mandar msjs... y de otros archivos nose si me los ha eliminado... gracias Escrito por: cynthia en Febrero 3, 2005 01:50 AM Escribir un comentario Nombre: Direccion de email: URL: Comentarios: Recordar datos? Atención: El blog se encuentra cerrado, para poder comentar redirijase a la siguiente direccion: http://www.bloj.net/dario/ameba/