W32/Stewon.A. Se propaga por redes P2P y borra MSN .

Gusano que se propaga por las redes de intercambio de archivos entre usuarios P2P (Peer-To-Peer), KaZaA, Overnet y DC++.

W32/Stewon.A. Se propaga por redes P2P y borra MSN .Nombre: W32/Stewon.A
Tipo: Gusano de P2P
Alias: Stewon, W32/Stewon-A, Worm.P2P.Stewon
Fecha: 2/ago/04
Plataforma: Windows 32-bit
Tamaño: variable

Cuando se ejecuta, crea las carpetas DOWNLOAD y DOWNLOADS, y copia los siguientes archivos:
c:download andom.exe
c:downloads andom.exe
c:windowssystem32genoxial.exe

El archivo RANDOM.EXE es una copia comprimida (ZIP) del propio gusano. GENOXIAL.EXE es una copia del gusano.

NOTA: “c:windowssystem32″ puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como “c:winntsystem32″ en Windows NT y 2000 y “c:windowssystem” en Windows 9x y ME).

Crea también un archivo conteniendo solo un texto (MESSENGER SUCKS GET IRC www.mirc.com.txt), en las siguientes carpetas:

c:
c:Program Files
c:Program Filesmessenger
c:Program Filesmsn messenger

También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
MSN Sucks use IRC = genoxial.exe

Genera numerosas copias de RANDOM.EXE en las carpetas compartidas de redes P2P como KaZaA, Overnet y DC++, utilizando nombres al azar creados con los elementos [1]+[2]+[3] de las siguientes listas:

Elemento [1]:

Adobe Photoshop 6
Counter-strike
CS
CSInstall
dc++
Doom
edonkey
farcry
Halflife
HalfLife2
HL
HL2
IRC
Kazaa
macromedia mx
Messenger
Mirc
MSN
Msn Plus
paint shop pro 7
Quake
Quake2
Quake3
rainbow six
Reason
Reason 2
Sierra
splinter cell
Steam
STEAM install
subseven
sygate
Unreal
Unreal Tourament
Unreal Tourament 2003
Unreal Tourament 2004
UT2003
UT2004
virtualdub
Winace
WON

Elemento [2]:

aimbot
aimhack
bot
Bruteforce
cheat
Hack
hack
Keygen
keygen
password sniffer
share hack
Stealer
thief

Elemento [3]:

.zip
DEViANCE.zip
MyTH.zip

Ejemplos:
Adobe Photoshop 6 thief.zip
HL hack DEViANCE.zip
Quake2 keygen MyTH.zip

El gusano intenta borrar los siguientes archivos:

c:Program Filesmessengermsmsgs.exe
c:Program Filesmsn messengermsnmsgr.exe

Reparación manual

Deshabilitar las carpetas compartidas de programas P2P

Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.

Para ello, siga las instrucciones del siguiente artículo:

Cómo deshabilitar compartir archivos en programas P2P

http://www.vsantivirus.com/deshabilitar-p2p.htm

Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.

http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.

Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:download andom.exe
c:downloads andom.exe
c:windowssystem32genoxial.exe
c:MESSENGER SUCKS GET IRC www.mirc.com.txt
c:Program FilesMESSENGER SUCKS GET IRC www.mirc.com.txt
c:Program FilesmessengerMESSENGER SUCKS GET IRC www.mirc.com.txt
c:Program Filesmsn messengerMESSENGER SUCKS GET IRC www.mirc.com.txt

Pinche con el botón derecho sobre el icono de la “Papelera de reciclaje” en el escritorio, y seleccione “Vaciar la papelera de reciclaje”.

Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo “+” hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta “Run” y en el panel de la derecha, bajo la columna “Nombre”, busque y borre la siguiente entrada:

MSN Sucks use IRC

4. Use “Registro”, “Salir” para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente : VSAntivirus

http://www.cyberpirata.org

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática