SOBRE LOS VIRUS
Bueno al revisar mi computador no encontre ningun virus, la he analizado con norton 2006 y aunque me sorprendio encontrarme con mas de 130,000 archivos, creo que mi maquina se encontraba lenta porque no habia vaciado la papelera, sin embargo al instalarle el ad-aware encontre con 65 amenzas, realize entonces una rigurosa investigacion del porque el norton "mejor ativirus" no habia podido descubrirlos y llegue a esta conclucion:
los virus son clasificados por ello encontramos, spam, troyanos, caballos, basuras, spyware, malware, etc.
Mi computador estaba infestado de basura por el manejo de la internet, ademas de encontrar archivois que supuestamente no representaban amenzas a mi maquina.
posteriomente decidi revidar algunas maquinas mas y me sorprendi al ver que en algunos casos nisiquiera tenian un antivirus, pero revise una maquinita en la cual me encontre con 2,048 virus espias, lo que me llevo al formateo de la misma porque ya no daba ni para adelante ni para atras, aca esta algunos puntos de la investigacion:
Historia
El primer virus que atacó a una máquina IBM Serie 360 (y reconocido como tal), fue llamado Creeper, creado en 1972 por Robert Thomas Morris. Este programa emitía periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora).
Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde antes. Sus inicios fueron en los laboratorios de Bell Computers, tres programadores desarrollaron un juego llamado Code Wars, el cual consistía en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible.
Después de 1984, los virus han tenido una gran expansión, desde atacando los sectores de arranque de diskettes hasta siendo adjuntado en un correo electrónico y escondido en una imagen de formato JPG.
Se considera que se ha desatado un brote vírico en una red cuando se ve infestada de virus o repleta de mensajes que los contienen: el resultado es un servidor colapsado, cuya inactividad cuesta a la empresa mucho dinero. El ciclo vital de los virus informáticos comienza con su creación y termina con su completa erradicación.
ETAPA 1: CREACIÓNHasta hace pocos años, crear un virus exigía conocer en profundidad un lenguaje de programación. En la actualidad cualquiera que sepa programar un poco puede hacer un virus.
ETAPA 2: REPRODUCCIÓNLos virus se reproducen a sí mismos: forma parte de su naturaleza. Un virus bien diseñado está preparado para estar copiándose a sí mismo en distintos ficheros durante bastante tiempo, el suficiente para llegar a muchísimos usuarios.
ETAPA 3: ACTIVACIÓNEn los virus con rutinas de ataque, éstas se activan cuando se dan determinadas condiciones, por ejemplo, una fecha concreta o que el usuario realice una acción "x". Sin embargo, incluso los virus que están pensados para causar un daño específico entorpecen el sistema al ocupar en él un valioso espacioso de almacenamiento.
ETAPA 4: DESCUBRIMIENTOCuando se detecta un nuevo virus, se aísla y se envía a la Asociación Internacional de Seguridad Informática, con sede en Washington, D.C., donde se toma nota de sus características para posteriormente distribuirlo a los fabricantes de antivirus. En general, el descubrimiento tiene lugar por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática.
ETAPA 5: ASIMILACIÓNEn este punto, los fabricantes de antivirus modifican su software para que sea capaz de detectar el nuevo virus. Este proceso puede durar desde un día hasta seis meses, dependiendo del desarrollador y del tipo de virus.
ETAPA 6: ERRADICACIÓNCualquier virus puede ser erradicado si suficientes usuarios mantienen al día su protección antivirus. Hasta el momento ningún virus ha desaparecido por completo, pero algunos hace mucho que han dejado de representar una amenaza importante.
CLASES DE VIRUS
Código o software malicioso es el término que se utiliza generalmente para designar a cualquier programa malicioso o código móvil inesperado, ya se trate de virus, troyanos, gusanos o programas "broma", es decir, que simulan ser virus sin serlo. Los virus y demás código malicioso se dividen en varios tipos según los formatos en los que se ocultan y las rutinas que utilizan para infectar.
CÓDIGO ACTIVEX MALICIOSO
Un control ActiveX es un objeto anidado que forma parte de una página web y que se ejecuta automáticamente cuando se visita la página. En muchos casos puede configurarse el navegador para que estos controles ActiveX no se ejecuten marcando la casilla "alta" en las opciones de seguridad. De todas formas, piratas informáticos, escritores de virus y en general, quienes desean hacer de las suyas o cosas peores en una red pueden valerse del código ActiveX malicioso para atacar el sistema.
VIRUS DE SECTOR DE ARRANQUE
Los virus de sector de arranque infectan el sector de arranque o tabla de partición de un disco. Es muy probable infectarse por este tipo de virus si se arranca el ordenador con un disquete infectado en la unidad A. El disco duro puede infectarse incluso ni no se consigue arrancar. Una vez el sistema se ha infectado, el virus de sector de arranque tratará de infectar todos los discos a los que se entre desde ese ordenador. Generalmente, este tipo de virus se elimina con facilidad.
VIRUS DE FICHERO DE ACCIÓN DIRECTA
Los virus de fichero de acción directa infectan programas ejecutables (generalmente, archivos con extensiones .com o .exe). La mayoría de ellos intentan sencillamente replicarse y propagarse infectando otros programas huésped, pero algunos desbaratan sin querer los programas que contaminan al sobrescribir parte de su código original. Algunos de estos virus son muy destructivos: tratan de formatear el disco duro en una fecha fijada de antemano o perpetrar alguna otra acción perjudicial. A menudo es posible eliminar los virus de fichero de acción directa de los archivos infectados. Sin embargo, si el virus ha sobrescrito parte del código del programa, el archivo quedará ya modificado para siempre.
CÓDIGO JAVA MALICIOSO
Los applets de Java son programitas o miniaplicaciones portátiles en Java que se encuentran anidadas en páginas HTML. Se ejecutan automáticamente al visualizar las páginas. Su lado negativo es que piratas informáticos, escritores de virus y en general, quienes desean hacer de las suyas o cosas peores en una red pueden servirse de código Java malicioso para atacar el sistema. V
IRUS DE MACRO
Los virus de macro son virus que se distribuyen a sí mismos a través de un lenguaje de programación que utiliza macros para crear aplicaciones. Al contrario que otros virus, los virus de macro no infectan programas ni el sector de arranque, aunque algunos de ellos sí que pueden inhabilitar programas situados en el disco duro del usuario.
NUEVO DISEÑO
Un virus o troyano de nuevo diseño tiene propiedades o capacidades nuevas o nunca vistas hasta ese momento. Por ejemplo, VBS_Bubbleboy era un gusano de nuevo diseño pues fue el primer gusano de correo que se ejecutaba automáticamente, sin necesidad de hacer doble clic sobre el adjunto. La mayoría de estos virus "de nuevo diseño" no llegan a convertirse jamás en una amenaza real. No obstante, los escritores de virus parten a menudo de la idea (y del código) en la que se basa uno de estos virus para aplicarla a creaciones futuras.
VIRUS DE SCRIPT
Los virus de script están escritos en este tipo de lenguajes de programación, como VBScript y JavaScript.Los virus de VBScript (Visual Basic Script) y JavaScript a menudo se activan e infectan otros ficheros mediante el Windows Scripting Host de Microsoft. Al incorporar Windows Scripting Host tanto Windows 98 como Windows 2000, los virus se activan simplemente haciendo doble clic sobre ficheros con extensión*.vbs o *.js desde el explorador de Windows.
TROYANO
Un caballero de Troya o troyano es un programa que lleva a cabo acciones inesperadas o no autorizadas, a menudo dañinas, como mostrar mensajes en pantalla, borrar archivos o formatear discos. Los troyanos no infectan otros archivos introduciéndose en ellos, por lo que no hace falta limpiarlos.
GUSANO
Un gusano informático es un programa (o conjunto de programas) que utilizan copias completas de sí mismos para infectar distintos equipos informáticos, en los que dejan esa reproducción o un segmento suyo. Normalmente se propagan a través de las conexiones de una red o de ficheros adjuntos en mensajes de correo.
en una de las maquinas que revise encontre el siguiente virus Trojan.Domcom, W32.Zotob.E por lo que investigue y este fue el resultado:
Trojan.Domcom
También conocido como:
TROJ_DOMCOM.D [Trend], Troj/Domcom-C [Sophos]
Tipo:
Trojan Horse
Longitud de la infección:
61292 Bytes
Sistemas afectados:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Cuando Trojan.Domcom se ejecuta, realiza las siguientes acciones:
Crea los siguientes archivos:
%AppData%\SysDown\sys[5 números aleatorios].exe
%Windir%\loader_exe.dll
%Windir%\task32.dat bsNota:
%AppData% es una variable que hace referencia a la carpeta de aplicación del usuario que inició sesión en el equipo. En forma predefinida es C:\Documents and Settings\\Datos de programa\ (Windows NT/2000/XP).
%Windir% es una variable para hacer referencia a la carpeta de instalación de Windows. (En forma predefinida es C:\Windows o C:\Winnt).
Añade el valor:"loader32 " = "%AppData%\SysDown\sys[5 números aleatorios].exe"a la siguiente sub-clave de registro:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runcon lo que el caballo de Troya se ejecuta cada vez que inicia Windows.
Crea las siguientes sub-claves de registro:
HKEY_CLASS_ROOT\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}
HKEY_CLASS_ROOT\TypeLib\{4A31E565-08CB-4272-8817-7BF729B6A96F}
HKEY_CLASS_ROOT\Interface\{CC1725CD-1EFA-4D88-8987-5EBF66347856}
HKEY_CLASS_ROOT\DownCom.CDownCom.1
HKEY_CLASS_ROOT\DownCom.CDownCom
Trata descargar y ejecutar programas adware desde el dominio iehelp.net.
Las siguientes instrucciones pertenecen a todos los productos antivirus de Symantec actuales y recientes, incluyendo las líneas de producto AntiVirus y Norton Antivirus de Symantec.
Desactivar Restaurar el sistema (Windows Me o XP)
Actualice las definiciones de virus.
Ejecute un análisis completo del sistema y elimine todos los archivos que se detecten infectados por Trojan horse.
Elimine los valores que se hayan agregado al registro.Si necesita información sobre cómo llevar a cabo estos pasos, lea las siguientes instrucciones.
Nota: El procedimiento descrito en este documento es complejo y se da por hecho de que usted está familiarizado con procesos básico de Windows y DOS. En caso de que usted no esté familiarizado, le sugerimos contrate los servicios de una empresa calificada, que le apoye.
1. Desactivar Restaurar Sistema (Windows Me/XP)Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra activada de forma predeterminada, la emplean Windows ME/XP para restaurar los archivos de los equipos cuando estos sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema.De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Por lo tanto, los programas o herramientas contra virus no pueden eliminar las amenazas que se encuentren en la carpeta Restaurar sistema. Consecuentemente, Restaurar el sistema es potencialmente capaz de restaurar un archivo infectado en su equipo, incluso después de que usted haya limpiado los archivos infectados del resto de las ubicaciones.También, un explorador de virus puede detectar una amenaza en la carpeta Restaurar el sistema aunque haya eliminado esa amenaza.Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
"Cómo desactivar y activar Restaurar sistema en Windows ME"
"Cómo habilitar o deshabilitar Restaurar sistema en Windows XP"
Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar System Restore siguiendo las instrucciones antes mencionadas.
Si desea más información y una alternativa a desactivar Restaurar sistema de Windows Me, lea el artículo de la base de datos de Microsoft, "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," ID del artículo: Q263455.2. Para actualizar las definiciones de virusSymantec Security Response comprueba a cabalidad la calidad de todas las definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
Ejecute LiveUpdate, que es la manera más sencilla de obtener las definiciones de virus: Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza, disponibles a través de LiveUpdate, consulte Las Definiciones de virus (LiveUpdate).
Descargue las definiciones utilizando la herramienta Intelligent Updater: Las definiciones de virus de Intelligent Updater se publican en los servidores los días laborables (de lunes a viernes) de los Estados Unidos y deben descargarse e instalarse manualmente desde el sitio Web de Symantec Security Response. Para determinar si existen definiciones para esta amenaza disponibles a través de Intelligent Updater, consulte Las Definiciones de virus (Intelligent Updater).Las definiciones de virus Intelligent Updater están disponibles en: Por favor lea "Cómo actualizar los archivos de definiciones de virus utilizando Intelligent Updater" en donde obtendrá instrucciones detalladas.
aunque las definiciones para el otro virus son distintas publico solo la forma de eliminacion
W32.Zotob.E
Eliminación de W32.Zotob utilizando la herramienta de eliminaciónSymantec Security Response ha creado una herramienta de eliminación para W32.Zotob.E, el uso de la herramienta es la forma más sencilla de eliminar esta amenaza. Eliminación ManualLas instrucciones siguientes corresponden a todos los productos Symantec Antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.
Deshabilite Restaurar Sistema (Windows Me/XP).
Actualice las definiciones de virus.
Reinicie el equipo en modo a prueba de fallos.
Ejecute una búsqueda completa de virus en el equipo y elimine los archivos que se detecten infectados.
Elimine el valor que se haya agregado al registro. Para detalles específicos de cada uno de estos pasos, lea las siguientes instrucciones:1. Deshabilitar Restaurar sistema de Windows ME/XPLos usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
Cómo deshabilitar y habilitar Restaurar sistema en Windows Me.
Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft, cuyo ID es: Q263455.
Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar Restaurar Sistema siguiendo las instrucciones antes mencionadas.
2. Para actualizar definiciones de virusSymantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.Si desea más información sobre Intelligent Updater, por favor consulte el documento "Cómo actualizar los archivos de definiciones de virus instalador Intelligent Updater" para instrucciones detalladas.3. Reinicie su equipo en Modo a prueba de fallos o modo VGA
Para usuarios con equipos Windows 95, 98, Me, 2000, o XP, reinicie el equipo en Modo a prueba de fallos. Para más información lea:
Cómo reiniciar Windows 9x o Windows ME en Modo a prueba de fallos.Cómo iniciar Windows XP en Modo a prueba de fallos.
Para usuarios con Windows NT 4 , reinicie su equipo en modo VGA.4. Búsqueda y eliminación de archivos infectados
Inicie su programa de antivirus Symantec y asegúrese de que esté configurado para analizar todos los archivos.
Para productos de consumidor Norton AntiVirus: Lea el documento, "Cómo configurar Norton Antivirus para que analice todos los archivos."
Para productos Symantec AntiVirus Enterprise: Lea el documento, "Cómo comprobar que un producto antivirus corporativo de Symantec está configurado para analizar todos los archivos."
Ejecute una búsqueda completa de virus.
Sí se detecta algún archivo infectado, haga clic en Eliminar.
bueno al seguir los pasos respectivos logre recuperar el sistema y limpiar la maquina por lo que ahora esta "buenisima" espero les sirva los detalle mostrados aca.
victor minueza
en red
Bueno al revisar mi computador no encontre ningun virus, la he analizado con norton 2006 y aunque me sorprendio encontrarme con mas de 130,000 archivos, creo que mi maquina se encontraba lenta porque no habia vaciado la papelera, sin embargo al instalarle el ad-aware encontre con 65 amenzas, realize entonces una rigurosa investigacion del porque el norton "mejor ativirus" no habia podido descubrirlos y llegue a esta conclucion:
los virus son clasificados por ello encontramos, spam, troyanos, caballos, basuras, spyware, malware, etc.
Mi computador estaba infestado de basura por el manejo de la internet, ademas de encontrar archivois que supuestamente no representaban amenzas a mi maquina.
posteriomente decidi revidar algunas maquinas mas y me sorprendi al ver que en algunos casos nisiquiera tenian un antivirus, pero revise una maquinita en la cual me encontre con 2,048 virus espias, lo que me llevo al formateo de la misma porque ya no daba ni para adelante ni para atras, aca esta algunos puntos de la investigacion:
Historia
El primer virus que atacó a una máquina IBM Serie 360 (y reconocido como tal), fue llamado Creeper, creado en 1972 por Robert Thomas Morris. Este programa emitía periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora).
Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde antes. Sus inicios fueron en los laboratorios de Bell Computers, tres programadores desarrollaron un juego llamado Code Wars, el cual consistía en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible.
Después de 1984, los virus han tenido una gran expansión, desde atacando los sectores de arranque de diskettes hasta siendo adjuntado en un correo electrónico y escondido en una imagen de formato JPG.
Ciclo de vida de un Virus
Se considera que se ha desatado un brote vírico en una red cuando se ve infestada de virus o repleta de mensajes que los contienen: el resultado es un servidor colapsado, cuya inactividad cuesta a la empresa mucho dinero. El ciclo vital de los virus informáticos comienza con su creación y termina con su completa erradicación.
ETAPA 1: CREACIÓNHasta hace pocos años, crear un virus exigía conocer en profundidad un lenguaje de programación. En la actualidad cualquiera que sepa programar un poco puede hacer un virus.
ETAPA 2: REPRODUCCIÓNLos virus se reproducen a sí mismos: forma parte de su naturaleza. Un virus bien diseñado está preparado para estar copiándose a sí mismo en distintos ficheros durante bastante tiempo, el suficiente para llegar a muchísimos usuarios.
ETAPA 3: ACTIVACIÓNEn los virus con rutinas de ataque, éstas se activan cuando se dan determinadas condiciones, por ejemplo, una fecha concreta o que el usuario realice una acción "x". Sin embargo, incluso los virus que están pensados para causar un daño específico entorpecen el sistema al ocupar en él un valioso espacioso de almacenamiento.
ETAPA 4: DESCUBRIMIENTOCuando se detecta un nuevo virus, se aísla y se envía a la Asociación Internacional de Seguridad Informática, con sede en Washington, D.C., donde se toma nota de sus características para posteriormente distribuirlo a los fabricantes de antivirus. En general, el descubrimiento tiene lugar por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática.
ETAPA 5: ASIMILACIÓNEn este punto, los fabricantes de antivirus modifican su software para que sea capaz de detectar el nuevo virus. Este proceso puede durar desde un día hasta seis meses, dependiendo del desarrollador y del tipo de virus.
ETAPA 6: ERRADICACIÓNCualquier virus puede ser erradicado si suficientes usuarios mantienen al día su protección antivirus. Hasta el momento ningún virus ha desaparecido por completo, pero algunos hace mucho que han dejado de representar una amenaza importante.
CLASES DE VIRUS
Código o software malicioso es el término que se utiliza generalmente para designar a cualquier programa malicioso o código móvil inesperado, ya se trate de virus, troyanos, gusanos o programas "broma", es decir, que simulan ser virus sin serlo. Los virus y demás código malicioso se dividen en varios tipos según los formatos en los que se ocultan y las rutinas que utilizan para infectar.
CÓDIGO ACTIVEX MALICIOSO
Un control ActiveX es un objeto anidado que forma parte de una página web y que se ejecuta automáticamente cuando se visita la página. En muchos casos puede configurarse el navegador para que estos controles ActiveX no se ejecuten marcando la casilla "alta" en las opciones de seguridad. De todas formas, piratas informáticos, escritores de virus y en general, quienes desean hacer de las suyas o cosas peores en una red pueden valerse del código ActiveX malicioso para atacar el sistema.
VIRUS DE SECTOR DE ARRANQUE
Los virus de sector de arranque infectan el sector de arranque o tabla de partición de un disco. Es muy probable infectarse por este tipo de virus si se arranca el ordenador con un disquete infectado en la unidad A. El disco duro puede infectarse incluso ni no se consigue arrancar. Una vez el sistema se ha infectado, el virus de sector de arranque tratará de infectar todos los discos a los que se entre desde ese ordenador. Generalmente, este tipo de virus se elimina con facilidad.
VIRUS DE FICHERO DE ACCIÓN DIRECTA
Los virus de fichero de acción directa infectan programas ejecutables (generalmente, archivos con extensiones .com o .exe). La mayoría de ellos intentan sencillamente replicarse y propagarse infectando otros programas huésped, pero algunos desbaratan sin querer los programas que contaminan al sobrescribir parte de su código original. Algunos de estos virus son muy destructivos: tratan de formatear el disco duro en una fecha fijada de antemano o perpetrar alguna otra acción perjudicial. A menudo es posible eliminar los virus de fichero de acción directa de los archivos infectados. Sin embargo, si el virus ha sobrescrito parte del código del programa, el archivo quedará ya modificado para siempre.
CÓDIGO JAVA MALICIOSO
Los applets de Java son programitas o miniaplicaciones portátiles en Java que se encuentran anidadas en páginas HTML. Se ejecutan automáticamente al visualizar las páginas. Su lado negativo es que piratas informáticos, escritores de virus y en general, quienes desean hacer de las suyas o cosas peores en una red pueden servirse de código Java malicioso para atacar el sistema. V
IRUS DE MACRO
Los virus de macro son virus que se distribuyen a sí mismos a través de un lenguaje de programación que utiliza macros para crear aplicaciones. Al contrario que otros virus, los virus de macro no infectan programas ni el sector de arranque, aunque algunos de ellos sí que pueden inhabilitar programas situados en el disco duro del usuario.
NUEVO DISEÑO
Un virus o troyano de nuevo diseño tiene propiedades o capacidades nuevas o nunca vistas hasta ese momento. Por ejemplo, VBS_Bubbleboy era un gusano de nuevo diseño pues fue el primer gusano de correo que se ejecutaba automáticamente, sin necesidad de hacer doble clic sobre el adjunto. La mayoría de estos virus "de nuevo diseño" no llegan a convertirse jamás en una amenaza real. No obstante, los escritores de virus parten a menudo de la idea (y del código) en la que se basa uno de estos virus para aplicarla a creaciones futuras.
VIRUS DE SCRIPT
Los virus de script están escritos en este tipo de lenguajes de programación, como VBScript y JavaScript.Los virus de VBScript (Visual Basic Script) y JavaScript a menudo se activan e infectan otros ficheros mediante el Windows Scripting Host de Microsoft. Al incorporar Windows Scripting Host tanto Windows 98 como Windows 2000, los virus se activan simplemente haciendo doble clic sobre ficheros con extensión*.vbs o *.js desde el explorador de Windows.
TROYANO
Un caballero de Troya o troyano es un programa que lleva a cabo acciones inesperadas o no autorizadas, a menudo dañinas, como mostrar mensajes en pantalla, borrar archivos o formatear discos. Los troyanos no infectan otros archivos introduciéndose en ellos, por lo que no hace falta limpiarlos.
GUSANO
Un gusano informático es un programa (o conjunto de programas) que utilizan copias completas de sí mismos para infectar distintos equipos informáticos, en los que dejan esa reproducción o un segmento suyo. Normalmente se propagan a través de las conexiones de una red o de ficheros adjuntos en mensajes de correo.
en una de las maquinas que revise encontre el siguiente virus Trojan.Domcom, W32.Zotob.E por lo que investigue y este fue el resultado:
Trojan.Domcom
También conocido como:
TROJ_DOMCOM.D [Trend], Troj/Domcom-C [Sophos]
Tipo:
Trojan Horse
Longitud de la infección:
61292 Bytes
Sistemas afectados:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Cuando Trojan.Domcom se ejecuta, realiza las siguientes acciones:
Crea los siguientes archivos:
%AppData%\SysDown\sys[5 números aleatorios].exe
%Windir%\loader_exe.dll
%Windir%\task32.dat bsNota:
%AppData% es una variable que hace referencia a la carpeta de aplicación del usuario que inició sesión en el equipo. En forma predefinida es C:\Documents and Settings\
%Windir% es una variable para hacer referencia a la carpeta de instalación de Windows. (En forma predefinida es C:\Windows o C:\Winnt).
Añade el valor:"loader32 " = "%AppData%\SysDown\sys[5 números aleatorios].exe"a la siguiente sub-clave de registro:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runcon lo que el caballo de Troya se ejecuta cada vez que inicia Windows.
Crea las siguientes sub-claves de registro:
HKEY_CLASS_ROOT\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}
HKEY_CLASS_ROOT\TypeLib\{4A31E565-08CB-4272-8817-7BF729B6A96F}
HKEY_CLASS_ROOT\Interface\{CC1725CD-1EFA-4D88-8987-5EBF66347856}
HKEY_CLASS_ROOT\DownCom.CDownCom.1
HKEY_CLASS_ROOT\DownCom.CDownCom
Trata descargar y ejecutar programas adware desde el dominio iehelp.net.
Las siguientes instrucciones pertenecen a todos los productos antivirus de Symantec actuales y recientes, incluyendo las líneas de producto AntiVirus y Norton Antivirus de Symantec.
Desactivar Restaurar el sistema (Windows Me o XP)
Actualice las definiciones de virus.
Ejecute un análisis completo del sistema y elimine todos los archivos que se detecten infectados por Trojan horse.
Elimine los valores que se hayan agregado al registro.Si necesita información sobre cómo llevar a cabo estos pasos, lea las siguientes instrucciones.
Nota: El procedimiento descrito en este documento es complejo y se da por hecho de que usted está familiarizado con procesos básico de Windows y DOS. En caso de que usted no esté familiarizado, le sugerimos contrate los servicios de una empresa calificada, que le apoye.
1. Desactivar Restaurar Sistema (Windows Me/XP)Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra activada de forma predeterminada, la emplean Windows ME/XP para restaurar los archivos de los equipos cuando estos sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema.De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Por lo tanto, los programas o herramientas contra virus no pueden eliminar las amenazas que se encuentren en la carpeta Restaurar sistema. Consecuentemente, Restaurar el sistema es potencialmente capaz de restaurar un archivo infectado en su equipo, incluso después de que usted haya limpiado los archivos infectados del resto de las ubicaciones.También, un explorador de virus puede detectar una amenaza en la carpeta Restaurar el sistema aunque haya eliminado esa amenaza.Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
"Cómo desactivar y activar Restaurar sistema en Windows ME"
"Cómo habilitar o deshabilitar Restaurar sistema en Windows XP"
Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar System Restore siguiendo las instrucciones antes mencionadas.
Si desea más información y una alternativa a desactivar Restaurar sistema de Windows Me, lea el artículo de la base de datos de Microsoft, "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," ID del artículo: Q263455.2. Para actualizar las definiciones de virusSymantec Security Response comprueba a cabalidad la calidad de todas las definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
Ejecute LiveUpdate, que es la manera más sencilla de obtener las definiciones de virus: Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza, disponibles a través de LiveUpdate, consulte Las Definiciones de virus (LiveUpdate).
Descargue las definiciones utilizando la herramienta Intelligent Updater: Las definiciones de virus de Intelligent Updater se publican en los servidores los días laborables (de lunes a viernes) de los Estados Unidos y deben descargarse e instalarse manualmente desde el sitio Web de Symantec Security Response. Para determinar si existen definiciones para esta amenaza disponibles a través de Intelligent Updater, consulte Las Definiciones de virus (Intelligent Updater).Las definiciones de virus Intelligent Updater están disponibles en: Por favor lea "Cómo actualizar los archivos de definiciones de virus utilizando Intelligent Updater" en donde obtendrá instrucciones detalladas.
aunque las definiciones para el otro virus son distintas publico solo la forma de eliminacion
W32.Zotob.E
Eliminación de W32.Zotob utilizando la herramienta de eliminaciónSymantec Security Response ha creado una herramienta de eliminación para W32.Zotob.E, el uso de la herramienta es la forma más sencilla de eliminar esta amenaza. Eliminación ManualLas instrucciones siguientes corresponden a todos los productos Symantec Antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.
Deshabilite Restaurar Sistema (Windows Me/XP).
Actualice las definiciones de virus.
Reinicie el equipo en modo a prueba de fallos.
Ejecute una búsqueda completa de virus en el equipo y elimine los archivos que se detecten infectados.
Elimine el valor que se haya agregado al registro. Para detalles específicos de cada uno de estos pasos, lea las siguientes instrucciones:1. Deshabilitar Restaurar sistema de Windows ME/XPLos usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
Cómo deshabilitar y habilitar Restaurar sistema en Windows Me.
Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft, cuyo ID es: Q263455.
Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar Restaurar Sistema siguiendo las instrucciones antes mencionadas.
2. Para actualizar definiciones de virusSymantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.Si desea más información sobre Intelligent Updater, por favor consulte el documento "Cómo actualizar los archivos de definiciones de virus instalador Intelligent Updater" para instrucciones detalladas.3. Reinicie su equipo en Modo a prueba de fallos o modo VGA
Para usuarios con equipos Windows 95, 98, Me, 2000, o XP, reinicie el equipo en Modo a prueba de fallos. Para más información lea:
Cómo reiniciar Windows 9x o Windows ME en Modo a prueba de fallos.Cómo iniciar Windows XP en Modo a prueba de fallos.
Para usuarios con Windows NT 4 , reinicie su equipo en modo VGA.4. Búsqueda y eliminación de archivos infectados
Inicie su programa de antivirus Symantec y asegúrese de que esté configurado para analizar todos los archivos.
Para productos de consumidor Norton AntiVirus: Lea el documento, "Cómo configurar Norton Antivirus para que analice todos los archivos."
Para productos Symantec AntiVirus Enterprise: Lea el documento, "Cómo comprobar que un producto antivirus corporativo de Symantec está configurado para analizar todos los archivos."
Ejecute una búsqueda completa de virus.
Sí se detecta algún archivo infectado, haga clic en Eliminar.
bueno al seguir los pasos respectivos logre recuperar el sistema y limpiar la maquina por lo que ahora esta "buenisima" espero les sirva los detalle mostrados aca.
victor minueza
en red
posted by VICMAGOMI at 11:26 PM
0 Comments:
Post a Comment
<< Home