La piratería está a la orden del día, la mayor parte de los cibernautas de entre 15 y 35 años descargan música, películas, series o libros de fuentes que permiten la difusión de contenidos con derechos de autor de forma gratuita. Hace unos meses conocimos la noticia del cierre de Megaupload, una de las principales plataformas a través de las cuales se producía este tipo de piratería. Los hackers utilizan estos hechos para aprovecharse y han desarrollado este falso virus con el único objetivo de conseguir el dinero de los usuarios.

Así, el banner que aparece en nuestras pantallas está muy bien pensado para lograr su objetivo, en él pueden verse las leyes que se aplican contra la piratería y, justo debajo, un aviso: “Para desbloquear su ordenador y evitar otras consecuencias legales, está obligado a pagar una tasa de liberación de 50 €, pagadera a través de nuestro socio de pagos Paysafecard. Tras efectuar su pago correctamente, su ordenador se desbloqueará de forma automática.” Y añade que “No cumplir este requerimiento podría dar como resultado cargos penales y posible pena de prisión. SGAE está legitimada por la Ley y está en contacto con legisladores y con la Policía.”

Posts relacionados

• Un nuevo virus ataca los perfiles de Facebook a través de Chrome (0)
• Cómo proteger la información de tu empresa de las amenazas virtuales (0)
• Ramnit.B (0)

Ahora bien, ¿cuáles son los mecanismos por los que nuestro ordenador podría infectarse más fácilmente? Las plataformas donde se intercambian archivos, tipo Torrent o P2P, suelen ser vías perfectas para la difusión de virus y malware. Sin embargo, el porcentaje de infecciones que se realizan a través de estos sitios es mucho menor del que pensamos. Por otra parte, la mitad de los usuarios creen que el correo es la principal vía de entrada de malware. En el siglo pasado, era muy común recibir archivos infectados a través del correo pero los servidores han reforzado la seguridad antispam y los delincuentes cibernéticos han optado por otras plataformas para acceder a nuestros ordenadores, como pueden ser las redes sociales: Facebook, Twitter, Tuenti, etc. También existe una amenaza constituida por páginas web que solo necesitan ser visitadas una vez para infectar al PC. Esta práctica se realiza a través de descargas ‘invisibles’ o silenciosas que se producen automáticamente cuando accedemos a determinadas webs maliciosas.

Otro de los mitos que circulan por el mundo digital es que las páginas con contenido pornográfico son las más peligrosas. Probablemente, esta afirmación sea la que más se aleje de la realidad, pues la industria del porno es una de las más rentables y los dueños de tales webs dedican cada vez más esfuerzos a conseguir que funcionen perfectamente, de forma que los contenidos puedan ser visionados sin problemas y no sean una amenaza para la seguridad de los usuarios. Por ello, estas webs suelen encargar su mantenimiento a profesionales, por lo que la mayor parte de las veces son mucho más seguras que las páginas amateur que cualquiera puede crear.

En definitiva, se aconseja que tengamos nuestros navegadores actualizados, borremos el caché y las cookies a menudo, así como el historial de navegación y no olvidemos hacer un análisis del sistema con nuestro antivirus de forma regular.

Posts relacionados

• Aumentan las amenazas de virus para Mac (0)
• Virus ‘A tua foto’ (0)
• Registry Optimizer de Aido (0)
• Virus Koobface.C (1)
• Hackear facebook, un negocio muy rentable (0)
• Ataques a redes sociales (1)
• Como evitar el phishing: 10 claves para impedir el phishing (2)

Con este lanzamiento, la empresa europea apuesta por una serie de tecnologías proactivas que conforman un sistema de protección basado en el rastreo de firmas de virus. Entre ellas se encuentran aplicaciones como G Data WebCloud, un filtro web basado en  tecnología cloud que impide los accesos a websites maliciosos; Behaviour Blocker, que detecta el malware a través del análisis de comportamientos sospechosos de potenciales amenazas desconocidas; MailCloud, para la detección y eliminación de mensajes infectados y G Data BankGuard, una tecnología exclusiva, que consiste en dos plug-in para Explorer y Firefox que garantizan la seguridad de los procesos bancarios online. Además G Data mantiene en la Generación 2013 su tecnología clásica de DoubleScan, el ritmo de actualizaciones horarias y la apuesta por las licencias de dos años en las versiones 3PCs.

Gracias a todas estas innovaciones, el nuevo sistema de protección de G Data cuenta con una excelente tasa de detección de malware, gracias a la combinación de motores antivirus independientes. Así como una magnífica capacidad de reacción frente a nuevas amenazas, gracias a las actualizaciones que se van realizando cada hora.

Además, el sistema ofrece un gran rendimiento con un consumo mínimo de recursos energéticos, esto es posible gracias a la tecnología Fingerprinting y al sistema de escaneado en modo reposo, que se activa cuando detecta que el PC no está siendo utilizado.

Otra de las ventajas incluidas en este nuevo software de protección antivirus es un Disco de emergencia para limpieza de equipos infectados antes de arrancar el sistema operativo.

Finalmente, la Generación 2013 de G Data incorpora con cada unidad otra licencia de G Data MobileSecurity para smartphones y tabletas Android.

Posts relacionados

• Memoria flash Buffalo RUF2-HSCL-U con cifrado incorporado (0)

Una nueva extensión maliciosa aparece camuflada bajo el nombre de “Adobe Flash Player”, la popular aplicación que actualizamos a menudo, y alojada en la web oficial de Google Chrome. No sabemos cómo ha podido llegar ahí, pero los hackers han conseguido infectar miles de perfiles de Facebook con este sistema.

La noticia a salido a la luz de la mano de Karpersky Lab, gracias a que sus analistas notificaron que esta supuesta actualización pedía a los usuarios que instalasen una extensión maliciosa a través de la conocida plataforma de Chrome. Para atraer a los usuarios, los atacantes utilizan una estrategia de comunicación que llama la atención de muchas personas, con incentivos como “Descubre quién visitó tu perfil”, “Cambia el color de tu perfil” o “Aprende a eliminar los virus de tu perfil de Facebook”. No se trata de una nueva estrategia, pues estos mismos acicates ya existieron en su tiempo con programas como Messenger, sin embargo, la efectividad ha sido devastadora.

Al descargar el virus y tras su instalación en Facebook, este malware toma el control del perfil del usuario y puede realizar acciones muy molestas: propagar mensajes de propaganda e invitaciones para hacer que los ‘amigos’ del usuario descarguen el virus, obtener todos los datos personales del usuario y, lo más lucrativo para los hackers, provocar que el perfil del usuario pulse ‘Me gusta’ en ciertas páginas. De esta manera, los piratas informáticos, pueden vender miles de ‘Me gusta’ a compañías que los compran por unos 27 dólares por mil ‘Me gusta’.

Las compañías que quieren promocionar sus perfiles mediante la compra de ‘Me gusta’ muchas veces no son conscientes de los métodos que los hackers utilizan pero, de una forma u otra, se trata de una práctica bastante deplorable y que va en contra de la naturaleza del marketing en las redes sociales, donde se abre la comunicación con el cliente final.

La compra de información es otro de los peligros que los usuarios de estas redes corren a día de hoy, por lo que debemos reforzar la seguridad y privacidad de nuestros perfiles y, por supuesto, asegurarnos muy bien de la procedencia de las aplicaciones que queramos implantar. Aunque si los virus comienzan a alojarse en páginas presumiblemente seguras, difícilmente podremos detectar estas amenazas.

Posts relacionados

• Un falso virus ataca en el nombre de la SGAE (0)
• Cómo proteger la información de tu empresa de las amenazas virtuales (0)
• Ramnit.B (0)

El objetivo de la fuga o robo de información es utilizarla maliciosamente para generar pérdidas a la empresa. Un caso curioso es el de la compañía Sony que, a pesar de tratarse de una gran multinacional experta en seguridad, sufrió pérdidas por encima de los 2,000 millones de dólares debido a una serie de episodios de hackeo en su red PlayStation durante el 2011.

Si las grandes empresas no se libran, puede parecer imposible que las PYMES adquieran protección suficiente. Entonces ¿qué podemos hacer para proteger nuestro negocio de los hackers? En primer lugar, contar con un técnico informático experto que pueda ofrecerte la mejor solución para tu empresa. Será él quien te indique qué programas antivirus, cortafuegos y similares protegerán mejor tu información. Haz un baremo del valor que tiene tu información para ti y elige un sistema de protección acorde con tu estimación.

Además, es recomendable que siempre dispongas de una copia de seguridad de todos tus archivos, para evitar la pérdida de los mismos en medio de un ataque o mediante la infección de un virus. Crear contraseñas seguras y cambiarlas con regularidad hace más difícil el acceso a tus datos por medio de terceros. Procura además que cada equipo tenga un usuario y contraseña para detectar fugas de información más fácilmente.

Trabajar en un ordenador que no tenga conexión a Internet y en el que no se introduzca información por medio de ningún dispositivo al que no se le haya pasado un antivirus antes, en una forma sencilla y eficaz de guardar tus datos más importantes, aunque quizás no resulte del todo cómodo. También puedes limitar la conectividad incorporando controles de navegación, de forma que existan barreras para conectar con los sitos de alto riesgo potencial.

Y por último, mantén informados a tus empleados sobre los riesgos que existen. Establece políticas claras sobre el uso de Internet y argumenta adecuadamente los motivos para realizar una navegación responsable, de forma que también ellos se impliquen en la lucha contra los robos de información y las fugas.

Posts relacionados

• Un falso virus ataca en el nombre de la SGAE (0)
• Un nuevo virus ataca los perfiles de Facebook a través de Chrome (0)
• Ramnit.B (0)

La protección cortafuegos que tengamos dependerá de nuestro modelo de router, por supuesto, pero existen algunos que incorporan cualidades específicas para evitar que los usuarios maliciosos puedan acceder a nuestros ordenadores. Es el caso del paquete de “Stateful Inspection”, también conocido como SPI, una herramienta que analiza la protección del contenido de la red, detectando cualquier tipo de código malicioso. Sin embargo, los routers básicos solo tienen la capacidad de bloquear ciertos puertos y direcciones.

Ahora bien, ya sabemos que nuestro router nos protege, en mayor o menor medida, del contenido proveniente de Internet, pero ¿qué ocurre si un virus o un gusano infecta uno de nuestros ordenadores? Pongamos que esta infección se produce a través de un pendrive o de una descarga en una de nuestras máquinas. En ese caso, el router, al ser un elemento de conexión entre nuestros equipos, podría ayudar a propagar este malware, que acabaría infectando todos los ordenadores. Por eso es importante que si detectamos cualquier tipo de virus o gusano en nuestro ordenador, desconectemos cualquier otro equipo del router para evitar infecciones y comprobemos que no se hayan producido ya.

Lo ideal es combinar el cortafuegos físico con un software firewall y un antivirus para obtener la mejor protección. Aunque la realidad es que difícilmente podremos  contar con un ordenador protegido al 100%, ya que las amenazas se renuevan cada día y debemos estar atentos.

Posts relacionados

• No Related Post

1. Lo más sencillo es restaurar el sistema a una configuración previa a la infección.
2. Si no contamos con un punto de restauración del sistema, lo primero que tendremos que hacer será iniciar el ordenador en modo seguro o a prueba de fallos.
3. Ejecutar el antivirus para que detecte las infecciones.
4. Eliminar los ficheros que se detallan más abajo para cada uno de los virus: Zusy.C, Injecto.AM, Clovis, Jorik.V y Banker.FLQ
5. En caso de no poder eliminar los ficheros por encontrarse en uso, primero tendremos que detener el proceso desde el administrador de tareas.
6. Ya solo tenemos que editar el registro de la forma que se indica más abajo para cada virus.
7. Y eliminar todos los archivos temporales, tanto los del disco duro como los del navegador, además de vaciar la papelera de reciclaje.

Zusy.C – ¿Qué hace en nuestro ordenador?

Crea el fichero: “%Application Data%\netprotocol.exe”

Crea la entrada de registro:

Se conecta por IP a:

http://ekadus.be/nconfirm.php

http://ekadus.be/njob.php

http://eksyghskgsbakrys.com/nconfirm.php

http://eksyghskgsbakrys.com/njob.php

http://felsy.be/nconfirm.php

http://felsy.be/njob.php

http://msrgejsdyvekadh.com/nconfirm.php

http://msrgejsdyvekadh.com/njob.php

Realiza las peticiones DNS:

ekadus.be

eksyghskgsbakrys.com

felsy.be

msrgejsdyvekadh.com

Zusy.C – ¿Qué ficheros debemos eliminar?

%Application Data%\netprotocol.exe

Zusy.C – ¿Qué entradas del registro tenemos que cambiar?

Injecto.AM – ¿Qué hace en nuestro ordenador?

Crea los siguientes ficheros

• “%Temp%\~LC2.tmp”
• “%ApplicationData%\TeamViewer\{646D7E30-AAD0-4185-B8F3-02E477DF9CE9}\C1A3D650B82F4DC988CD23C2949AE4C0.dat”
• “%Application Data%\Sun\{8614653F-AA3A-4124-A8BC-454DA8E7C750}\Upgrade.exe”

Crea la siguiente entrada del registro

·       Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
Valor: upgrade = c:\Documents and Settings\test user\Application Data\Sun\{8614653F-AA3A-4124-A8BC-454DA8E7C750}\Upgrade.exe

Crea la siguiente entrada del registro

·       Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage 
Valor: ReserveProgram = ?@??'??S??"?p+??+?PP?`??P???D??>?????;??H??????? l???? )??;?@E?????x??Q??6??.?????k????p??@l?py?`s??o?????W?@?????pc??B??J????pI??S?@u??x?P???a?`t????????q????`O??%?P??pN?@ ????@??`w????p???C?@???s??y?@???

Crea la siguiente entrada del registro

·       Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 
Valor: PersistFolder = 0x00000013

Injecto.AM – ¿Qué ficheros debemos eliminar?

• %ApplicationData%\TeamViewer\{646D7E30-AAD0-4185-B8F3-02E477DF9CE9}\C1A3D650B82F4DC988CD23C2949AE4C0.dat
• %Application Data%\Sun\{8614653F-AA3A-4124-A8BC-454DA8E7C750}\Upgrade.exe
• %Temp%\~LC2.tmp

Nota: %Application Data% es una variable que hace referencia a la carpeta de Datos de Aplicación. C:\WINNT\Profiles\{nombre de usuario}\Application Data (Windows NT), o C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data (Windows 2000/XP/Server 2003) o C:\usuarios\{nombre de usuario}\AppData (Windows Vista y 7).

%Temp% es una variable que representa la carpeta temporal de Windows. Por defecto puede ser C:\Windows\temp (XP/Vista y 7), C:\Winnt\temp (Windows NT/2000), C:\documents and settings\{nombre de usuario}\local settings\temp (Windows XP) o C:\Usuarios\{nombre de usuario}\AppData\Local\Temp (Windows Vista y 7).

Injecto.AM – ¿Qué entradas del registro tenemos que cambiar?

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Valor: PersistFolder = 0x00000013

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: Upgrade = c:\Documents and Settings\test user\Application Data\Sun\{8614653F-AA3A-4124-A8BC-454DA8E7C750}\Upgrade.exe

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage
Valor: ReserveProgram = ?@??'??S??"?p+??+?PP?`??P???D??>?????;??H??????? l???? )??;?@E?????x??Q??6??.?????k????p??@l?py?`s??o?????W?@?????pc??B??J????pI??S?@u??x?P???a?`t????????q????`O??%?P??pN?@ ????@??`w????p???C?@???s??y?@???

Clovis – ¿Qué hace en nuestro ordenador?

Guarda la siguiente copia de sí mismo: “%ProgramFiles%\Java\jre-07\bin\jusched.exe”

Crea los siguientes ficheros

• “%ProgramFiles%\Java\jre-07\bin\UF”
• “%Drive%\New Folder .exe”

Crea la siguiente entrada del registro

·       Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
Valor: SunJavaUpdateSched = C:\Program Files\Java\jre-07\bin\jusched.exe

Crea los siguientes procesos

• c:\program files\java\jre-07\bin\jusched.exe

1. Se conecta a las siguientes direcciones de Internet: tp.host.sk, ftp.tripod.com, hohoho.ho.funpic.org

Clovis – ¿Qué entradas del registro tenemos que cambiar?

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: SunJavaUpdateSched=C:\Program Files\Java\jre-07\bin\jusched.exe

Clave:HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Valor: C:\Program Files\Java\jre-07\bin\jusched.exe

Jorik.V – ¿Qué hace en nuestro ordenador?

Guarda la siguiente copia de sí mismo: “%Drive%\RECYCLER/R-1-5-21-1482476501-1644491937-682003330-1013/avccs.exe”

Crea el siguiente fichero: “%Drive%\RECYCLER/R-1-5-21-1482476501-1644491937-682003330-1013/Desktop.ini”

Se conecta a las siguientes direcciones de Internet: dcppng.idolmovies.com

Para evitar el borrado del troyano, modifica los atributos de las papeleras de reciclaje de las unidades del sistema, haciéndolas de sólo lectura.

Jorik.V – ¿Qué ficheros debemos eliminar?

%Drive%\RECYCLER/R-1-5-21-1482476501-1644491937-682003330-1013/avccs.exe

Nota: %Drive% es una variable que hace referencia a todas las unidades del sistema (C:, D:, E:, F:,G:,H:…, etc.)

Para poder eliminar estos ficheros primero hay que modificar los atributos de la papelera de reciclaje y eliminar el atributo de sólo lectura. Para ello, abra un intérprete de comandos (Boton de Windows –> Ejecutar –> cmd ) y escriba el siguiente comando:

attrib -r c:\RECYCLER

Nota: Nótese que el nombre de la papelera podria ser tambien $Recycler.bin.

Repite este comando con todas las unidades del sistema sustituyendo “c:” por “d:”, “e:”, etc.

Jorik.V – ¿Qué entradas del registro tenemos que cambiar?

Clave:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Valor: Taskman= c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\avccs.exe

Banker.FLQ – ¿Qué hace en nuestro ordenador?

Crea el siguiente fichero (MD5: 76C51C4280C22BAD1C37602F3115D399 – 1.897.984 bytes) y “%System%\Plug de Seguranca.exe”

Crea los siguientes procesos; Plug de Seguranca.exe

Se conecta a las siguientes direcciones de Internet; www.links-patrocinados.net/wp-includes/sntemp.php

Cuando el troyano se ejecuta se mantiene en memoria y puede aparecer el siguiente error en pantalla:

Para marcar su presencia en el sistema y ejecutarse sólo una vez, el troyano crea un mutex con el siguiente valor:

_SHuassist.mtx

Banker.FLQ – ¿Qué ficheros debemos eliminar?

%System%\Plug de Seguranca.exe

Zbot.BTP – ¿Qué hace en nuestro ordenador?

Descarga los siguientes ficheros

• “%UserProfile%\Local Settings\Temp\agyywuuh.sys”
• “%UserProfile%\Local Settings\Application Data\tvbjuwht.log”

Guarda la siguiente copia de sí mismo

• “%UserProfile%\Local Settings\Temp\kavmyabeqvvnifrf.exe”

Modifica la clave del registro

·       Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
Valor: Userinit = C:\WINDOWS\system32\userinit.exe,,c:\Documents and Settings\%usuario%\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

Crea la siguiente entrada del registro

·       Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
Valor: SrxRwxyu = c:\Documents and Settings\%usuario%\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

Crea los siguientes procesos:

• c:\docume~1\support\locals~1\temp\kavmyabeqvvnifrf.exe
• c:\windows\system32\svchost.exe

Trata de conectarse a MULTITUD DE servidores DNS.

Zbot.BTP – ¿Qué ficheros debemos eliminar?

• %UserProfile%\Local Settings\Temp\kavmyabeqvvnifrf.exe
• %UserProfile%\Local Settings\Application Data\tvbjuwht.log
• %UserProfile%\Local Settings\Temp\agyywuuh.sys

Zbot.BTP¿Qué entradas del registro tenemos que cambiar?

Elimina las siguientes entradas del registro:

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: SrxRwxyu = c:\Documents and Settings\%usuario%\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

Restaura las siguientes entradas del registro al valor por defecto:

Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Posts relacionados

• Ramnit.B (0)
• Peerfrag.FM (0)
• Virus Koobface.C (1)
• FakePowav.B (0)
• Gusano Alcan (0)
• Gusano Eggdrop.AA (0)
• Tercera variante del Downandup/Conficker: W32 Downandup C (0)
• Las 10 principales amenazas de seguridad en internet (1)
• Gusano Conficker.A (24)
• Win32/Gimmiv.A (0)

Los más de 100 millones de usuarios de MacOSX que existen en el mundo deben estar más alerta que nunca, procurar mantener su software actualizado, utilizar lo menos posible la cuenta de administrador y elegir muy bien los navegadores para asegurar que tengan un filtro antispam.

Para evitar los ataques de phishing, lo mejor es utilizar un gestor de contraseñas y desactivar las herramientas IPv6, AirPort o Bluetooth cuando no se estén usando. El Adobe Reader en una versión superior a la 10 incorpora una seguridad mucho mayor, por lo que se recomienda tenerlo actualizado también.

Es evidente que la compañía Apple tiene mucha menos experiencia que Microsoft en cuestiones de seguridad, pues los ordenadores Mac no se han visto afectados de forma masiva como hasta ahora. Sin embargo, hace ya años que los hackers vulneran programas para dispositivos Apple en los concursos. La única diferencia es que hacerlo es ahora rentable y, por lo tanto, la amenaza crece cada día.

Posts relacionados

• ¿Son las páginas porno peligrosas para mi PC? (0)
• Flashback: Más de 670.000 ordenadores Mac infectados a través de Twitter (0)
• Registry Optimizer de Aido (0)
• Como evitar el phishing: 10 claves para impedir el phishing (2)
• Antivirus para Apple (0)

El troyano Flashback o Flashfake es uno de los programas maliciosos más violentos que existen hoy en día y que ataca a los ordenadores de Apple. Su propagación ha sido muy extensa, dado que se ha producido sobre todo a través de la red social Twitter mediante un novedoso método para obtener comandos: el programa busca tweets con distintos hashtags cada día desde una cuenta de usuario. Como los usuarios de Twitter son fáciles de crear y eliminar, es muy difícil seguir la pista hacia el origen del virus.

Así, más de 670.000 ordenadores han sido infectados, dada esta actividad sin precedentes que tuvo lugar durante el mes de marzo. Son muchos los usuarios de Mac que creen que su ordenador es inmune a cualquier tipo de virus, pero el problema se está acentuando desde que la marca subió en popularidad y número de usuarios, gracias a la salida al mercado del primer iPod, y más tarde, con el iPhone.

Para prevenir la infección de este virus, lo mejor es tomar las siguientes precauciones: usar un navegador seguro, como Google Chrome, mantener actualizado el Adobe Reader y usar una cuenta diferente a la de administrador para realizar tareas en Internet. Medidas que son más o menos tediosas, pero que pueden resultar muy efectivas.

Posts relacionados

• Aumentan las amenazas de virus para Mac (0)
• Protege hasta 5 dispositivos con una sola licencia (0)
• Listado de programas antivirus reales (1)
• Kaspersky Internet Security 2010 y Kaspersky Antivirus 2010 (0)
• Osiatis y Kaspersky, unidos bajo la seguridad (0)
• Kaspersky Mobile Security 8.0 (0)
• Descarga Kaspersky Anti-virus para el Windows7 (1)
• Ataques a redes sociales (1)
• Antivirus para Apple (0)
• Kaspersky Hosted Security Services (0)

Microsoft Windows Vista de 32 bits, Microsoft Windows 2000, Microsoft Windows, Microsoft Windows 98, Microsoft Windows Millennium, Microsoft Windows NT, Microsoft Windows Server 2003, Microsoft Windows Server 2008 y Microsoft Windows XP.

¿Cómo se transmite y cómo evitar la infección?

 Al visitar páginas infectadas, el código malicioso puede entrar en nuestro ordenador, aunque generalmente llega a través de algún programa de compartición de ficheros (P2P). Por suerte, este troyano no se ejecuta automáticamente en cada reinicio. Para evitar la infección, debemos evitar las webs de origen dudoso, con aspecto extraño y  que nos abren multitud de ventanas emergentes. Actualizar frecuentemente el navegador y el sistema operativo con los últimos parches puede ser útil, así como borrar la memoria del caché y aumentar la seguridad de los navegadores. Y por supuestos, no olvides actualizar tu antivirus

¿Qué efectos produce el virus?

Cuando Ramnit.B se ejecuta, crea los siguientes archivos y carpetas:

• “%Application Data%\tvbjuwht.log”
• “%UserProfile%\Local Settings\Temp\kavmyabeqvvnifrf.exe”

Ejecutando los siguiente procesos en el sistema:

• c:\docume~1\support\locals~1\temp\kavmyabeqvvnifrf.exe
• c:\windows\system32\svchost.exe

El troyano realiza las siguiente peticiones DNS:

• anypbvojndegpnm.com
• apimyackpqd.com
• attqfideqdholwyafo.com
• bfbbvadypijthjh.com
• buoprdhrhaighfcfl.com
• bxqqsoxw.com

Además, modifica la entrada del registro:

Y crea la siguiente entrada del registro:

¿Cómo desinfectar el ordenador?

La restauración del sistema en Windows Me, XP o Vista siempre es efectiva si se sabe en qué momento se produjo la infección. Tan solo tenemos que volver a un  punto de restauración anterior, sin perder nuestros documentos aunque sí todos los ejecutables que se hayan instalado después de ese punto de restauración.  Si este método no nos conviene, lo mejor es desactivar la restauración del sistema antes de empezar a intentar eliminarlo de otra forma, ya que el troyano puede haber creado una copia de seguridad.

Los pasos a seguir son los siguientes:

-       Reiniciar en modo seguro o a prueba de fallos.

-       Hacer un análisis con el antivirus que tengamos actualizado para localizar todas las copias del troyano.

-       Eliminar los siguientes archivos:

• %UserProfile%\Local Settings\Temp\kavmyabeqvvnifrf.exe
• %Application Data%\tvbjuwht.log

Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual. Por defecto es C:\Documents and Settings\{nombre de usuario} (Windows NT/2000/XP) o C:\Usuarios\{nombre de usuario} (Windows Vista y 7).

%Application Data% es una variable que hace referencia a la carpeta de Datos de Aplicación. C:\WINNT\Profiles\{nombre de usuario}\Application Data (Windows NT), o C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data (Windows 2000/XP/Server 2003) o C:\usuarios\{nombre de usuario}\AppData (Windows Vista y 7).

-       Si aparece un error a la hora de eliminarlos, puede que estos ficheros estén en uso, así que primero habrá que terminar el proceso de ejecución manualmente con el administrador de tareas.

-       Abriremos el registro, siempre con mucho cuidado de no borrar o modificar algo que no debemos, y editaremos las siguientes entradas para deshacer los cambios que ha provocado el virus:

•  Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• Valor: SrxRwxyu = c:\Documents and Settings\test user\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

Hay que modificar las siguientes entradas del registro a su valor original:

- Por último, eliminaremos todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador y la Papelera de reciclaje. Reiniciamos el ordenador y volvemos  a pasar el antivirus para asegurarnos de que todo está bien.

Posts relacionados

• Un falso virus ataca en el nombre de la SGAE (0)
• Un nuevo virus ataca los perfiles de Facebook a través de Chrome (0)
• Cómo proteger la información de tu empresa de las amenazas virtuales (0)
• 7 pasos para deshacerse de los virus de peligrosidad mínima como Zusy.C, Injecto.AM, Clovis, Jorik.V y Banker.FLQ (0)
• Virus Koobface.C (1)
• FakePowav.B (0)
• Tercera variante del Downandup/Conficker: W32 Downandup C (0)
• Las 10 principales amenazas de seguridad en internet (1)