alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Características |
|
| Protección disponible desde | 9 de abril de 2005 15:39:12 (GMT) |
| Última actualización | 8 de diciembre de 2009 03:00:11 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información (en inglés) para desinfectar archivos ejecutables.
Tendrá que editar las entradas modificadas por el gusano. Lea el aviso antes de modificar el registro de Windows.
Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.
Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.
En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en las siguientes entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre cualquier referencia al gusano en las siguientes entradas:
HKU\[código de usuario]\Software\Microsoft\Windows\ CurrentVersion\Run\
Cierre el editor del registro.
Más información
W32/MyDoom-AJ es un gusano de email y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC
El gusano se extiende también aprovechando la vulnerabilidad LSASS (MS04-011). W32/MyDoom-AJ es un gusano de email y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC
El gusano se extiende también aprovechando la vulnerabilidad LSASS (MS04-011).
Al ejecutarse por primera vez, el gusano se copia en la carpeta del sistema de Windows con el nombre mathchk.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run RealPlayer Ath Check= mathchk.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices RealPlayer Ath Check= mathchk.exe
HKLM\Software\Microsoft\OLE RealPlayer Ath Check= mathchk.exe
HKLM\System\CurrentControlSet\Control\Lsa\ RealPlayer Ath Check= mathchk.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run RealPlayer Ath Check= mathchk.exe
HKCU\Software\Microsoft\OLE RealPlayer Ath Check= mathchk.exe
HKCU\System\CurrentControlSet\Control\Lsa RealPlayer Ath Check= mathchk.exe
El gusano se envía a todas las direcciones encontradas en el sistema en un mensaje con las siguientes características:
Asunto: Good day Hello Server Report Status <en blanco>
Mensaje: Mail transaction failed. Partial message is available. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. The original message was included as an attachment. <aleatorio>
Archivo adjunto: con extensión bat, cmd, exe, scr, pif o zip body data doc document file message readme text
Los productos antivirus de Sophos incluyen tecnología Genotype ™ que permite la detección de nuevas amenazas sin necesidad de actualización. Los clientes de Sophos están protegidos contra W32/Mytob-AJ (detectado como W32/MyDoom-Gen) desde la versión 3.92.
|
