alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Protección disponible desde | 1 de marzo de 2005 05:40:12 (GMT) |
| Última actualización | 29 de enero de 2009 02:47:36 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información (en inglés) para desinfectar archivos ejecutables.
Tendrá que editar las entradas modificadas por el gusano. Antes de continuar, lea el aviso sobre el uso del editor del registro.
Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.
Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.
En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en las siguientes entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre cualquier referencia al gusano en la siguiente entrada:
HKU\[code number]\Software\Microsoft\Windows\ CurrentVersion\Run\
Cierre el editor del registro.
Más información
W32/Mytob-C es un gusano que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
W32/Mytob-C puede propagarse gracias a vulnerabilidades en el sistema como LSASS (MS04-011). W32/Mytob-C es un gusano que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
W32/Mytob-C puede propagarse gracias a vulnerabilidades en el sistema como LSASS (MS04-011).
Al ejecutarse por primera vez, el gusano se copia en la carpeta del sistema de Windows con el nombre wfdmgr.exe y crea las siguientes entradas en el registro para activarse al inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run LSA wfdmgr.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices LSA wfdmgr.exe
HKLM\Software\Microsoft\OLE LSA wfdmgr.exe
HKLM\System\CurrentControlSet\Control\Lsa LSA wfdmgr.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run LSA wfdmgr.exe
HKCU\Software\Microsoft\OLE LSA wfdmgr.exe
HKCU\System\CurrentControlSet\Control\Lsa LSA wfdmgr.exe
El gusano intentará recolectar direcciones de email del disco duro local, en busca de archivos con las extensiones WAB, PL, ADB, TBB, DBX, ASP, PHP, SHTL y HTM.
Los mensajes que envía W32/Mytob-C tienen el aspecto siguiente:
Asunto:
Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Mensaje:
This is a multi-part message in MIME format.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Adjunto, con una extensión de las siguientes: bat, cmd, exe, scr, pif, zip:
message test data file text doc readme document
|
