Virus??????? (mirarlo)

Archivado
Wenas:
Llevo varios dias informandome sobre un "virus" (no se si se trata de un virus exactamente). presionar en vuestro ordena:
Ctrl + Alt + Supr. y en procesos haber si os aparece un archivo llamado "csrss.exe". no se puede terminar esa tarea.
despues de mirar en internet, me pone que se trata de un virus joke k no jode nada pero k molesta.
sabeis si es verdad? sabeis algo más?
si lo sabeis como lo quito?

bueno mirarlo y haber que opinais..
agur aupa osasuna !!!!!

[buaaj] [buaaj]
Informacion sacada de VirusATTACK!


Nombre: W32/Nimda.D

Aliases: W32/Nimda.E@MM, I-Worm.Nimda, Nimda.E, PE_NIMDA.E, W32/Nimda.E, PE_NIMDA.E-O, NIMDA.E, W32/Nimda.E@mm, W32/Nimda-D, W32.Nimda.E@mm

Variantes: W32/Nimda.A, W32/Nimda.B, W32/Nimda.C

Fecha de Descubrimiento: 29/10/2001

Tipo: Gusano de internet

Gravedad: Media

Origen: Desconocido

Fecha Ultimo Reporte: 10/09/2002

Porcentaje Reportes Ultimo Año: 0.247 %




Información: Nueva variante de este gusano capaz de infectar servidores web, propagarse por correo electrónico y recursos compartidos. Esta versión contiene nuevas características y mayor eficiencia dado que han sido solucionados varios errores.



Características: Dicho virus es similar a su primer versión, Nimda.A, la cual puede infectar un usuario por correo electrónico o páginas HTML sin necesidad que éste ejecute un archivo. Esto sucede por un error del IE, el cual puede ser solucionado aplicando un parche que Microsoft liberó meses atras.

Las principales modificaciones que esta nueva versión posee, están en los nombre de archivos:

Archivo adjunto: SAMPLE.EXE
DLL generado por el virus: HTTPODBC.DLL
Archivo copiado al directorio Windows/System: CSRSS.EXE

Además se copia como "LOAD.EXE" y "RICHED20.DLL", ambos archivos con atributos de ocultos.

Para ejecutarse cada vez que Windows inicie, modifica una linea en el archivo "SYSTEM.INI":

[boot]
shell=explorer.exe load.exe -dontrunold

Otra diferencia, con respecto a las versiones anteriores, es el nombre del mutex que ahora es llamado "efqpm2300dfhroop".

El gusano, buscará enviado solicitudes HTTP GET, servidores basados en IIS vulnerables. Una vez que lo encuentre copiará el archivo "HTTPODBC.DLL" y se ejecutará.

La cadena "(This's CV No Nimda.)" se encuentra en el código del virus.

Esta variante podrá causar un aumento del tráfico tanto HTTP como MAIL, debido a las solicitudes que envia, como los e.mails que utiliza para propagarse.

Tal como lo hacen sus versiones anteriores, es capaz de propagarse por recursos compartidos, mensajes de correo electrónico, y sitios web.




Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí .




Agregado el: 31/10/2001

Modificado el: //
_____________________________________________

PD: Yo lo tengo :) mañana lo kitare, no me preocupa mucho, pero tampoko me mola tenerlo ay
estáis realmente seguros q ese no es un archivo de sistema operativo? yo juraría que sí, pero bueno, si me equivoco pues no me hagáis caso
2 respuestas
Archivado
Volver a General