Gusano W32/Duni. Numerosos asuntos en español, y un adjunto .CPL

Viendo q a mucha gente le ha pillado el bicho este con las ectensiones .cpl, se trata de un gusano llamado W32/Duni. Ahi va la info sobre como eliminarlo, sacado de aqui

Salu2. ratataaaa Virus

W32/Duni. Numerosos asuntos en español, y un adjunto .CPL
http://www.vsantivirus.com/duni.htm

Nombre: W32/Duni
Tipo: Gusano de Internet
Alias: W32.Duni.Worm, I-Worm.Daduni, Win32/Daduni, W32/Dadinu
Fecha: 2/jul/02
Tamaño: 236,032 bytes (UPX)
Plataformas: Windows 32-bits

Es un gusano de Internet, programado en Delphi, que llega en un adjunto infectado y con extensión .CPL (Control Panel Applet), los archivos del Panel de control. El nombre del virus está derivado de la cadena "unidadworm", localizada en su código.

Puede llegar en una gran variedad de mensajes, con diferentes asuntos, seleccionados de la siguiente lista:
Esta si que es zorra!!!

Fotos de asesinatos, Jack el Destripador, Charles Manson, y muchos mas para decorar tu escritorio.

Yeahhh Mutha Facka... NY Brookling in your NET.

Genera passwords para poder entrar a las webs mas putonas de la red, y gratis, incluso podras bajar peliculas porno.

Para los verdaderos amigos...

Test de amor.

30 pregutas para saber si tu pareja te enga

!La imagen de cristo en un bosque.

mira como seria un mundial en la antigua mesopotamia.

Fotos de Cristo para decorar tu escritorio.

Te han enviado una postal.

Te acuerdas de mi?

Asi se hace el amor...

Asi me gusta a mi...

Esto doleria mucho, mucho :-).

Si esto no me lo regresas me sentire mal.

La vida despues de la muerte.

Me cambie de correo, aver si ahora me escribes...

Leelo y reenvialo a quienes mas amas.

Cancion de amor, para ti.

Paulina Rubio y su zorrita cosmica...

No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto.

!Ver el listado de falsas alarmas.

!ja, la han cagado con este video.

Bin Laden DT de la seleccion de arabia...

Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa.

Bin Laden presidente de la FIFA.

Dime que te parece esta animacion.

Una broma para las secretarias, ja ja.

Test para secretarias, para saber que tan tontas son.

41 preguntas para saber si alguien es sicopata.

mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.

listado de ultimas mentiras que circulan por los mails.

Last hoaxes list.

Hola

como te gustarian este par de tetitas.

Leelo y reenvialo a quienes mas amas.

mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.

listado de ultimas mentiras que circulan por los mails.

Bin Laden killing muthaFaka bill gates.

El adjunto, puede tener alguno de estos nombres:

zorrita.cpl
jack.cpl
sickofitall.cpl
analpasswords.cpl
poema_angelical.cpl
testdeamor.cpl
Adulterio_en_tus_narices.cpl
Cristo.cpl
mundial.cpl
cristo2002.cpl
postal_de_mi_alma.cpl
estesoyyo.cpl
milposiciones.cpl
como_como.cpl
por_ahi_noooooo.cpl
lomasimportante.cpl
vidaymuerte.cpl
siemprevivir@setnet.cpl
milvidas.cpl
comoolvidarte.cpl
paulinasex.cpl
mentiras_en_hotmail.cpl
listado_de_hoaxes.cpl
zapato_en_el_culo.cpl
binladenDT.cpl
gooooooool.cpl
Fifaladen.cpl
788782.cpl
secretarias.cpl
test_secretontas.cpl
sere_yo_uno_de_esos.cpl
scarycrai.cpl
mentiras_mails.cpl
mcaffehoaxlist.cpl
tetris2002.cpl
zandias_meloones.cpl
quien_como_tu.cpl
portymore.cpl
listado_de_porquerias.cpl
billgatesscream.cpl

Al ejecutarse uno de estos adjuntos, el gusano se copia a si mismo al directorio de Windows, e intentará autoenviarse a todos los contactos del MSN Messenger y otras direcciones electrónicas que recoja de la máquina infectada.

Cuando se ejecuta, se copia a si mismo en el raíz del disco duro (C:\) y en la carpeta Windows (C:\Windows, C:\WinNT, etc.). El nombre de esta copia es un número al azar con extensión .CPL, por ejemplo 3412.cpl (no usa el cero).

El registro es modificado para poder ejecutarse nuevamente en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
3412 = rundll32.exe shell32.dll,Control_RunDLL C:\WINDOWS\3412.cpl

El valor siempre es el mismo del archivo y '3412' es solo un ejemplo, ya que puede ser cualquier otro número generado al azar.

Luego, toma la lista de contactos del MSN Messenger de la siguiente entrada del registro:

HKCU\Software\Microsoft\MessengerService\ListCache\.NET
Messenger Service

Después intenta enviarse a través del servidor SMTP mail.hotmail.com en un mensaje como el indicado anteriormente.

Luego del envío, se crea una copia del propio virus con el nombre ZERO.EXE en el directorio de Windows.

El gusano utiliza como archivos temporales los siguientes: COMMFIG.SYS y K32.VXD, los cuáles crea en la carpeta de Windows mientras envía los mensajes infectados y luego los borra.

También intenta propagarse a través de la red de archivos compartidos del KaZaa. Para ello busca la carpeta correspondiente de la siguiente entrada del registro:

HKCU\Software\Kazaa\Transfer\DlDir0

Luego se copia con los siguientes nombres a la carpeta compartida por el KaZaa en la máquina infectada, de donde puede ser descargado por otros usuarios, engañados por los nombres falsos:

DivResidentEvil.ZIP.cpl
SpidermanDesktop.cpl
AVP_KeyActualization2002.ZIP .cpl
Messenger_skins.ZIP .cpl
Porno_sTar.cpl
CannibalCorpse.MP3 .cpl
ASickofitall.Zip .cpl
AXEbahia.cpl
NuevosVideosProfesorRossa.cpl
NewVideo_Blink182.cpl
LagWagon&Blink182.cpl
Hacking.cpl
AllMcAfeeCrack.Cpl
Britney_spearsVSDavidBeckham_AnalPasions.cpl
Crack.PerAntivirus.Zip .cpl
JamieThomasVSrodneyMullen.cpl
MariguanaDesktop.cpl
AgeOfEmpires2_Crack.cpl
PSX2_Emulation.Zip .cpl
GameCube.Zip .cpl
Mames.Zip.cpl
Crack_Delphi5and6.Zip .cpl
terminator2.cpl
BinladenF*ckinBillGates.cpl
AnalPasswords.cpl
ElvisDesktop.cpl
B.cpl
Z.cpl
AVP_Spanish.cpl
ZoneAlarmCrack.cpl
HardXCore.cpl
PhotoShop6.xCrack.cpl
BioHazard.cpl
VisualBasic.Net.cpl
Zidane.Taliban.cpl
VideoPortoSeguro.cpl
PSX2EmulatorFree.Zip .cpl
sexo_en_la_calle.cpl
sexo_anal_full_video.cpl
sexo_oriental_full_video.cpl
muertes_videos.cpl
fullvideo_anal_action.zip .cpl

Todos estos archivos son copias del gusano, y tienen un tamaño de 236,032 bytes.

Para evitar ser detectado por algunos antivirus, el gusano realiza las siguientes manipulaciones en el registro:

HKLM\SOFTWARE\KasperskyLab\SharedFiles
Folder = C:\Windows

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PAV.EXE = C:\Windows

Puede borrar los siguientes archivos pertenecientes a conocidos antivirus (PER Antivirus, Kaspersky y VirusScan de McAfee):

C:\archiv~1\perav\pav.dll
C:\archiv~1\perav\per.dll
C:\program files\perav\pav.dll
C:\program files\perav\per.dll

C:\Windows\PAV.EXE
C:\Windows\bases\avp.set

C:\Windows\system\vshield.vxd
C:\Windows\system32\vshield.vxd
C:\Windows\vshield.vxd


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

PAV.EXE

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

rundll32.exe

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Actualice sus antivirus o reinstálelos (el virus intenta eliminar algunos archivos pertenecientes a conocidos antivirus, como PER, Kaspersky y VirusScan, aunque no lo logra en todos los casos).

9. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

10. Borre los archivos detectados como infectados por el virus
Pero que ahce el virus aparte de reenviarse ein?
Por lo q he leido sólo se autoenvia a los contactos almacenados en la Libreta de direcciones de Microsoft Messenger. Si encuentro mas info por ahi la pongo.


Salu2.
:p
Segun los informes ke he leido en mcafee y panda, el virus es bastante inofensivo por el momento. Quereis paranoia? aki teneis una:

NO tengo ningun archivo CPL raro, todos los ke tengo son de windows
NO tengo las entradas esas en el registro
NO he abierto ninguno de los emails ke me han llegado con el virus (llevo años en esto, no soy tonto)

PERO emails de esos salen desde mi direccion.

A ALGUIEN LE PASA? [triston]
m pasa lo mismo q a ti, m han llegao, pero no los abro, y en cambio la gente m dice q yo los envio, hasta gente q no tngo en mi lista m han agregao pa decirme q es lo q l habia madao [reojillo] [reojillo] [reojillo]
Pues no se q deciros... si q es extraño...


Salu2. ein?
me suena un poco raro esto de borrar las entradas del registro de pav.exe y el rundll32.exe, me lo podrias explicar por que? pav.exe no es del panda antivirus?
Originalmente enviado por Swarm
me suena un poco raro esto de borrar las entradas del registro de pav.exe y el rundll32.exe, me lo podrias explicar por que? pav.exe no es del panda antivirus?



A ver... yo me he limitado a copiar literal la definición del virus y como eliminarlo, el documento original lo ha hecho un experto, por lo que yo no voy a añadir nada. Si no te convence no hagas ningun cambio.

Salu2. :p
Originalmente enviado por Cold_Fire
Segun los informes ke he leido en mcafee y panda, el virus es bastante inofensivo por el momento. Quereis paranoia? aki teneis una:

NO tengo ningun archivo CPL raro, todos los ke tengo son de windows
NO tengo las entradas esas en el registro
NO he abierto ninguno de los emails ke me han llegado con el virus (llevo años en esto, no soy tonto)

PERO emails de esos salen desde mi direccion.

A ALGUIEN LE PASA? [triston]



esto es el colmo ya... cada dia se me llena la cuenta de hotmail solo con mensajes de virus (todos van a la carpeta de correo basura :-? automaticamente).


hoy mismo me ha llegado uno de mi mismo a la misma cuenta con dos cpl's adjuntos en vez de uno... yo pa mi q el virus este NO te enseña el mail del infectado, sino q va alternando el remitente con los emails de la libreta de usuarios del infectado :-|


CABRONES INFECTAOS! DESINFECTAOS YA JODER!! Q TENGO Q MIRAR CADA 5 HORAS LA CUENTA PQ ME LA PETAIS!!!! [mamaaaaa]
Originalmente enviado por ZeusII



esto es el colmo ya... cada dia se me llena la cuenta de hotmail solo con mensajes de virus (todos van a la carpeta de correo basura :-? automaticamente).


hoy mismo me ha llegado uno de mi mismo a la misma cuenta con dos cpl's adjuntos en vez de uno... yo pa mi q el virus este NO te enseña el mail del infectado, sino q va alternando el remitente con los emails de la libreta de usuarios del infectado :-|


CABRONES INFECTAOS! DESINFECTAOS YA JODER!! Q TENGO Q MIRAR CADA 5 HORAS LA CUENTA PQ ME LA PETAIS!!!! [mamaaaaa]


Yo he puesto el filtro, y lo de borrar los mensajes automáticamente, así si llega de alguien que no conozco va derecho a la basura, así no me preocupo :-|

Saludetes
Originalmente enviado por Churly


Yo he puesto el filtro, y lo de borrar los mensajes automáticamente, así si llega de alguien que no conozco va derecho a la basura, así no me preocupo :-|

Saludetes


como se pone eso d eliminar auto??
Opciones --> Filtro de correo no deseado --> Exclusivo o alto --> Eliminación de correo no deseado --> Inmediata
Originalmente enviado por Churly
Opciones --> Filtro de correo no deseado --> Exclusivo o alto --> Eliminación de correo no deseado --> Inmediata


lo acabo d hacer, asias! :) ;)
yo ya les he enviado un mail a los de hotmail a ver si de una puñetera vez actualizan el motro del antivirus...


5/7/02 9:00 ZeusII borra 1,5MB en emails con el virus
5/7/02 13:00 ZeusII borra 1,5MB en emails con el virus...


esto es un cachondeo :/
Originalmente enviado por Lepero14
m pasa lo mismo q a ti, m han llegao, pero no los abro, y en cambio la gente m dice q yo los envio, hasta gente q no tngo en mi lista m han agregao pa decirme q es lo q l habia madao [reojillo] [reojillo] [reojillo]


Hace un par de días recibí un correo tuyo con el asunto de las fotos de asesinatos y tal. Me pareció extraño que me mandaras un email sin agregarme al messenger, y lo borré del tirón XD. Vaya tela con el puto virus, también tuve que quitarlo hace un par de días de otro ordenador, pero no toqué nada del registro y eso, solo borré el AVP.EXE y alguno más.

P.D: Muy buena esa de "describido" XDXDXDXDXD

Saludos
maxhack está baneado por "Troll"
no sera esto algun atake de microsoft pa judernos a los usuarios de hotmail y ke kompremos espacio pa mails grandes y ke compremos cds originales?????????

fuera de coñas, valla putada¡¡¡¡
Bueno, acabo de ver este hilo y precisamente estuve buscandolo porque se me hizo muy raro que me estuviesen llegando adjuntos la mayoria de gente EOL, he revisado y seguido las formas de desinfeción y lo raro es que no tengo ninguno de esos archivos a pesar de que abri dos correos con los adjuntos, voy a seguir buscando a ver si veo algo raro. Salu2

P.D. Cold Fire si me lees en este hilo ignora el correo de aclaración que te envie.
a mi me han llegao tb de gente de eol como pablere pej, y no tenia ni warra de lo que era , yo me fui al guindos y tenia muchos cpl raros asin que los borre todos pero hay unos de unos numeros que hace referencia el articulo con ext cpl que no puedo borrar .Me da que hasta que no se eliminen esos el virus seguira reproduciendose dia a dia.
Tb he hecho eso del registro pero n current user------> run , no tengo un rundl32, tengo muchas entradas con numeros yt odas contienen rundl32 no seque cpl etc, la unica que no es asi es una del programador de tareas

A le pase el cillin on-line y no detecto na y kago en too hoy otra vez los mails .A VER SI VA SER EL BIN LADEN [idea] [poraki]

salu2

El que encuentre el remedio que lo ratifique please


PD, COÑO AGO EN LA PUTA, leyendo lo de crackmanworld resulta que estan tb en el MSCONFIG grrrr, te vas a inicio y estan tos los numerajos esos como ejecutables asi que recomiendo eliminar todas esas entradas de registro y borrar los cpl con numeros del directorio de guindos

Pa ejucutar el msconfig en guindos xp le teneis en la carpeta PCHEALTH /HEALTHno se que mas

RPD, mientras no desactiveis en el msconfig inicio las marcas al lado de los numeros seguiran apareciendo las clavers en el registro en hlcu/software/microsoft/current version/run
sus vais a

http://www.pandasoftware.es/

y a la dcha aparece el susodicho bicho w32/dadinu

podeis darle a ver si le teneis , o a bajaros un programita pa eliminarle tras registraros eso si , pero aro pudeis poner lus datos del jixo si quereis que tie residencia en matxaxuset o por ahi [poraki]

salu2

PD, FUNSIONA [beer][beer] me la detestao y eliminao, putos crea virus como los pille [uzi] [uzi]
Confirmado, he pasado el programita que busca ese virus en especifico y no esta. Mi teoria: alguien de eol esta infectado hasta la medula, y el virus al enviarse es capaz de poner como remitente a cualquier direccion de su libreta de contactos, no solo a la direccion del ordenador infectado.

Saludos
Originalmente enviado por Cold_Fire
Confirmado, he pasado el programita que busca ese virus en especifico y no esta. Mi teoria: alguien de eol esta infectado hasta la medula, y el virus al enviarse es capaz de poner como remitente a cualquier direccion de su libreta de contactos, no solo a la direccion del ordenador infectado.

Saludos



idem, esta mañana pase el detector y no me lo detectó ^^


en panda confirmar lo de que varia la direcciond el remitente, por eso sale el email en vez del nombre/nick q saldria normalmente :D
¬_¬ joder a mi tb me viene el dichoso virus tengo q ver si sta en mi equipo, y buscarlo no se si se habra borrado al intalar el xp. :-O
otavia me llegan mailses de
pablere----> mikeko
y de
djfinch59 que no tengo ni orra quien es y que ademas no tengo en mis contactos.Al mikeko a ver si la viso pa que se desinfeste
salu2
a mi ya no me madna ni dios, mnos mal, xq era una rcha k cada hora tenia k mirar los mails para k no se petara la cuenta.... [beer]
recordad que probablemente el remitente NO esté infectado, sinó q el infectado sea uno que permanece en la oscuridad sin enterarse.
Originalmente enviado por ZeusII
recordad que probablemente el remitente NO esté infectado, sinó q el infectado sea uno que permanece en la oscuridad sin enterarse.


y una cosa, este virus k hace al k esta infectao exactamente??
Originalmente enviado por Kenyi


y una cosa, este virus k hace al k esta infectao exactamente??



sencillamente creo q aparte de reenviarse a los contactos de hotmail dehabilita la proteccion de algunos antivirus :-|



PD: Reduce un oco tu firma q es mazo grande.



saludos
Originalmente enviado por ZeusII



sencillamente creo q aparte de reenviarse a los contactos de hotmail dehabilita la proteccion de algunos antivirus :-|



PD: Reduce un oco tu firma q es mazo grande.



saludos


he instalado el xp profecional no se si yo tengo o no el virus, pero si he instalado el xp habra eliminados los supuesto virus?, ahora para colmo el norton antivirus 2002 no es compatible con xp, q antivirus me recomiendas para instalarlo en xp. [bye]
el norton antivirus 2002 ES compatible con windows xp...
Originalmente enviado por ZeusII
el norton antivirus 2002 ES compatible con windows xp...


Comor ayer lo intente instalar de un disco de promocion de wanadoo, y no me dejo xp por tema compatibilidad y no se quemas, en w 98 2ª me iba del karauyo, lo tenia instalado ya pero cuando intento actualizarlo para el tema ste de los virus resulta q no encuentra servidor o no se puede, por eso lo reinstale pero no me dejo, tengo otro el inoculate its, sta instalado pero no me dja vajar actualizaciones de virus dice q no encuentra la pagina, o simplemente no cuentra el archivo.

Otra cosa he leido q el panda quita ese virus con una nueva actualizacion, en mejor el panda q el norton. [toctoc]
el panda es una kk ya q se tiene q pagar una tarifa anual para actualizarlo.
he aqui la prueba...


bajalo de su page oficial... además tiene el logo de winxp aproved ^^


tambien puedes probar la beta q ha salido (en la page oficial) del Norton Antivirus 2003...
no se si os pasara a vosotros pero a mi se me come todo el espacio de c, da igual el espacio que libere que siempre me dice qe tengo poco espacio en el disco , y me aparecen unos archivos muy raros en windows con letras p, s, a , t f, y sin extension que no puedo borrar ni cambiar de nombre , y se ocupan todo el espacio se repiten con 382 mb o 39 mb que ocupan los joputas, ahora si me toy preocupando de verdad

¿os pasa a alguno esto?, como elimino esos archivos o pa que valen ?
asias
pasale un buen antivirus antes de nada aunque... yo te recomendaria visto este caso extremo q formateases tu pc y guardaras los datos importantes en cd's y luego antes de volcarlos al disco duro otra vez les pasaras un buen antivurs ^^
Pues que estupendo, ayer me empezaron a llegar estos dichosos mensajes, 2 desde un mismo usuario y otro de otra persona... Asi que casi un mega en la cuenta cuando entré.
Originalmente enviado por ZeusII
he aqui la prueba...


bajalo de su page oficial... además tiene el logo de winxp aproved ^^


tambien puedes probar la beta q ha salido (en la page oficial) del Norton Antivirus 2003...


Tomo nota ZeusII a mi tb me gusta el norton, creo q ya se otra cosa del virus este de los huevos, tambien no me deja entrar en softonic, me manda al scritorio, me relentiza el equipo ya q empieza a absorver ram, y al final me da error faltal del explore, el cual se auto reinicia pero se pierden iconos de la barra de tarea, yo tengo el xplores version 6.0 me han dixo q no es mu buena q opinas. :-)
yo uso el ie6 sin problema alguno.. infinitamente mejor eq las releases anteriores.


puedes desinfectarte de este virus pasando el ActiveScan de http://www.pandasoftware.es (creoq era esta url)
se puede usar el ActiveScan sin tener el panta instalado???

no lo encuentro donde esta???

PD: el norton antivirus 2002 corporativo lo pilla???
me cago en su puta madre ocupa mas de 200kb en cuanto recibo 4 ya tengo el correo petao a a mi ma llegao con doble extension ya unas cuantas veces parece q este virus se ha estendido muxo tambien llega con un titulo de mas fotos de jack el destripador
Originalmente enviado por ZeusII
yo uso el ie6 sin problema alguno.. infinitamente mejor eq las releases anteriores.


puedes desinfectarte de este virus pasando el ActiveScan de http://www.pandasoftware.es (creoq era esta url)


Zeus tios, nada q no puedo instalar el norton antivirus 2002 dice q la version q tengo no es compatible, ademas no encuentro la beta esa del norton 2003, hay alguna actualizacion para pasar el norton 2002 a xp. juer ahora tengo q depender del inoculate its y no me gusta muxo ste antivirus ni siquiera puedo actulizar su catalogo de virus. ¬_¬
39 respuestas