martes, 18 de diciembre de 2007

COMO ELIMINAR EL VIRUS I LOVE YOU

Desactivando restaurar systema, y con un antivirus actualizado en modo seguro, o uno online usando modo seguro con funcion a red, y limpiando el registro con regcleaner, Easycleaner. saludos

es necesario ejecutar el programa que constituye el antídoto del virus.

El virus crea las siguientes claves en el registro, que deberán ser borradas para evitar que el virus se ejecute de forma automática nada más iniciar el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
También será necesario borrar los archivos:

WIN32DLL.VBS

ubicado en el directorio de Windows (por defecto \WINDOWS)

MSKERNEL32.VBS

LOVE-LETTER-FOR-YOU.VBS

ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)

El gusano modifica la página de inicio de Internet Explorer con una de las 4 direcciones, que elige según un número aleatorio, bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows para que este ejecutable también sea lanzado en cada inicio del sistema y modifica de nuevo la configuración de Internet Explorer situando en esta ocasión una página en blanco como inicio.

Si el gusano ha conseguido realizar el paso anterior también deberemos borrar el archivo:

WIN-BUGSFIX.EXE

ubicado en el directorio de descarga de Internet Explorer y la entrada del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX

El gusano también detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras líneas, las siguientes instrucciones:

n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}
Las cuales provocan que el gusano se autoenvíe vía DCC, a través del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversación donde se encuentre el usuario infectado. En este caso debemos de borrar los archivos:

LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM).

SCRIPT.INI (si contiene las instrucciones comentadas)
ubicado en el directorio de mIRC.
Publicado por en

2 comentarios:

Juan Yepez dijo...

ya es tarde , 18 años tarde :0

25 de octubre de 2018, 10:09
Unknown dijo...

Jajaja como el momo

14 de noviembre de 2018, 14:49

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)