Información del virus/gusano "netzeek" de MSN

Iniciado por el-brujo, 23 Enero 2009, 17:20 PM

0 Miembros y 1 Visitante están viendo este tema.

el-brujo

Qué es.

El virus de MSN netzeek se expande a través de los contactos del MSN, usualmente con el mensaje "hey !!!" seguido con un enlace a un programa que, al descargarse y ejecutarse, va a infectar tu computadora y se lo va a reenviar a otros de tus contactos de MSN. Examinación inicial del virus indica que no expone tu información personal o destruye ningún archivo en tu computadora. El virus esta diseñado con el propósito de sobrecargar sitios web y servidores de videojuegos online usando tu conexión a internet. Esto significa, que tu internet va a andar mucho mas lento de como debería.

Cómo quitarlo-eliminarlo (Método simple)

Es recomendado que uses un scanner de virus (que la mayoría de los antivirus incluyen) o de malware para quitar completamente todos los archivos del virus. Si no tenes un scanner de virus o simplemente no puede quitarlo, por favor mira debajo.

El archivo de debajo va a remover el virus y sus archivos de tu sistema. Por favor descargalo y ejecútalo con doble click en el ícono.

Descargar netzeek_remove script    



El script/archivo de arriba puede requerir que tengas el Windows Scripting Host instalado. El código fuente de este script/archivo es dado aquí.

Cómo quitarlo (Método técnico)

El virus netzeek de MSN es un conjunto de programas y entradas al registro que hacen parecerse a los archivos del sistema de windows, aunque estos archivos son encontrados en carpetas un poco diferentes.
csrss.gtr/.exe http://www.threatexpert.com/report.aspx?md5=9790c3d3f8d8e3dfc175454436c5982a

remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(Regsz)Windows Update
remove %WinDir%\csrss.exe (C:\Windows\csrss.exe)

services.gtr/.exe http://www.threatexpert.com/report.aspx?md5=6a13875b15ec4df292d413d151d237b0

remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(Regsz)Windows
remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\(RegSz)System
remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\(RegSz)System Update
remove %WinDir%\services.exe (C:\Windows\services.exe)
remove %System%\Drivers\lsass.exe (C:\WINDOWS\system32\Drivers\lsass.exe)
remove %System%\Drivers\smss.exe (C:\WINDOWS\system32\Drivers\smss.exe)

winlogon.gtr/.exe http://www.threatexpert.com/report.aspx?md5=75fbcf2ed7ba7d789541089c7d67288a

remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(Regsz)Windows Run Service
remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\(Regsz)System Run
remove %WinDir%\winlogon.exe (C:\Windows\winlogon.exe)
remove %System%\drivers\spoolsv.exe (C:\Windows\system32\drivers\spoolsv.exe)

aa.gtr/ctfmon.exe http://www.threatexpert.com/report.aspx?md5=402bbf23bcad504e70b31043388c6ec7

remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\(Regsz)CTFMON
remove %System%\drivers\ctfmon.exe (C:\Windows\system32\drivers\ctfmon.exe)


Para las autoridades. Información del autor del virus.

El autor del virus se cree que vive en Buenos Aires, Argentina, y es responsable de muchas variantes usadas con el propósito de enviar ataques de denegación de servecio (DoS). El autor se hace conocer a través de interner con el alias "netzeek" y tiene un sitio web aquí, donde muestra videos de algunos de sus ataques.
Se cree que netzeek es responsable de los siguientes dominios:

juegoszetin.org
juegosk.info
juegosi.info
team-crash.org
gamersxpro.info
vgjuegos.info
juegosxs.org
jueguitosk.info
juegosenflashes.com
bjuegosb.info
aaaaad.tk
cfoott.tk
tjuegost.info

Algunos de estos dominios aparecen en cliente FTP del escritor del virus durante uno de sus videos. También se puede terminar de comprobar estos dominios revisando Threat Expert.

Última dirección IP conocida de netzeek: 190.225.75.169 host169.190-225-75.telecom.net.ar, 25 Oct 2008

Información proveída por el equipo SA-MP. team@sa-mp.com.


Fuente:
http://www.sa-mp.com/nz_bak/netzeek_es.html

In english:
http://www.sa-mp.com/nz_bak/netzeek_en.html