Virus W32Bugbear@MM

Hola Kuerti, observando tu trayectoria quería preguntarte lo siguiente: cómo sacó este virus, mi pc presenta en forma aleatoria un mensaje mostrando que la impresora está cargada y que los archivos están infectados con este virus.
Lo que pasa es que necesito una solución urgente y quizás ya lo conozcas al bicho este.
Desde ya muchas gracias
Paola

1 respuesta

Respuesta
1
bajate la vacuna de http://www.cucba.udg.mx/new/antivirus/vacuna_bugbear/ y listo el pollo.
Ahora bien, bugbear (virus genérico con variantes, como casi todos) es un bicho que se propaga vía smtp o pop3 y afecta los recursos compartidos de tu red, por ejemplo, mandando imprimir basura en impresoras compartidas. Es realmente hinchapelotas...
Mcaffe dice, en su página de http://www.satinfo.es/web/2002/bugbear.html:
W32/Bugbear@MM es un virus escrito en MSCV y empaquetado con UPX. Propaga a través de comparticiones de red, se autoenvía por correo electrónico, y explota la conocida vulnerabilidad MIME/IFRAME de Ms Internet Explorer. También contiene un componente troyano backdoor que contiene funcionalidad keylogging (registra las teclas pulsadas por el usuario)
Cambios en el sistema
La ejecución del gusano hace que se copie al directorio \Windows\System y a la carpeta Inicio como un fichero con extensión .EXE de nombre aleatorio.
Luego, configura la siguiente clave del registro para provocar su ejecución al reiniciar el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce "%letras aleatorias%"= %nombre de fichero aleatorio%.EXE
Propagación Mass-mailing
Este gusano se envía a todas la direcciones de correo electrónico que encuentra en el sistema local, utilizando un motor SMTP propio. El código del virus contiene cadenas de texto que utiliza como asunto del mensaje y también para el nombre del fichero adjunto. De todos modos, existe una alta probabilidad de que el virus utilice palabras y nombres de fichero que encuentre en el propio equipo infectado.
Propagación por comparticiones de red
El gusano intenta generar una copia de sí mismo en la carpeta Inicio de los equipos remotos de la red, para provocar su ejecución al reiniciar dichos equipos.
Componente Troyano
La ejecución del gusano abre el puerto TCP/36794 y busca la presencia de diferentes procesos que estén corriendo en el sistema, para detenerlos. La lista de procesos incluye diferentes productos antivirus y cortafuegos conocidos.
w32/Bugbear actúa también como servidor de acceso remoto, y un atacante podría subir y descargar ficheros, ejecutar programas y terminar procesos de un ordenador infectado.
En el equipo infectado genera un fichero DLL (componente keylogger) que se detecta como PWS-Hooker.dll.
Genera Trabajos de Impresión en Impresoras de Red
Un detalle muy sintomático de la presencia de este gusano (y que nos han reportado numerosos usuarios), es el envío de tareas de impresión no solicitadas a todas las impresoras de la red.
Método de eliminación del virus:
Para sistemas operativos Windows 95,98 y Me:
.- Actualizar el antivirus con el SuperDAT actual
.- Descargar la utilidad ELIBUGB.EXE
.- Descargar la utilidad LIMPIA.EXE
.- Desactivar el Antivirus
.- Ejecutar la utilidad ELIBUGB.EXE
.- Apagar el equipo, y volver a iniciarlo en modo 'Sólo símbolo del sistema'
.- Ejecutar LIMPIA
Para sistemas operativos Windows NT, 2000 y XP:
.- Actualizar el antivirus con el SuperDAT actual
.- Descargar la utilidad ELIBUGB.EXE
.- Descargar la utilidad LIMPIANT.BAT
.- Desactivar el antivirus
.- Ejecutar la utilidad ELIBUGB.EXE
.- Apagar el equipo, y volver a iniciarlo (sólo en el caso de tener NT 4.0)
.- Desactivar el antivirus
.- Ejecutar LIMPIANT
Es posible proceder con la detección y eliminación de W32/Bugbear@MM haciendo uso de DATS y motor arriba indicados (en caso de dificultad con la eliminación, pueden contactar con el servicio hotline de Satinfo).
Saludos y NO! Te olvides de puntuar la respuesta.
Hola Kuerti te pido disculpas por no haberte contestado antes, pero mi trabajo no me dejaba tiempo para ver este tema en mi pc.
La verdad no llegué a probar lo que me sugerías porque comencé haciendo lo que me dijo el experto que me contesto primero y con eso funcionó.
De todos modos leí todo lo que me enviaste y te agradezco mucho toda la información.
Ahora tengo otro virus WORM_KLEZ.H que no lo puede eliminar.
Te agradecería una ayuda para este. Mi mail es [email protected]
Muchísimas gracias
Paola

Añade tu respuesta

Haz clic para o

Más respuestas relacionadas