Mensaje
por floskins » 04 Mar 2008 12:45
A ver si puede servirte de ayuda lo siguiente:
Ozdok (Peligrosidad: 1 - M?nima)
Troyano que intenta enviar correo masivo (spam) desde el equipo afectado a través de SMTP.
Se conecta a ciertos servidores a los que puede enviar o de los que puede recibir datos.
Crea un servicio de nombre 'ICF' y realiza alguna modificaci?n en el registro de Windows.
Soluci?n
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infecci?n, puede usar la caracter?stica de 'Restauraci?n del Sistema' para eliminar el virus volviendo a un punto de restauraci?n anterior a la infecci?n. (Tenga en cuenta que se desharén los cambios de configuraci?n de Windows y se eliminar?n todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauraci?n). Ayuda para utilizar la opción de Restauraci?n en Windows XP.
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauraci?n del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar restauraci?n del sistema en Windows Me o en Windows XP.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infecci?n o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecuci?n (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecuci?n del virus. Abra el Administrador de tareas (presione Control+May?sculas+Esc). En Windows 98/Me seleccione el nombre del proceso y detúngalo. En Windows 2000/XP, en la pesta?a 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparaci?n del fichero. Para más información consulte Eliminar librerías .DLL o .EXE.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guña de edici?n del registro o este vadeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine el valor indicado de las siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\DomainProfile\AuthorizedApplications\List
Valor: ?%System%\svchost.exe? = ? %System%\svchost.exe:*:Enabled:svchostú
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactiv? la restauraci?n del sistema, recuerde volver a activarla.
Datos Técnicos
Peligrosidad: 1 - M?nima Difusi?n: Baja Fecha de Alta:13-02-2008
última Actualizaci?n:13-02-2008
Daño: Medio
[Explicaci?n de los criterios] Dispersibilidad: Bajo
Nombre completo: Trojan.W32/Ozdok
Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o ?til pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Trojan.Ozdok (Symantec), Troj/Ozdok (PerAntivirus)
Detalles
La llegada al sistema de este troyano podría producirse a través del uso de un exploit web, durante la navegaci?n por diferentes páginas.
Cuando Trojan.W32/Ozdok es ejecutado, reliza las siguientes acciones:
Crea y oculta los siguientes ficheros:
%System%\svchost.exe:exe.exe
%Windir%\system32:svchost.exe
Notas:
%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
%Windir% es una variable que hace referencia al directorio de instalaci?n de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
A?ade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\DomainProfile\AuthorizedApplications\List
Valor: ?%System%\svchost.exe? = ? %System%\svchost.exe:*:Enabled:svchostú
El troyano podría crear un servicio con las siguientes caracter?sticas:
Nombre del servicio: ICF
Nombre para mostrar: ICF
Ruta de acceso al ejecutable: %Systemdir%\svchost.exe:exe.exe
A continuación, contacta con los siguientes servidores a través del puerto TCP 80:
aaauaa.info
boratchik.com
sadukkanora.com
manukazorada.biz
netzakdjuq.biz
aaahme.info
beeddk.0rg
aaauaa.info
boratchik.com
sadukkanora.com
manukazorada.biz
netzakdjuq.biz
aaahme.info
beeddk.0rg
yankdream.info
iowandream.info
hitijeoairnv.biz
denizendream.org
kentuckianfuker.com
alaskanloxajz.com
fortunebird.biz
Trojan.W32/Ozdok podría enviar y recibir datos a/de los servidores anteriores.
También intenta enviar correo de forma masiva (spam) desde el equipo afectado a través de SMTP (Simple Mail Transfer Protocol).
ufff ni idea
