| Nombre común: MSNWorm.FH
Nombre técnico: W32/MSNWorm.FH.worm
Peligrosidad: Media
Tipo: Gusano
Efectos: Reduce el nivel de protección del ordenador afectado frente a otras amenazas, ya que impide el acceso a ciertas páginas web relacionadas con seguridad. Se propaga a través del programa de mensajería instantánea MSN Messenger.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 31/10/2008
Detección actualizada: 20/11/2008
Estadísticas No
Descripción Breve
MSNWorm.FH es un gusano que reduce notablemente el nivel de protección del ordenador frente a otras amenazas, ya que impide tanto al usuario como al ordenador acceder a ciertas páginas web relacionadas con seguridad.
Además, deshabilita la consola de comandos (CMD.EXE) y la opción Restaurar sistema, lo que impediría devolver el equipo a un estado de funcionamiento anterior.
MSNWorm.FH se propaga a través del programa de mensajería instantánea MSN Messenger en un mensaje que envía a todos los contactos del usuario afectado que estén conectados en ese momento.
Efectos
MSNWorm.FH realiza las siguientes acciones:
Deshabilita los siguientes elementos:
- la consola de comandos (CMD.EXE)
- Restauración de sistema, que sirve para devolver el equipo a un estado de funcionamiento anterior. Puede resultar muy útil para deshacer los cambios en el sistema y volver a un punto en el que el ordenador funcionaba correctamente.
Impide tanto al usuario como al propio ordenador acceder a ciertas páginas web, que corresponden en su mayoría a páginas relacionadas con la seguridad y programas antivirus. A consecuencia de esto, se reduciría considerablemente el nivel de protección del ordenador frente a otras amenazas.
Las páginas web afectadas son las siguientes:
1234567890
13iii.com, 247fixes.com, 2-spyware.com, 360.cn, 360.com, 360safe.cn, 360safe.com.
A
acs.pandasoftware.com, ad-aware-se.uptodown.com, aknow.prevx.com, alerta-antivirus.inteco.es, alerta-antivirus.red.es, analysis.seclab.tuwien.ac.at, andymanchesta.com, antirootkit.com, antivir.es, antivirus.about.com, antivirus.comodo.com, ar.answers.yahoo.com, arswp.com, atazita.blogspot.com, auditmypc.com, avast.com, avast-home.uptodown.com, avg-antivirus.net, avira.com, avp.com, avpclub.ddns.info.
B
babooforum.com.br, baike.360.cn, baike.360.com, bakunos.com, bbs.360safe.cn, bbs.360safe.com, bbs.cfan.com.cn, bbs.duba.net, bbs.ikaka.com, bbs.kafan.cn, bbs.kafan.com, bbs.kpfans.com, bbs.s-sos.net, bbs.taisha.org, bbs.winzheng.com, bitdefender.com, bitdefender.es, bleedingthreats.net, bleepingcomputer.com, blog.hispasec.com, blog.threatfire.com, boardreader.com, box.net.
C
ca.com, castlecops.com, castlecrops.com, cddchiangmai.net, cfan.com.cn, changedetection.com, changelog.fr, chkrootkit.org, cisrt.org, cit.kookmin.ac.kr, clamav.net, clamwin.com, clubic.com, cmmings.cn, codehard.wordpress.com, community.thaiware.com, computing.net, comunidad.wilkinsonpc.com.co, configurarequipos.com, customer.symantec.com, cwsandbox.org, cybertechhelp.com.
D
daboweb.com, daniweb.com, darkclockers.com, dazhizhu.cn, deckard.geekstogo.com, diamondcs.com.au, dicasweb.com.br, discussions.virtualdr.com, dl.360safe.com, dougknox.com, down.360safe.cn, down.360safe.com, down.kingsoft.com, download.bleepingcomputer.com, download.f-secure.com, download.mcafee.com, download.nai.com, download.sysinternals.com, downloads.andymanchesta.com, downloads.malwarebytes.org, drweb.com.es, duba.net.
E
eeload.com, elitepvpers.de, emsisoft.de, eradicatespyware.net, es.answers.yahoo.com, es.mcafee.com, es.wasalive.com, eset.com, eset-la.com, espanol.answers.yahoo.com, espanol.dir.groups.yahoo.com, espanol.groups.yahoo.com, ewido.net, experts-exchange.com.
F
file.ikaka.cn, file.ikaka.com, file.net, files.filefont.com, final4ever.com, firewallguide.com, fixmyim.com, foro.elhacker.net, foro.ethek.com, foros.softonic.com, foros.zonavirus.com, forospyware.com, forospyware.es, fortiguardcenter.com, fortinet.com, forum.clubedohardware.com.br, forum.hardware.fr, forum.hijackthis.de, forum.kaspersky.com, forum.malekal.com, forum.piriform.com, forum.securitycadets.com, forum.sysinternals.com, forum.telecharger.01net.com, forum.tweaks.com, forums.cnet.com, forums.comodo.com, forums.devshed.com, forums.maddoktor2.com, forums.majorgeeks.com, forums.techguy.org, forums.whatthetech.com, f-prot.com, free.avg.com, free.grisoft.com, free-av.com, freespywareremoval.info, f-secure.com, ftp.drweb.com, funkytoad.com, futurenow.bitdefender.com.
G
geekstogo.com, greatis.com, grisoft.com, guiadohardware.net, guru0.grisoft.cz, guru1.grisoft.cz, guru2.grisoft.cz, guru3.grisoft.cz, guru4.grisoft.cz, guru5.grisoft.cz.
H
hi.baidu.com, hijackthis.de, hijackthis.download3000.com, hjt.networktechs.com, hjt-data.trend-braintree.com, hotshare.net, housecall.trendmicro.com, housecall65.trendmicro.com, huaifai.go.th.
I
ikaka.cn, ikaka.com, ikarus.net, incodesolutions.com, info.prevx.com, infos-du-net.com, infosecpodcast.com, infospyware.com, it.answers.yahoo.com.
J
javacoolsoftware.com.
K
kaba.360.cn, kaba.360.com, kaspersky.com, kaspersky.es, kaspersky-labs.com, kr.ahnlab.com, krupunmai.com, kztechs.com.
L
ladooscuro.es, laneros.com, lavasoft.com, lexikon.ikarus.at, linhadefensiva.org, linhadefensiva.uol.com.br, liveupdate.symantec.com, liveupdate.symantecliveupdate.com, lurker.clamav.net.
M
mailcenter.rising.com, mailcenter.rising.com.cn, majorgeeks.com, malwarebytes.org, malwareremoval.com, manuelruvalcaba.com, mast.mcafee.com, mcafee.com, Merijn.org, misec.net, mostz.com, msncleaner.softonic.com, msnfix.changelog.fr, msnvirusremoval.com, mvps.org, mx.answers.yahoo.com, mxttchina.com.
N
nabble.com, net-security.org, networkworld.com, norman.com, ntfaq.co.kr.
O
offensivecomputing.net, oldtimer.geekstogo.com, onecare.live.com, onlinescan.avast.com, ozzu.com.
P
p3dev.taringa.net, linkeliminadophandaxxx, pantip.com, pcentraide.com, pcguide.com, pchell.com, pcsupportadvisor.com, pctools.com, personal.psu.edu, personalfirewall.comodo.com, precisesecurity.com, prevx.com.
R
raymond.cc, research.sunbelt-software.com, resplendence.com, rising.com, rising.com.cn, rootkit.com, rootkit.nl, runscanner.net.
S
safecomputing.umn.edu, safer-networking.org, samroeng.hi5.com, sandboxie.com, sapcupgrades.com, scanner.virus.org, search.mcafee.com, secubox.aldria.com, secunia.com, security.symantec.com, securitynewsportal.com, securityresponse.symantec.com, securitywonks.net, sergiwa.com, service1.symantec.com, siteadvisor.com, smokey-services.eu, soccersuck.com, software-files.download.com, sophos.com, sosvirus.changelog.fr, spyany.com, spybot.info, spychecker.com, spywaredb.com, spywareinfo.com, spywareterminator.com, subs.geekstogo.com, superdicas.com.br, superuser.co.kr, support.f-secure.com, symantec.com, sysinternals.com.
T
tallemu.com, taringa.net, tech.pantip.com, techimo.com, techspot.com, techsupportforum.com, tecno-soft.com, thecomputerpitstop.com, thejokerx.blogspot.com, thetechguide.com, threatexpert.com, trendmicro.com, trendsecure.com, trucoswindows.es, trucoswindows.net, tweaksforgeeks.com.
U
update.360safe.cn, update.360safe.com, update.symantec.com, updatem.360safe.cn, updatem.360safe.com, upload.changelog.fr, usbcleaner.cn, utilidades-utiles.com.
V
v.dreamwiz.com, vil.nail.comm, virscan.org, viruschief.com, virusdoctor.jp, virusinfo.prevx.com, viruslist.com, virusspy.com, virustotal.com, vsantivirus.com.
W
webphand.com, wexperts-exchange.com, whatthetech.com, wikio.es, wilderssecurity.com, wmcafee.com.
X
x.360safe.com.
Z
zhidao.baidu.com, zhidao.ikaka.com, ziggamza.net, z-oleg.com, zonavirus.com.
Metodo de Infección
MSNWorm.FH crea el archivo SYMBOOTCFG.EXE en el directorio de sistema de Windows. este archivo es una copia del gusano.
MSNWorm.FH modifica el archivo HOSTS para impedir al usuario y al ordenador acceder a ciertas páginas web relacionadas con seguridad.
MSNWorm.FH crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Symantec Boot Config = symbootcfg.exe
Mediante esta entrada, MSNWorm.FH consigue ejecutarse siempre que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Windows\ System
DisableCMD = 01, 00, 00, 00
Deshabilita la consola de comandos.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
DisableConfig = 01, 00, 00, 00
Deshabilita la opción Restaurar sistema.
Método de Propagación
MSNWorm.FH se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, envía una copia de sí mimo en un mensaje instantáneo a todos los usuarios que estén conectados en ese momento.
Otros Detalles
MSNWorm.FH está escrito en el lenguaje de programación Delphi. Este gusano tiene un tamaño de 79360 Bytes.
|
|