| irina20 |  |
|
2005-03-06 19:08 - Respuestas: 8 - Tema nº: 29793
Es algo que identifica el Norton como virus mortal, es entonces cuando el dichoso antivirus se revoluciona y no para de notificarme mediante ventanas de alertas que el peligro acecha, o lo que es lo mismo, riesgo alto.
Lo curioso es que el Norton no sabe donde está, no lo puede eliminar
Por los mensajes del antivirus, por lo visto ya me infectó diversos archivos de la carpeta W32
Que hago? si no se lo que es W32. Wallz, ni donde está
A ver si podeis darme una ayudita
Gracias y Küssen
| |
|
|
| aseret |  |
|
Re: Qué es w32.Wallz??????? - 2005-03-06 19:39 - Respuesta 2
Hola irina20
Todo lo que he podido encontrar acerca del virus se encuentra en las páginas Symantec (mamá del Norton )
Va a ser un poquito largo ésto porque he tenido que realizar la traducción automática, ya veremos si puedo copiar y pegar en el post.
La página original de Symantec en inglés está en:
www.symantec.com/avcenter/venc/data/w32.wallz.html
Esta es la traducción automática:
W32.Wallz
Descubierto encendido: De febrero el 07 de 2005
Último puesto al día encendido: De Febrero El 07 De 2005 11:05:55
W32.Wallz es un gusano que las tentativas de explotar el desbordamiento alejado del almacenador intermediario de la seguridad de Microsoft Windows del servicio local de la autoridad (descrito en el boletín MS04-011 de la seguridad de Microsoft). El gusano se separa aleatoriamente explorando las direcciones del IP para las computadoras vulnerables a esta amenaza.
También Conocido Como:
Net-Worm.Win32.Small.b [ Laboratorio De Kaspersky ]
Tipo: Gusano
Longitud De la Infección:
6.578 octetos
Sistemas Afectados:
Windows 2000, Windows 95, Windows 98, Windows Yo, Windows NT, Servidor 2003, Windows.xp De Windows
• Definiciones Del Virus (Updater Inteligente) *
De febrero el 07 de 2005
• ** De las Definiciones Del Virus (™LiveUpdate )
De febrero el 09 de 2005
* Las definiciones inteligentes de Updater se lanzan diariamente, pero requieren transferencia directa y la instalación manuales.
Chasque aquí para descargar manualmente.
** Las definiciones del virus de LiveUpdate se lanzan generalmente cada miércoles.
Chasque aquí para las instrucciones en usar LiveUpdate.
Salvaje
• Número de infecciones: 0 - 49
• Número de sitios: 0 - 2
• Distribución geográfica: Bajo
• Contención de la amenaza: Fácil
• Retiro: Moderado
Métrica De la Amenaza
Salvaje:
Bajo Daños:
Bajo Distribución:
Medio
Daños
• Disparador De la Carga útil: n/a
• Carga útil: n/a
o El e-enviar de la escala grande: n/a
o Suprime archivos: n/a
o Modifica archivos: n/a
o Degrada funcionamiento: n/a
o Causa inestabilidad del sistema: n/a
o Lanza el Info confidencial: n/a
o Compromete ajustes de la seguridad: n/a
Distribución
• Tema del email: n/a
• Nombre del accesorio: n/a
• Tamaño del accesorio: n/a
• Grupo fecha/hora del accesorio: n/a
• Puertos: El TCP vira 445 y 6667 hacia el lado de babor.
• Impulsiones compartidas: n/a
• Blanco de la infección: n/a
Cuando se ejecuta W32.Wallz, realiza las acciones siguientes:
1. Crea una copia de sí mismo como %System%\winpnp32.exe.
Nota: %System% es una variable que refiere a la carpeta del sistema. Por defecto éste es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows.xp).
2. Crea un servicio con las características siguientes:
Nombre Del Servicio: winpnp32
Nombre De la Exhibición: Conductor 32-bit De Windows PnP
Trayectoria De la Imagen: %System%\winpnp32.exe
Tipo de lanzamiento: Automático
3. Crea los subkeys siguientes del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32
para funcionarse como servicio.
4. Agrega el valor:
"EnableDCOM" = "Y"
al subkey del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
para permitir DCOM.
5. Agrega el valor:
"restrictanonymous" = "dword:00000001"
al subkey del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
para restringir el acceso anónimo a las partes de la red.
6. Crea el archivo siguiente, que no es malévolo:
%Windir%\Debug\dcpromo.log
Nota: el %Windir% es una variable que refiere a la carpeta de la instalación de Windows. Por defecto, éste es C:\Windows o C:\Winnt.
7. Direcciones al azar del IP de las exploraciones para las computadoras vulnerables, y tentativas de explotar el desbordamiento alejado del almacenador intermediario de la seguridad de Microsoft Windows del servicio local de la autoridad (descrito en el boletín MS04-011 de la seguridad de Microsoft). usar el puerto 445 del TCP. Si el gusano explota con éxito esta vulnerabilidad en una computadora alejada, enviará el shellcode que crea y funciona una copia del gusano en la computadora alejada.
8. Conecta con un servidor del IRC en el dominio de owjgp.game2max.net para registrar el IP address de cada computadora con éxito explotada.
La respuesta de la seguridad de Symantec anima a todos los usuarios y administradores que adhieran a la seguridad básica siguiente las "mejores prácticas":
• Dé vuelta apagado y quite a los servicios innecesarios. Por defecto, muchos sistemas operativos instalan los servicios auxiliares que no son críticos, por ejemplo un ftp server, telnet, y un servidor del Web. Estos servicios son avenidas del ataque. Si se quitan, las amenazas mezcladas tienen menos avenidas del ataque y usted tiene pocos servicios a mantener a través de actualizaciones del remiendo.
• Si una amenaza mezclada explota unos o más servicios de red, inhabilite, o bloquee el acceso a, esos servicios hasta que se aplica un remiendo.
• Siempre mantenga sus niveles del remiendo actualizados, especialmente en las computadoras que reciben servicios públicos y son accesibles a través del cortafuego, tal como HTTP, ftp, correo, y servicios del DNS (por ejemplo, todas las computadoras windows-based deben tener el paquete actual del servicio instalado). Además, aplique por favor cualquier actualización de la seguridad que se mencione en este relato, en boletines confiados en de la seguridad, o en sitios del Web del vendedor.
• Haga cumplir una política de la contraseña. Las contraseñas complejas hacen difícil de agrietar archivos de la contraseña en las computadoras comprometidas. Esto ayuda a prevenir o a limitar daño cuando se compromete una computadora.
• Configure su servidor del email para bloquear o para quitar el email que contiene los accesorios del archivo que se utilizan comúnmente para separar virus, tales como archivos de los vbs, del bat, del exe, del pif y del scr.
• Aísle las computadoras infectadas rápidamente para evitar más lejos el compromiso de su organización. Realice un análisis forense y restaure las computadoras usando medios confiados en.
• Entrene a los empleados para no abrir los accesorios a menos que los estén contando con. También, no ejecute el software que se descarga del Internet a menos que se haya explorado para los virus. Simplemente visitar un sitio comprometido del Web puede causar la infección si ciertas vulnerabilidades del browser no se remiendan.
Las instrucciones siguientes pertenecen a todos los productos actuales y recientes del antivirus de Symantec, incluyendo las líneas de productos de Symantec AntiVirus y de Norton AntiVirus.
1. Inhabilite El Restore Del Sistema (Windows Me/XP).
2. Ponga al día las definiciones del virus.
3. Funcione una exploración completa del sistema y suprima todos los archivos detectados como W32.Wallz.
4. Suprima el valor que fue agregado al registro.
Para los detalles específicos en cada uno de estos pasos, lea las instrucciones siguientes.
1. Para inhabilitar el restore del sistema (Windows Me/XP)
Si usted está funcionando Windows yo o Windows.xp, recomendamos que usted da vuelta temporalmente apagado a restore del sistema. Windows Me/XP utiliza esta característica, que es permitida por el defecto, para restaurar los archivos en su computadora en caso de que se dañen. Si un virus, un gusano, o un Trojan infecta una computadora, el restore del sistema puede sostener el virus, el gusano, o el Trojan en la computadora.
Windows previene programas exteriores, incluyendo programas del antivirus, de restore de modificación del sistema. Por lo tanto, los programas del antivirus o las herramientas no pueden quitar amenazas en la carpeta del restore del sistema. Consecuentemente, el restore del sistema tiene el potencial de restaurar un archivo infectado en su computadora, incluso después usted haya limpiado los archivos infectados de el resto de localizaciones.
También, una exploración del virus puede detectar una amenaza en la carpeta del restore del sistema aunque usted ha quitado la amenaza.
Para las instrucciones en cómo dar vuelta apagado a restore del sistema, lea su documentación de Windows, o uno de los artículos siguientes:
• "cómo inhabilitar o permitir Windows yo restore del sistema"
• "cómo dar vuelta apagado o girar a restore del sistema de Windows.xp"
Nota: Cuando le acaban totalmente con el procedimiento de retiro y están satisfecho que la amenaza se ha quitado, vuelva a permitir el restore del sistema por después de las instrucciones en los documentos ya mencionados.
Para la información adicional, y un alternativa a inhabilitar Windows restore del sistema, ve el artículo de la base de conocimiento de Microsoft, las "herramientas de Antivirus no puede limpiar archivos infectados en _ la carpeta del restore," identificación del artículo: Q263455.
2. Para poner al día las definiciones del virus
La respuesta de la seguridad de Symantec prueba completamente todas las definiciones del virus para la garantía de calidad antes de que se fijen a nuestros servidores. Hay dos maneras de obtener las definiciones más recientes del virus:
• LiveUpdate de funcionamiento, que es la manera más fácil de obtener definiciones del virus: Estas definiciones del virus se fijan a los servidores de LiveUpdate una vez que cada semana (generalmente el miércoles), a menos que haya un brote importante del virus. Para determinarse si las definiciones para esta amenaza están disponibles por LiveUpdate, refiera a las definiciones del virus (LiveUpdate).
• Descargar las definiciones usando el Updater inteligente: Las definiciones inteligentes del virus de Updater se fijan diariamente. Usted debe descargar las definiciones del sitio del Web de la respuesta de la seguridad de Symantec e instalarlas manualmente. Para determinarse si las definiciones para esta amenaza están disponibles por el Updater inteligente, refiera a las definiciones del virus (Updater inteligente).
Las definiciones inteligentes del virus de Updater están disponibles: Leído "cómo poner al día la definición del virus archiva con el Updater inteligente" para las instrucciones detalladas.
3. Para explorar para y suprimir los archivos infectados
a. Comience su programa del antivirus de Symantec y cerciórese de que está configurado para explorar todos los archivos.
• Para los productos de consumo de Norton AntiVirus: Lea el documento, "cómo configurar Norton AntiVirus para explorar todos los archivos."
• Para los productos de la empresa de Symantec AntiVirus: Lea el documento, "cómo verificar que un producto corporativo del antivirus de Symantec está fijado para explorar todos los archivos."
b. Funcione una exploración completa del sistema.
c. Si algunos archivos se detectan según lo infectado con W32.Wallz, cancelación del tecleo.
Nota: Si su producto del antivirus de Symantec divulga que no puede suprimir un archivo infectado, Windows puede utilizar el archivo. Para fijar esto, funcione la exploración en modo seguro. Para las instrucciones, lea el documento, "cómo encender la computadora en modo seguro." Una vez que usted haya recomenzado en modo seguro, funcione la exploración otra vez.
Después de que se supriman los archivos, recomience la computadora en modo Normal y proceda con la sección 4.
4. Para suprimir el valor del registro
Importante: Symantec recomienda fuertemente que usted sostiene el registro antes de realizar cualesquiera cambios a él. Los cambios incorrectos al registro pueden dar lugar a pérdida permanente de los datos o a archivos corrompidos. Modifique los subkeys especificados solamente. Lea el documento, "cómo hacer una reserva del registro de Windows," para las instrucciones.
a. Chasque El Comienzo > Funcionado.
b. Mecanografíe el regedit
Entonces chasque MUY BIEN.
c. Navegue a y suprima los subkeys:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32
d. Navegue al subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
e. En el cristal derecho, suprima el valor:
"EnableDCOM" = "Y"
f. Navegue al subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
g. En el cristal derecho, suprima el valor:
"restrictanonymous" = "dword:00000001"
h. Salga del redactor del registro.
Los links de conexión que aparecen podrás acceder a ellos desde la página original en inglés; su no tienes problemas con este ididoma pasa directamente a la página no traducida.
Suerte y aquí seguimos.
Saludos.
[ Este mensaje fué editado por: aseret el 06-03-2005 a las 20:12] | |
|
|
| tordanxa |  |
|
Re: Qué es w32.Wallz??????? - 2005-03-07 16:55 - Respuesta 3
Pongo aquí la pregunta que ha hecho en otro post irina 20
Quote:
Vereis envié el mensaje 29793 en el que especificaba mi pproblema con el gusano
W32. Wallz
ahora que ya me informó aseret, muy amable por cierto, he encontrado el archivo Winpnp32.exe, qué hago lo elimino? no pasará nada verdad?
Una ayudita por favor
un saludito
| |
|
|
| Tharos |  |
|
Re: Qué es w32.Wallz??????? - 2005-03-07 17:01 - Respuesta 4
Elimínalo sin piedad ni remordimientos ni miedo.
Si está cargado en memoria seguramente te dé un error, deberás ir al Administrador de Tareas (Control + Mayúsculas + ESC), seleccionar el programa en cuestión y pulsar en "Terminar Proceso" para poder borrarlo. | |
|
|
| irina20 | |
|
Re: Qué es w32.Wallz??????? - 2005-03-09 10:58 - Respuesta 5
elimino el archivowinpnp32.exe, pero aún siguo con las molestas advertencias del antivirus.
Puede que aún esté el gusano W32.Wallz por ahi?
He realizado un scan con el Norton y no lo detecta en los informes, pero si me envía alertas.
Qué puedo hacer??
| |
|
|
|
