INTECO

Detalle de virus

Gusano que se propaga enviando mensajes instantáneos con enlaces a copias de sí mismo a través del programa Skype. Modifica gran cantidad de entradas del registro para ejecutarse automáticamente y para reducir la seguridad del equipo y dificultar el borrado del gusano.

Detalles técnicos

  • Difusión: Baja
  • Daño: Alto
  • Dispersibilidad: Media
  • Fecha de alta: 23/11/2009
  • Última actualización: 23/11/2009
Arriba

Propagación

Capacidad de autopropagación:

Se propaga de las siguientes maneras:

Mensajería Instantánea

Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM.

Se propaga enviando mensajes instantáneos a todos los contactos conectados al Skype que tenga el usaurio infectado. Los textos siempre están en inglés y pueden ser alguno de los siguientes seguidos de un enlace a una página desde la que se descarga una copia del gusano:

  • crazy bitch
  • do you have camera on skype?
  • from where are you?
  • hello
  • hello again
  • hi
  • how are you
  • I know what you did
  • I saw you last week. I would like to speak with you
  • I saw you photo. I would like to speak with you
  • I watching you long time. I would like to speak with you
  • idiot
  • is it really your web site?
  • now everyone know ;)
  • piece of shit
  • pudge women ;)
  • so what do you think?
  • what are you doing
  • what are you doing in my contacts?
  • what are you?
  • what do you think about that?
  • what is in that link on your skype?
  • what is there?
  • why dont you speak
  • you skype version is old
Arriba

Infección/Efectos

Cuando Pykspa.E se ejecuta, realiza las siguientes acciones:

Crea los siguientes ficheros:

  • %System%\[- Nombre aleatorio -].exe
  • %Temp%\[- Nombre aleatorio -].exe

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
Por defecto es C:\Windows\temp (Windows 98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\[usuario]\local settings\temp (Windows XP).

Crea las siguientes entradas del registro para ejecutarse automáticamente en cada reinicio del sistema: 

  Clave:  HKLM\software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 
  Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
  Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe 
  Clave:  HKLM\software\Microsoft\Windows\CurrentVersion\Run\ 
  Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
  Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe 
  Clave:  HKLM\software\Microsoft\Windows\CurrentVersion\RunOnce\ 
  Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
  Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe 
  Clave:  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ 
  Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
  Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe 
  Clave:  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ 
  Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
  Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe

Modifica las siguientes entradas del registro para evitar las restricciones del cortafuegos de Windows: 

  Clave:  HKLM\SOFTWARE\Microsoft\Windows\Security Center 
  Valor:  "FirewallDisableNotify" = "1" 
  Valor:  "FirewallOverride" = "1"

Modifica las siguientes entradas del registro para disminuir la seguridad del equipo: 

  Clave:  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 
  Valor:  "DisableRegistryTools" = "1" 
  Clave:  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 
  Valor:  "DisableRegistryTools" = "1" 
  Valor:  "EnableLUA" = "0" 
  Clave:  HKLM\SOFTWARE\Microsoft\Windows\Security Center 
  Valor:  "UpdatesDisableNotify" = "1" 
  Valor:  "AntiVirusDisableNotify" = "1" 
  Valor:  "AntiVirusOverride" = "1"

Modifica las siguientes entradas del registro para cambiar las propiedades de Explorer: 

  Clave:  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer 
  Valor:  "NoDriveTypeAutoRun" = "1" 
  Clave:  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 
  Valor:  "NoDriveTypeAutoRun" = "181"

El gusano modifica la siguiente entrada del registro para ocultar su presencia: 

  Clave:  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 
  Valor:  "CheckedValue" = "145"

Elimina algunas entradas del registro para evitar que se pueda reiniciar el ordenador en modo seguro.

Recopila información confidencial del ordenador ifectado, especialmente de cuentas de Skype, para enviarla a una dirección remota.

Otros detalles

El gusano está programado para poder utilizar 18 idiomas distintos dependiendo de la configuración de idioma de la plataforma.

Arriba

Contramedidas

Desinfección

  • Si utiliza Windows Me , XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ´Restauración del Sistema´ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista .

  • En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me . A continuación siga estos pasos para la eliminación del virus:

    1. El gusano modifica algunas entradas del registro para impedir que se pueda reiniciar en Modo Seguro, por lo que tendrá que reiniciar el ordenador de forma normal.

    2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos .

      Elimine los siguientes ficheros:

      • %System%\[- Nombre aleatorio -].exe
      • %Temp%\[- Nombre aleatorio -].exe

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
      Por defecto es C:\Windows\temp (Windows 98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\[usuario]\local settings\temp (Windows XP).

      Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
      En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/ Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE .

    4. Recupere el registro de Windows de una copia de seguridad. En caso de que no sea posible, realice los pasos expuestos a continuación. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

      1. Elimine manualmente las entradas del registro que impiden acceder al mismo, para ello, siga estos pasos:

        1. Acceda al Intérprete de Comandos. Para ello vaya a 'Inicio -> Ejecutar' y teclee "CMD" -sin las comillas-.
        2. Escriba las siguientes instrucciones:
          reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
          reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegistryTools /f
        3. Salga del Intérprete de Comandos

      2. Elimine las siguientes entradas: 

          Clave:  HKLM\software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 
          Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
          Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe 
          Clave:  HKLM\software\Microsoft\Windows\CurrentVersion\Run\ 
          Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
          Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe 
          Clave:  HKLM\software\Microsoft\Windows\CurrentVersion\RunOnce\ 
          Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
          Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe 
          Clave:  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ 
          Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
          Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe 
          Clave:  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ 
          Valor:  [-  Nombre aleatorio  -] = %System%\[-  Nombre aleatorio  -].exe 
          Valor:  [-  Nombre aleatorio  -] = %Temp%\[-  Nombre aleatorio  -].exe
      3. Modifique las siguientes entradas del registro, que tenga en su equipo, al valor que tuviesen anteriormente, a continuación se indican sus valores por defecto: 
          Clave:  HKLM\SOFTWARE\Microsoft\Windows\Security Center 
          Valor:  "FirewallDisableNotify" = 1 si se quiere que no muestren las notificaciones o 0 si se prefiere que sí que se muestren 
          Valor:  "FirewallOverride" = 1 si se quiere deshabilitar el monitoreo del cortafuegos de Windows o 0 si se quiere tener activado. 
          Clave:  HKLME\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 
          Valor:  "EnableLUA" = 1 
          Clave:  HKLM\SOFTWARE\Microsoft\Windows\Security Center 
          Valor:  "UpdatesDisableNotify" = "0" 
          Valor:  "AntiVirusDisableNotify" = "0" 
          Valor:  "AntiVirusOverride" = "0" 
          Clave:  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer 
          Valor:  "NoDriveTypeAutoRun" = "255" 
          Clave:  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 
          Valor:  "NoDriveTypeAutoRun" = "255" 
          Clave:  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 
          Valor:  "CheckedValue" = "1"
      4. El virus elimina entradas del registro para impedir que el ordenador se pueda reiniciar adecuadamente en Modo Seguro o a Prueba de Fallos, es necesario que estas entradas vuelvan a ser restauradas adecuadamente para poder iniciar el ordenador de esta forma.

    5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.

    6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

Arriba