A si es como leen mis amigos de usuarios un nuevo virus programado se ha lanzado para los sistemas windows xp pero apuesto que unos ya saben que estas tradiciones, son el pan de cada dia para esos paieses desarrollados.
El virus Morto se propaga por la red creando enlaces remotos como el del escritorio y otras conexiones lo cual se hace peligroso y aun mas por que los antivirus que son casi la mayoria incluyendo NOD32 y AVAST no lo detectan.
El virus en si ataca a las claves adivinandolas empezando por admin admin32 y las que siguen son mas de 32 claves que tiene para romper la seguridad en windows xp vista y windows 7.
El virus Morto se propaga por la red creando enlaces remotos como el del escritorio y otras conexiones lo cual se hace peligroso y aun mas por que los antivirus que son casi la mayoria incluyendo NOD32 y AVAST no lo detectan.
El virus en si ataca a las claves adivinandolas empezando por admin admin32 y las que siguen son mas de 32 claves que tiene para romper la seguridad en windows xp vista y windows 7.
Detalles técnicos
Peligrosidad: 4 – Alta
[Explicación de los criterios]
Difusión:
Alta Daño: Alto Dispersibilidad: Alta Fecha de alta: 30/08/2011
Última actualización: 30/08/2011
Nombre intacto del virus: Worm.Multi/Morto@Otros Tipo de código: Worm Programa que se replica copiándose integral (sin infectar otros ficheros) en la máquina infectada, y a través de redes de reglaadores.
Plataformas afectadas: Multi: Afecta a las plataformas W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 / W64 Microsoft Windows de 64 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003
Capacidad de residencia permanente: Sí. Se ejecuta automáticamente en cada reinicio del régimen.
Propagación
Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al régimen de las siguientes maneras:
Otro mecanismo de propagación
Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una hoja Web infectada.
Descargarlo de algún programa de compartición de ficheros (P2P).
Como defenderse de el virus Morto. | Creado por Toushiro Hitsugaya |.
Acontinuación explicare que hacer para defenderse de este virus en caso que lo tengan y para los que no lo tienen le serviran los siguientes pasos para cautelar la infección y de otros más que vayan sacando. Actualmente el virus Morto se creo en Ubuntu pero les dire como reirnos de ese virus.
1.- Vamos a deshabilitar las siguientes jiróns para que se cancelen las creaciones remotas. abran Inicio – Panel de inspección – Herramientas administrativas – Servicios. <– cuando lleguen ahi busquen estas y denle click derecho propiedades y pongan la opcion deshabilitar.
* Acceso a dispositivo de interfaz humana
* Administrador de comunicado automática de acceso inmemorial
* Administrador de comunicado de acceso inmemorial
* Administrador de concilio de Ayuda de escritorio inmemorial
* Ayuda de NetBIOS sobre TCP/IP
* Conexiones de red
* Enrutamiento y acceso inmemorial
* Escritorio inmemorial compartido de NetMeeting
* Estación de trabajo
* Localizador de llamadas a marcha inmemorial (RPC)
* Mensajero
* Programador de tareas
* Proveedor de compatibilidad con esperanza LM de Windows NT
* QoS RSVP
* Registro inmemorial
* Servicio de uso compartido de red del Reproductor de Windows Media
* Servicios de Terminal Server
* Servidor
* Tarjeta inteligente
* Telefonía
* Telnet
* Windows CardSpace* Windows Remote Management (WS-Management)
Una vez acto las cancelaciones remotas pasaremos a el registro de windows para alterar el scripting host que ejecuta vbs exe y entre otras más es la manantial de los virus para apoderarse de su régimen y esto no daña windows por si tienen dudas. Pasemos a la clave para deshabilitar esa funcion. para ello abran inicio y denele decapitar. Nota si no aparece aprieta sin zafar la tecla de la ventanita de windows y preciona R una ves se abrira decapitar. Escriban regedit y vayan a esta clave
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Script HostSettings <—- Cuando lleguen a windows scripting host desplieguen la rama y denle settings y ahi denle click izquierdo y busquen la clave llamada Enable cuyo coraje alteraremos por 0 el cero bloquea la auto ejecucion.
Si lo quieren mas facil abran block de notas y copeen y peguen lo siguiente.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Script Host]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Script HostSettings]
“DisplayLogo”=”1″
“ActiveDebugging”=”1″
“SilentTerminate”=”0″
“UseWINSAFER”=”1″
“Enabled”=dword:00000000
denle cualquier nombre al resultado término pongan .reg ejemplo asi Respaldo.reg denle custodiar y listo dos clicks y ya esta.
les dejare mas clavez para que esten a la regla amigos asi que aqui van. el autorun deshabilitado.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
“NoDriveTypeAutoRun”=dword:000000ff
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
“NoDriveTypeAutoRun”=dword:000000ff
Esta siguiente clave es para optimizar el windows xp sirve en vista en windows 7 no lo he provado pero pueden intentarlo.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management]
“ClearPageFileAtShutdown”=dword:00000000
“DisablePagingExecutive”=dword:00000001
“NonPagedPoolQuota”=dword:00000000
“NonPagedPoolSize”=dword:00000000
“PagedPoolQuota”=dword:00000000
“PagedPoolSize”=dword:00000000
“SystemPages”=dword:0001b000
“PagingFiles”=hex(7):43,00,3a,00,5c,00,70,00,61,00,67,00,65,00,66,00,69,00,6c,
00,65,00,2e,00,73,00,79,00,73,00,20,00,35,00,31,00,32,00,20,00,31,00,30,00,
32,00,34,00,00,00,00,00
“PhysicalAddressExtension”=dword:00000000
“SessionViewSize”=dword:00000030
“SessionPoolSize”=dword:00000004
“SessionImageSize”=dword:00000010
“WriteWatch”=dword:00000001
“LargeSystemCache”=dword:00000001
“IoPageLockLimit”=dword:00012288
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory ManagementPrefetchParameters]
“VideoInitTime”=dword:00000461
“AppLaunchMaxNumPages”=dword:00000fa0
“AppLaunchMaxNumSections”=dword:000000aa
“AppLaunchTimerPeriod”=hex:80,69,67,ff,ff,ff,ff,ff
“BootMaxNumPages”=dword:0001f400
“BootMaxNumSections”=dword:00000ff0
“BootTimerPeriod”=hex:00,f2,d8,f8,ff,ff,ff,ff
“MaxNumActiveTraces”=dword:00000008
“MaxNumSavedTraces”=dword:00000008
“RootDirPath”=”Prefetch”
“HostingAppList”=”DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE”
“EnablePrefetcher”=dword:00000005
aumentar cache de windows.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters]
“CacheHashTableBucketSize”=dword:00000001
“CacheHashTableSize”=dword:00000180
“MaxCacheEntryTtlLimit”=dword:0000fa00
“MaxSOACacheEntryTtlLimit”=dword:0000012d
Peligrosidad: 4 – Alta
[Explicación de los criterios]
Difusión:
Alta Daño: Alto Dispersibilidad: Alta Fecha de alta: 30/08/2011
Última actualización: 30/08/2011
Nombre intacto del virus: Worm.Multi/Morto@Otros Tipo de código: Worm Programa que se replica copiándose integral (sin infectar otros ficheros) en la máquina infectada, y a través de redes de reglaadores.
Plataformas afectadas: Multi: Afecta a las plataformas W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 / W64 Microsoft Windows de 64 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003
Capacidad de residencia permanente: Sí. Se ejecuta automáticamente en cada reinicio del régimen.
Propagación
Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al régimen de las siguientes maneras:
Otro mecanismo de propagación
Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una hoja Web infectada.
Descargarlo de algún programa de compartición de ficheros (P2P).
Como defenderse de el virus Morto. | Creado por Toushiro Hitsugaya |.
Acontinuación explicare que hacer para defenderse de este virus en caso que lo tengan y para los que no lo tienen le serviran los siguientes pasos para cautelar la infección y de otros más que vayan sacando. Actualmente el virus Morto se creo en Ubuntu pero les dire como reirnos de ese virus.
1.- Vamos a deshabilitar las siguientes jiróns para que se cancelen las creaciones remotas. abran Inicio – Panel de inspección – Herramientas administrativas – Servicios. <– cuando lleguen ahi busquen estas y denle click derecho propiedades y pongan la opcion deshabilitar.
* Acceso a dispositivo de interfaz humana
* Administrador de comunicado automática de acceso inmemorial
* Administrador de comunicado de acceso inmemorial
* Administrador de concilio de Ayuda de escritorio inmemorial
* Ayuda de NetBIOS sobre TCP/IP
* Conexiones de red
* Enrutamiento y acceso inmemorial
* Escritorio inmemorial compartido de NetMeeting
* Estación de trabajo
* Localizador de llamadas a marcha inmemorial (RPC)
* Mensajero
* Programador de tareas
* Proveedor de compatibilidad con esperanza LM de Windows NT
* QoS RSVP
* Registro inmemorial
* Servicio de uso compartido de red del Reproductor de Windows Media
* Servicios de Terminal Server
* Servidor
* Tarjeta inteligente
* Telefonía
* Telnet
* Windows CardSpace* Windows Remote Management (WS-Management)
Una vez acto las cancelaciones remotas pasaremos a el registro de windows para alterar el scripting host que ejecuta vbs exe y entre otras más es la manantial de los virus para apoderarse de su régimen y esto no daña windows por si tienen dudas. Pasemos a la clave para deshabilitar esa funcion. para ello abran inicio y denele decapitar. Nota si no aparece aprieta sin zafar la tecla de la ventanita de windows y preciona R una ves se abrira decapitar. Escriban regedit y vayan a esta clave
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Script HostSettings <—- Cuando lleguen a windows scripting host desplieguen la rama y denle settings y ahi denle click izquierdo y busquen la clave llamada Enable cuyo coraje alteraremos por 0 el cero bloquea la auto ejecucion.
Si lo quieren mas facil abran block de notas y copeen y peguen lo siguiente.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Script Host]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Script HostSettings]
“DisplayLogo”=”1″
“ActiveDebugging”=”1″
“SilentTerminate”=”0″
“UseWINSAFER”=”1″
“Enabled”=dword:00000000
denle cualquier nombre al resultado término pongan .reg ejemplo asi Respaldo.reg denle custodiar y listo dos clicks y ya esta.
les dejare mas clavez para que esten a la regla amigos asi que aqui van. el autorun deshabilitado.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
“NoDriveTypeAutoRun”=dword:000000ff
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
“NoDriveTypeAutoRun”=dword:000000ff
Esta siguiente clave es para optimizar el windows xp sirve en vista en windows 7 no lo he provado pero pueden intentarlo.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management]
“ClearPageFileAtShutdown”=dword:00000000
“DisablePagingExecutive”=dword:00000001
“NonPagedPoolQuota”=dword:00000000
“NonPagedPoolSize”=dword:00000000
“PagedPoolQuota”=dword:00000000
“PagedPoolSize”=dword:00000000
“SystemPages”=dword:0001b000
“PagingFiles”=hex(7):43,00,3a,00,5c,00,70,00,61,00,67,00,65,00,66,00,69,00,6c,
00,65,00,2e,00,73,00,79,00,73,00,20,00,35,00,31,00,32,00,20,00,31,00,30,00,
32,00,34,00,00,00,00,00
“PhysicalAddressExtension”=dword:00000000
“SessionViewSize”=dword:00000030
“SessionPoolSize”=dword:00000004
“SessionImageSize”=dword:00000010
“WriteWatch”=dword:00000001
“LargeSystemCache”=dword:00000001
“IoPageLockLimit”=dword:00012288
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory ManagementPrefetchParameters]
“VideoInitTime”=dword:00000461
“AppLaunchMaxNumPages”=dword:00000fa0
“AppLaunchMaxNumSections”=dword:000000aa
“AppLaunchTimerPeriod”=hex:80,69,67,ff,ff,ff,ff,ff
“BootMaxNumPages”=dword:0001f400
“BootMaxNumSections”=dword:00000ff0
“BootTimerPeriod”=hex:00,f2,d8,f8,ff,ff,ff,ff
“MaxNumActiveTraces”=dword:00000008
“MaxNumSavedTraces”=dword:00000008
“RootDirPath”=”Prefetch”
“HostingAppList”=”DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE”
“EnablePrefetcher”=dword:00000005
aumentar cache de windows.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters]
“CacheHashTableBucketSize”=dword:00000001
“CacheHashTableSize”=dword:00000180
“MaxCacheEntryTtlLimit”=dword:0000fa00
“MaxSOACacheEntryTtlLimit”=dword:0000012d
Ya para liquidar todo por completo bajen el programa xp-AntiSpy es falcil de manejar asi que no deberia de existir dificultades cada vez que seleccionen se abre un dialogo con la descripcion donde tu escojes cual marcar y cual no. aparte es gratis y sin ningun problema todo legal.
Cuando ayas manejado el programa bajen anti malware bytes que lo en cuentran aqui en gratisprogramas.org para escanear el ordenador. depende de los resultados bajen el hitman pro 3 5 para que le den scan y listo ya asi se aseguran de que no aya mas restos del parasito Morto.
Espero que les aya gustado el tutorial de defenza informativo y pues espero sus saludos nos vemos y aqui andare para ayudar sobre esos virus actuales, Nos vemos y hasta la proxima.
Aqui les dejo el enlace con toda la informacion sobre el virus morto.
Se me olvidaba que bajen ghost wall es un firewall para los windows de ahi tiene informacion para añadir el nombre del virus, puerto y direcciones ips remotas que use asi es como se puede ganarle a ese virus de moda espero sea de mucha importancia esta ultima agregada hehehe
Enlace
Yeah he desarrollado el bat que destruye parte de morto y hay reg que configura el estado anterior genial
descargen esto Kit Anti Morto.zip <–Creado por mi tambien disfruten de la ayuda y ayuden a otros
Aclaracion: este tutorial no lo hice yo todos los creditos a xToushirox
0 comentarios:
Publicar un comentario