Nombre: Quatim.P
Nombre NOD32: Win32/Quatim.P
Tipo: Gusano de Internet
Alias: Quatim.P, Trojan/Downloader.AutoIt.d, TrojanDownloader.Agent.axn, TrojanDownloader.Win32.AutoIt.480, W32/Quatim.C, Win32/Quatim.P, Worm.AutoIT.TermeX.A, Worm/AutoIT.TermeX.A.4
Fecha: 3/nov/06
Plataforma: Windows 32-bit
Tamaño: 181,255 bytes (UPX)
Gusano que se propaga a través de programas de mensajería instantánea como AOL Instant Messenger, Windows Live Messenger, Windows Messenger y Yahoo Messenger, enviando mensajes como los siguientes a todas las listas de contacto del usuario infectado:
A new dangerous computer virus that can destroys all your
data has just been released . Click here to know how to
avoid it : [enlace] <<
Cac ban co the tranh bi nhiem cac loai virus online gan day
bang cach update Windows . Vao day de biet cach Update Win
ma ko can ban quyen Windows xin: [enlace]
cool girls : [enlace] :x:x:x:x:x
check this link for me : [enlace] . Why I cannot surf this
site ???
damn, she is so cute :x [enlace] :x:x:x:x:x
di'nh virus ru`i =)) du`ng cai nay ma diet na`y : [enlace]
Download free MP3s : [enlace] <<
ha'i dek chiu dc =)) [enlace] =)) =))
have you ever seen such a silly man like this ? [enlace]
=))
Just check out my new personal website : [enlace] C00l !!!
Let's vote for Miss Vietnam - Mai Phuong Thuy - for the
upcoming Miss World championship : [enlace] !!
Let's vote for Vietnam's beauty - Mai Phuong Thuy - for the
upcoming Miss World competition : [enlace] :x !!
making money online never be easier : [enlace] >:D<
Now you can avoid some critical online viruses by updating
Windows . Click here to know how to Update your Windows :.
[enlace]
oh my god , i've won a 20000 usd lottery :O [enlace] . Come
to my house tonight for a party !! >:D<
the only way to clean some online viruses that may lead you
into troubles : [enlace] <<
wtf is this ? Wanna give me a shit ? [enlace] x-( <<
you are virus infected . Use this tool to remove viruses
from your PC : [enlace] <<
Si el usuario hace clic en el [enlace] incluido en cada mensaje, se descarga y ejecuta el gusano propiamente dicho, desde determinados sitios de Internet.
Cuando ello ocurre, se crea en el sistema uno de los siguientes archivos:
c:\windows\svchost32.exe
c:\windows\svhost32.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
El gusano crea o modifica las siguientes entradas en el registro, para cambiar la página de inicio del Internet Explorer, para evitar que se modifique la misma, y para autoejecutarse en cada reinicio del sistema, entre otras acciones:
HKCU\Software\Policies\Microsoft
\Internet Explorer\Control Panel
Homepage = "1"
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = "[dirección página Web]"
Window Title = "Viva TermeX !"
HKCU\Software\Yahoo\pager\View\YMSGR_buzz
content url = "[dirección página Web]"
HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast
content url = "[dirección página Web]"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Task Manager = "[camino y nombre del gusano]"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SVCHOST = "[camino y nombre del gusano]"
También desactiva el uso del editor del registro y el Administrador de tareas, modificando las siguientes entradas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
El gusano puede finalizar los siguientes procesos:
bdss.exe
Bkav2006.exe
IEProt.exe
vsserv.exe
Nombre NOD32: Win32/Quatim.P
Tipo: Gusano de Internet
Alias: Quatim.P, Trojan/Downloader.AutoIt.d, TrojanDownloader.Agent.axn, TrojanDownloader.Win32.AutoIt.480, W32/Quatim.C, Win32/Quatim.P, Worm.AutoIT.TermeX.A, Worm/AutoIT.TermeX.A.4
Fecha: 3/nov/06
Plataforma: Windows 32-bit
Tamaño: 181,255 bytes (UPX)
Gusano que se propaga a través de programas de mensajería instantánea como AOL Instant Messenger, Windows Live Messenger, Windows Messenger y Yahoo Messenger, enviando mensajes como los siguientes a todas las listas de contacto del usuario infectado:
A new dangerous computer virus that can destroys all your
data has just been released . Click here to know how to
avoid it : [enlace] <<
Cac ban co the tranh bi nhiem cac loai virus online gan day
bang cach update Windows . Vao day de biet cach Update Win
ma ko can ban quyen Windows xin: [enlace]
cool girls : [enlace] :x:x:x:x:x
check this link for me : [enlace] . Why I cannot surf this
site ???
damn, she is so cute :x [enlace] :x:x:x:x:x
di'nh virus ru`i =)) du`ng cai nay ma diet na`y : [enlace]
Download free MP3s : [enlace] <<
ha'i dek chiu dc =)) [enlace] =)) =))
have you ever seen such a silly man like this ? [enlace]
=))
Just check out my new personal website : [enlace] C00l !!!
Let's vote for Miss Vietnam - Mai Phuong Thuy - for the
upcoming Miss World championship : [enlace] !!
Let's vote for Vietnam's beauty - Mai Phuong Thuy - for the
upcoming Miss World competition : [enlace] :x !!
making money online never be easier : [enlace] >:D<
Now you can avoid some critical online viruses by updating
Windows . Click here to know how to Update your Windows :.
[enlace]
oh my god , i've won a 20000 usd lottery :O [enlace] . Come
to my house tonight for a party !! >:D<
the only way to clean some online viruses that may lead you
into troubles : [enlace] <<
wtf is this ? Wanna give me a shit ? [enlace] x-( <<
you are virus infected . Use this tool to remove viruses
from your PC : [enlace] <<
Si el usuario hace clic en el [enlace] incluido en cada mensaje, se descarga y ejecuta el gusano propiamente dicho, desde determinados sitios de Internet.
Cuando ello ocurre, se crea en el sistema uno de los siguientes archivos:
c:\windows\svchost32.exe
c:\windows\svhost32.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
El gusano crea o modifica las siguientes entradas en el registro, para cambiar la página de inicio del Internet Explorer, para evitar que se modifique la misma, y para autoejecutarse en cada reinicio del sistema, entre otras acciones:
HKCU\Software\Policies\Microsoft
\Internet Explorer\Control Panel
Homepage = "1"
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = "[dirección página Web]"
Window Title = "Viva TermeX !"
HKCU\Software\Yahoo\pager\View\YMSGR_buzz
content url = "[dirección página Web]"
HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast
content url = "[dirección página Web]"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Task Manager = "[camino y nombre del gusano]"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SVCHOST = "[camino y nombre del gusano]"
También desactiva el uso del editor del registro y el Administrador de tareas, modificando las siguientes entradas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
El gusano puede finalizar los siguientes procesos:
bdss.exe
Bkav2006.exe
IEProt.exe
vsserv.exe
No hay comentarios.:
Publicar un comentario