En los ultimos 2 días, he detectado que muchos de mis contactos del MSN Messenger me abrian una ventana de conversación con un texto similar al siguiente :
"Mira las fotos >>> http://hometown.aol.com.au/miralafoto/foto.exe" (puede variar)
Investigando he visto que se trata de un virus, no muy dañino pero si muy molesto. Lo primero como siempre es no pulsar en el enlace, ya que se descargará un programa malicioso en nuestro ordenador. Si ya has pulsado y lo has abierto... sigue leyendo esta noticia.
A continuación, os expongo una posible solución manual para desinfectar el virus. Desconozco si funciona o no, pero es la que mas extendida esta por internet ahora mismo.
Como sacar el molesto imagens001.exe
Para empezar, debemos saber que imagens001.exe es un Win32.TrojanDownloader.Banload.ID y es de bajo nivel (casi sin importancia, es molesto). Cuando ejecutas el archivo "imagens001.exe" se copia a %windir%system32service
avupdt.exe y luego baja un archivo JPG fake, que se guarda como services.exe.
También existe en esa carpeta el archivo services.exe que al abrirlo con note pad vemos que es el codigo fuente de una web con el titulo Brasil Online con varios textos, al final hay adjunto un archivo JavaScript que no tiene nada de malicioso a primera vista pero son direcciones que bloquea (todo antivirus on-line brasileños).
Archivo service.dll - Configuración
[VERSAO]
1
[MODULO]
http://mdcoco01.vila.bol.com.br/md_coco.jpg
http://mdcoco01.vila.bol.com.br/md_coco.jpg
[SMTP]
smtp.mail.yahoo.co.jp
smtps.uol.com.br
[CONTAS]
1:[email protected]:cpp171
2:[email protected]:cpp171
[DESTINO]
[email protected]
[EMAILS_CONTATOS]
[email protected]
[MensagemMSN]
Mira las fotos >>> http://hometown.aol.com.au/miralafoto/imagens001.exe
[END]
La solución para borrar el archivo/virus tan molesto es un poco complicada para aquellos que desconocen totalmente "este mundo"... Primero para saber seguro que el programa esta funcionando debemos usar el Administrador de Tareas de Windows (accedemos con Control+Alt+Supr), una vez ahi vamos a ver los procesos y los ordenamos por nombre de usuario de manera que veremos el programa "services.exe" ejecutado con el nombre de nuestro usuario (habrá otro como SYSTEM, que es el real). Debemos parar el "service.exe" ejecutado como nuestro usuario para que deje de causar molestias (pulamos Terminar proceso).
Ahora es hora de quitarlo de nuestro Microsoft Windows, para tal cosa deberemos reiniciar nuestro ordenador, pero a "Modo a Prueba de Fallos" (tambien conocido como "Modo Seguro"). Para reniciarlo a Modo Seguro deberemos pulasr repetidas veces F8 después de que nuestro ordenador chekee la memoria RAM (es un poco después pero es algo dificil contarlo). Nos saldra una lista de "boots", Modo Seguro, Modo Seguro con Funciones de red, Iniciar Windows normalmente... vamos a Modo Seguro, el primero de todos. Cargará nuestro Windows y nos saldra la pantalla para escojer la cuenta con la que iniciar, selecionad Administrador.
Ya vemos nuestro escritorio, aunque es algo diferente, ¿verdad? :P Ahora vamos a nuestro Disco Duro donde tenemos Windows (por defecto es C: y la carpeta WINDOWS). De tal modo que accedemos a WindowsSystem32service y ahi veremos varios archivos y eso significa que debemos borrarlos al completo para que no se ejecuten de nuevo.
Creo que esta es la manera mas sencilla de describir como "neutralizar" este molesto virus inofensivo.
Atentamente,
-- Isern Palaus
Contacto: [email protected] // [email protected]
Espero que os sirva tanto a aquellos que no os habeis infectado para preveniros, como a aquellos que si lo estabais para desinfectaros.