Visita el Blog de Virus Attack!
 Hacer página de inicio  Agregar a Favoritos  Recomendar a Amigo  Contacto  Ayuda

Usuario: 
Clave: 

  Portada
  Alertas
  Hoaxes
  Scams
  Ránking
  Parches
  Antivirus
  Sorteos
  Webmasters
  Base de datos
  Scan on line
  Herramientas
  Download
  Enviar Ejemplo
  Boletín de Noticias
  Listas de correo
  Anuario
  Noticias
  Artículos
  Entrevistas
  Documentos
  FAQ´s
  Acerca de
  Publicidad
  Links
  Sitios Afiliados
  Colaborar
  Contáctanos
  Enlázate
  Ayuda
  Menciones



¡Afiliate YA!
  CordobaHack
  CPCIPC
  Cyberpirata.com
  Dkl Emu ! Argentina
  eBookHackers
  Genocida
  Grupo Nexial
  Hackers Domains
  Programas Gratis
  Xombra Website

¡Afiliate YA!



BUSCAR:
 
  VIRUS
W32/Kergez
Nombre:  W32/Kergez
Aliases:  W32/Kergez.A, W32.Kergez.A@mm, I-Worm.Kergez, Backdoor.Kergez
Variantes:  Ninguna
Fecha de Descubrimiento:  06/08/2003
Tipo:  Gusano de internet - Troyano
Gravedad:  Baja
Origen:  Desconocido
Información:  Se propaga por correo electrónico e intenta instalar un componente de puerta trasera. Finaliza procesos de antivirus o otros softwares.
Características:  El virus puede llegar en un mensaje de correo electrónico con las siguientes características:

Asunto:

Are you vulnerable to identity theft!
Cleans and removes infected files
InternetExplorer security patch
Kisacasi AntiVirusleri update etmeyi unutmayin ;)
Microsoft Software Update Services
Now its even easier to reduce spam
Online hackers
Position Virus Percentage by Occurrence...
Protects against Trojans hackers
Protects against viruses
Protects against viruses, worms, Trojans & hackers.
Saves money with 12 months of fast free antivirus updates
The easy, automatic way to keep your PC virus free

Cuerpo:

WARNING! Sophos: The update includes an array of
new functions and improvements: ...

WARNING! Norton Antivirus: Object scanning
optimization for improved performance Additional
functionality for checking files compressed...

WARNING! Kaspersky Labs announces the regularly
scheduled release of the Kaspersky Anti-Virus
cumulative database update.

WARNING! The percentage shown represents the
percentage of registered incidences. Position
Virus Percentage by Occurrence...

WARNING! Get the ultimate in protection with our
newly updated Junk Mail Filter!

WARNING! Especially over high-speed broadband
connections, Internet hackers and identity thieves
feast on unguarded PC connections (maybe yours) to
steal passwords, credit card numbers and personal
ID. Even turn your machine into a zombie to attack
others.

WARNING! Be safe, be smart! Never surf the Net
without a Personal Firewall Plus barrier between
your hard drive and hostile cyber traffic.

WARNING! Online hackers know more than 2500 ways to
break into naked unprotected PC systems.In seconds
they steal private files credit card statements tax
records passwords even Social Security Numbers

WARNING!Microsoft Software Update Services is
designed to greatly simplify the process of keeping
Windows-based systems up-to-date with the latest
critical updates.SUS enables administrators to
quickly and reliably deploy critical updates to
their Windows 2000-based servers and Windows
2003-based servers as well as desktop computers
running Windows 2000 Professional or Windows XP
Professional.

WARNING!Are you vulnerable to identity theft!

Archivo adjunto:

Antivir.Exe
Bullguard_patch.Exe
Ddos_kill.Exe
Dos_protect.Exe
Flood_protect.Exe
Fprot_patch.Exe
Internet_speed.Exe
Internetworm_clean.Exe
Kaspersky_patch.Exe
Norton_patch.Exe
Pantaantivirus_patch.Exe
Protect.Exe
Security.Exe
Sophos_patch.Exe
Trendmicro_patch.Exe
Virus_block.Exe
Virus_cleaner.Exe
Virus_guard.Exe
Virus_hunter_ii.Exe
Virus_research.Exe
Virusun_ensesine_tokat.Exe
Winxp_virus_patch.Exe

Al ser ejecutado, el archivo systray_.exe es ejecutado en el directorio C:\Windows. Luego es creado el valor Systray = c:\windows\systray_.exe bajo la clave KLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Además, en la clave HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices es agregado el valor Cekirge = c:\windows\systray_.exe. De esta manera el virus es ejecutado en cada inicio de Windows.

Es creado además un Script de Visual Basic de nombre Uslu_cekirge.vbs el cual genera y ejecuta un servidor de acceso remoto con el nombre Cerkirge.exe. Luego, éste último se copia en el directorio C:\Windows\System con el nombre Cekirge.scr.

Para poder ejecutarse en cada inicio del equipo es agregada la siguiente linea en el archivo Win.ini:

[windows]
run = c:\windows\system\cekirge.scr

Para evitar ser detectado o detenido, el virus verifica que los siguientes procesos no se estén ejecutando. Si alguno de ellos es encontrado será finalizado:

Alarm
Anti
Avg.Exe
Avgscan.Exe
Avgw.Exe
Avp32.Exe
Avpm.Exe
Avpupd.Exe
Avxgui.Exe
Avxsch.Exe
Blackice.Exe
Check
Clean
Firewall
F-Prot
F-Prot.Exe
Fp-Win.Exe
Guard
Kaspersky
Mcafee
Mgui.Exe
Msconfig.Exe
Navapw32.Exe
Navw32.Exe
Nmain.Exe
Norton
Panda
Pavsched.Exe
Regedit.Exe
Secure
Zonealarm.Exe

Al finalizar serán enviados mensajes como los mostrados al comienzo de esta descripción a todas las direcciones de correo electrónico que sean encontradas en archivos con extensiones:

.asp
.htm
.html

También en archivos dentro de las carpetas indicadas en la siguiente clave del registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders

Estas carpetas generalmente son las siguientes (entre otras):

C:\Mis documentos
C:\Mis documentos\Mi música
C:\Mis documentos\Mis imágenes
C:\Mis documentos\Mis vídeos
C:\Windows\Application data
C:\Windows\Archivos temporales de internet
C:\Windows\Escritorio
C:\Windows\Favoritos
C:\Windows\Menú inicio
C:\Windows\Menú inicio\Programas
C:\Windows\Menú inicio\Programas\Inicio
C:\Windows\Plantillas
C:\Windows\Recent
Para eliminarlo:  Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí.

Ejecute un antivirus actualizado y borre los archivos infectados.

Edite las siguientes claves del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Y borre la siguiente entrada:

Systray

Edite la siguiente clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Y borre la siguiente entrada:

Cekirge

Edite el archivo WIN.INI (desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter).

Borre la siguiente entrada bajo la etiqueta [Windows]:

run = c:\windows\system\cekirge.scr

Reinicie su computadora y ejecute un antivirus actualizado.
Agregado el:  08/08/2003
Modificado el:  //
BOLETIN DE NOTICIAS:
  
ALERTAS  
W32/Cuydoc: Solo infecta versiones en Español de Windows. Es capaz de eliminar todos los archivos .doc de Mis documentos y copiarse a la unidad A: si algún disquete es encontrado.
W32/IRCBot.B: Se trata de una variante de la familia SDBot. Fue detectado propagándose a través del correo electrónico, como spam, pero no tiene ninguna rutina para propagarse por ese medio. En cambio, puede ser distribuido a través de los canales de IRC.


ENCUESTAS  
¿Qué antivirus utiliza?
Ver todas las encuestas
HOAXES  
  InMoRtALLeTtEr666   
  Matrix.pps   
  Aflino   
Ver nuestro listado de falsas alarmas
RANKING  
Virus más reportados en los últimos 30 días:
 
PARCHES  
Parche acumulativo para Internet Explorer  
Vulnerabilidad en Visual Basic para Aplicaciones permite ejecución de código arbitrario   
Vulnerabilidad permite que Macros se ejecuten automáticamente en Microsoft Word  
Ver nuestro listado de parches
WEBMASTERS  
Podés incorporar nuestras noticias y alertas en tu sitio:
VAIYS: ¡gratis y sin programación adicional!
ACTUALIZACIONES  
AVAST y AVAST32
AVG
BitDefender
CSAV
Dr. Solomon's AVTK
ESafe
Eset NOD32
F-Secure
IBM Antivirus
InnoculateIT
Kaspersky Antivirus (AVP)
McAfee VirusScan
Norman Virus Control
Norton Antivirus
QuickHeal
Panda Antivirus
PcCillin
Sophos Antivirus
0