acerca de
contacto
términos y condiciones
glosario
  > buscador
 
  > búsqueda avanzada
 principal
 alertas
 listas de correo
 noticias
 bulos
 enciclopedia
 virus
 envío de muestras
 para webmasters
Herramientas contra:
 

(c) Paolo Monti
  Enciclopedia Virus
es una página de
 >  VIRUS: WIN32/GINWUI.B
  descripción
  nombre: Win32/Ginwui.B
  aliases: Ginwui.B, Backdoor.Ginwui.B, BKDR_GINWUI.B, Win32/Ginwui.B
  tipo: Troyano
  fecha: 20/05/2006
  gravedad general:
Media
  distribución:
Media
  daño:
Medio
  tamaño: 27,648 Bytes
  destructivo: No
  origen: Desconocido
  nombre asignado por: ESET

 >  INFORMACION
Troyano que es liberado por el exploit que afecta a Microsoft Word, detectado por NOD32 como Win32/Exploit.MSWord.1Table.

 >  CARACTERISTICAS

Cuando el exploit es abierto por el usuario,crea los siguientes archivos:

  c:\windows\system32\zsyhide.dll
  c:\windows\system32\zsydll.dll

Intenta inyectar el archivo ZSYDLL.DLL en el proceso del Internet Explorer, esto puede causar que el programa deje de funcionar.

Para ejecutarse en cada reinicio de Windows, crea las siguientes entradas:

  HKLM\SOFTWARE\Microsoft\Windows NT
  \CurrentVersion\Windows
  AppInit_DLLs = c:\windows\system32\zsyhide.dll

  HKLM\SOFTWARE\Microsoft\Windows NT
  \CurrentVersion\Winlogon\Notify\zsydll
  dllname = c:\windows\system32\zsydll.dll

ZSYHIDE.DLL contiene rutinas de un troyano de acceso remoto que permiten a un usuario remoto acceder al equipo infectado.

El troyano intenta acceder a la siguiente dirección:

  http: // scfzf .xicp .net/

Aplica técnicas de rootkit para ocultar el archivo ZSYHIDE.DLL y las entradas creadas en el registro.

Los siguientes comandos pueden ser ejecutados por un atacante remoto:

  Obtener información del sistema infectado
  Ejecutar un shell (cmd.exe -consola de comandos-)
  Modificar el registro de Windows
  Crear, leer, escribir, borrar archivos
  Buscar archivos y  carpetas
  Modificar servicios
  Iniciar o detener procesos
  Listar las ventanas abiertas
  Reiniciar o cerrar Windows
  Enumerar recursos en red

 

 >  INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "AppInit_DLLs", en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft\Windows NT
  \CurrentVersion\Windows

6. Elimine bajo la columna "Nombre", la entrada "dllname", en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft\Windows NT
  \CurrentVersion\Winlogon\Notify\zsydll

7. Cierre el editor del Registro del sistema.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

 

 

 


ALERTAS | NOTICIAS | ENCICLOPEDIA | PARA WEBMASTERS
términos y condiciones | ayuda | contacto | acerca de
  > lista de correo...  
 

Introduzca su email y reciba las últimas noticias sobre virus.

  
   

  > alertas  
  Los más vistos:  
 
   Win32/Etap.E
 
 
   Win32/Mytob.PI
 
 
   Win32/Sober.Y
 
 
   Win32/Bagle.BI
 
 
   Win32/Sober.R
 

  > últimos virus  
  Últimos 5 virus, con sus descripciones:  
 
   09-12 | Win32/Etap.E
 
 
   09-12 | LockScreen.HW
 
 
   09-12 | LockScreen.JN
 
 
   14-05 | Spy.Swisyn.AC
 
 
   14-05 | Win32/Witkinat.B
 

  > ránking  
  5 virus más detectados por INTECO-CERT para PYMES y Ciudadanos:  
 
   Win32/Netsky.P  |  36.20 %
 
 
   Win32/Netsky.B  |  29.80 %
 
 
   Win32/Netsky.Q  |  6.60 %
 
 
   Bagle.FU  |  3.50 %
 
 
   Zafi.Gen  |  2.50 %
 
 
facilitado por     
 

  > sabías que...  
 

... malware constituye cualquier software escrito con intenciones maliciosas que se infiltre en un ordenador sin autorización.

 

ENCICLOPEDIA VIRUS 2002 - Todos los derechos reservados powered by