Agent.QEF
Gusano que se propaga por programas de mensajería instantánea, mostrando un mensaje que incluye un enlace malicioso.
Detalles técnicos
Peligrosidad:3 – Media
Nombre completo del virus: Worm.W32/Agent.QEF@IM
Tipo de código: Worm
Gusano que se propaga por programas de mensajería instantánea, mostrando un mensaje que incluye un enlace malicioso.
Peligrosidad:3 – Media
Nombre completo del virus: Worm.W32/Agent.QEF@IM
Tipo de código: Worm
Plataformas afectadas: W32
Plataformas de test: Microsoft Windows XP
Fichero implicado: nvsvc32.exe
Alias:
Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM.
Cuando Agent.QEF se ejecuta, realiza las siguientes acciones:
Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun2 Valor: NVIDIA driver monitor = %Windir%nvsvc32.exe
Crea la siguiente entrada del registro
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionTracingMicrosoftNAPNetsh Valor: ControlFlags = 1
Crea la siguiente entrada del registro para ejecutarse automáticamente en cada reinicio del sistema
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRun Valor: NVIDIA driver monitor = %Windir%nvsvc32.exe
Crea la siguiente entrada del registro
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionTracingMicrosoftNAPNetshNapmontr Valor: BitNames = NAP_TRACE_BASE NAP_TRACE_NETSH1
Crea la siguiente entrada del registro para ejecutarse automáticamente en cada reinicio del sistema
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun Valor: NVIDIA driver monitor = %Windir%nvsvc32.exe
Crea la siguiente entrada del registro
Clave: HKLMSOFTWAREMicrosoftTracingFWCFG Valor: FileDirectory = %windir%tracing
Crea la siguiente entrada del registro
Clave:HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList Valor: c:test_item.exe = c:windowsnvsvc32.exe:*:Enabled:NVIDIA driver monitor
Crea el siguiente mutex para impedir que se ejcute múltiples veces
Nota: Un ‘mutex’ es un objeto utilizado para controlar el acceso a recursos -cualquier tipo de programas, aplicaciones, etc.- y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del código malicioso en memoria.
Elimine el siguiente fichero:
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:Winnt (Windows NT/2000) o C:Windows (XP/Vista y 7).
Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Elimine las siguientes entradas del registro:
Claves: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Valor: NVIDIA driver monitor = %Windir%nvsvc32.exe
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionTracingMicrosoftNAPNetsh Valor: ControlFlags = 1
Clave: HKLMSOFTWAREMicrosoftTracingFWCFG Valor: FileDirectory = %windir%tracing
Clave:HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList Valor: c:test_item.exe = c:windowsnvsvc32.exe:*:Enabled:NVIDIA driver monitor
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionTracingMicrosoftNAPNetshNapmontr Valor: BitNames = NAP_TRACE_BASE NAP_TRACE_NETSH
0 comentarios
Deja un comentario