ALERTAS EN FORO DE EMERGENCIA - 9

Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

ALERTAS EN FORO DE EMERGENCIA - 9

Mensaje por msc hotline sat » 30 Abr 2004, 16:25

NUEVO VIRUS NO CONTROLADO QUE SE PROPAGA EN LA RED







Autor Tema

msc hotline sat

Administrator





España

5003 Mensajes Enviado el 30/04/2004 : 10:25:51

--------------------------------------------------------------------------------

Acabamos de enviar a McAfee una nueva muestra de virus no controlado, que se está propagando por las redes de los usuarios afectados, y los antivirus todavía no lo conoce,



Hemos visto que genera en el directorio de sistema el fichero CSRSSS.EXE , fijarse en las tres S finales, que lo diferencian del normal del sistema operativo, CSRSS.EXE con solo dos S, que está en los XP y W2000 en el mismo directorio, y del que genera el virus NetSky.AB con el mismo nombre pero el NetSky lo hace en el directorio de windows, no en el de sistema.



Como que hemos visto semejanzas con el virus SPYBOT ya controlado anteriormente, suponiendo que McAfee lo incluirá en la deteccion como una variante del mismo, para la eliminacion y control lo hemos añadido a la utilidad ELISLUTA.EXE , que se subirá a esta web cuando tengamos acceso al foro habitual.



De momento indicar que crea Claves de registro HKLM...RUN y RUNSERVICES ejecutando el CSRSSS.EXE en cada inicio de windows.



Deteniendo el servicio del fichero indicado, eliminando dichas claves y borrando los ficheros CSR de las tres S (CSRSSS.EXE) se elimina dicho virus, pero se debe hacer con las máquinas desconectadas de la red y no conectarlas de nuevo entre sí hasta que se haya eliminado de todas las máquinas.



Se trata de un virus BOT, esto es, entra por comparticiones bien administrativas o por IRC . Ver al respecto informacion sobre eliminacion de comparticiones administrativas en:



http://www.satinfo.es/web/2003/comparticions.html



Aparte se recuerda la necesidad de tener los parches de microsoft atualizado, lo cual puede hacerse conectando con http://www.windowsupdate.com y en particular para los virus de RPCDCOM, se recuerda la conveniencia de tener aplicado el MS04-012, lo cual puntualmente puede hacerse accediendo a: http://www.microsoft.com/en/us/default.aspxspain/technet/seguridad/boletines/ms04-012-it.asp

Este y el MS04-004, acumulativo para el Internet Explorer se recomiendan en especial, por ser acumulativos de los anteriores correspondientes, si bien todos los demás son tambien recomendables.



Cuando dispongamos de mas informacion de este virus, informaremos como respuesta de este Tema.



Como comentario añadido, cabe indicar que el virus en memoria detiene servicios, por lo que no puede editarse el REGEDIT para eliminar las claves, si el proceso CSRSSS está activo. Primero debe detenerse dicho servicio pulsando CTRL SHIFT ESC y marcar el CSRSSS y eliminarlo (cuidado con no eliminar el normal de las dos S !!!)



saludos



ms, 30-04-2004

Cerrado

Volver a “ALERTAS VIRICAS y utilidades de eliminacion”