En las últimas horas una nueva variante de Win32/SdBot (NOD32) o W32.SillyIM (Symantec) ha estado propagándose muy rápidamente vía MSN Messenger. El mismo envía mensajes en español, inglés y portugués (según versiones), los siguientes son algunos de los textos transmitidos a los contactos del usuario infectado:
oye voy a poner esa foto de nosotros en mi myspace
jaja debes poner esa foto como foto principal en tu myspace o algo
jaja recuerda cuando tuviste el pelo asi
hola esas son las fotos
oye voy a agregar esa foto a mi blog yahey i’m going to add this picture of us to my weblog
Here are my private pictures for you
, al mismo tiempo intenta enviar un archivo comprimido en ZIP con alguno de los siguientes nombres:
IMG-0012.zip
Z058_jpg.zip
F0538_jpg.zip
p0017_jpg.zip
IMG0024.zip
, el cual contiene un ejecutable cuya extensión COM intenta ser disimulada colocando una URL en su nombre:
img0012-www.photostorage.com
www.p0017_jpg-msn.com
Cuando se ejecuta, se copia a sí mismo en el directorio:
c:\windows\system\lsass.exe (Tiene un tamaño aproximado de 25kb)
, copia el archivo ZIP dentro de:
c:\windows\IMG-0012.zip
y crea la siguiente entrada en el resgistro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = “c:\windows\system\lsass.exe”
NOTA: Algunos nombres de archivos y rutas pueden variar según la variante del virus, actualmente las detallas anteriormente son las que se he encontrado durante las pruebas realizadas.
Reparación manual
1 – Actualice su antivirus.
2 – Reinicie Windows en “Modo a prueba de fallos”
Si no sabe como hacerlo, puede leer esta pequeña guia de VSAntivirus:
http://www.vsantivirus.com/faq-modo-fallo.htm
3 – Elimine lo siguientes archivos:
c:\windows\system\lsass.exe (puede estar oculto)
c:\windows\IMG-0012.zip
4 – Elimine la siguiente clave del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = “c:\windows\system\lsass.exe”
5 – Ejecute su antivirus y analice su equipo en busca de malware.
6 – Reinicie su equipo.
7 – Vuelva a analizar su sistema con su antivirus.
También es recomendable que descargue y ejecute MSNCleaner con Windows en Modo a prueba de fallos, el mismo detecta y elimina este y otros virus/troyanos de común propagación por la red de MSN Messenger.
Enlaces relacionados
Cuidado, imágenes en el MSN
http://blogs.eset-la.com/laboratorio/2007/09/11/cuidado-imagenes-msn
MSNCleaner v1.3.2 (Actualizado el 11 de Septiembre del 2007)
http://www.forospyware.com/Msncleaner/
W32.SillyIM
http://www.symantec.com/security_response/writeup.jsp?docid=2007-011714-4600-99&tabid=2
# Martín Aberastegue
# Rynho Zeros Web (http://www.rzw.com.ar)
# Seguridad Informática
Hola.. no se si sera verdad, yo tengo este mal en la pc y no se como arreglarlo, gracias
Hola, a mí me llegó ese mensaje de la foto… pasé el antivirus y nose si lo eliminó tengo el avast que se actualiza casi a diario… cómo puedo saber si lo eliminé y otra preguntita… si me vuelvo a conectar al msn puedo infectar mi máquina de nuevo?… por fa respóndame alguién … gracias.
Hola, Fati si abres tu MSN no te vas a infectar de nuevo, si tienes Avast actualizado al dia puedes quedarte tranquila porque este ya lo esta detectando, por lo que en el caso de tenerlo todavia el antivirus lo eliminaria apenas detecte su ejecucion.
Brenda, en el articulo se describen los pasos para eliminarlo, sino puedes utilizar el programa:
http://www.forospyware.com/Msncleaner/
para hacerlo, de todas formas lo ideal seria que tengas un buen antivirus actualizado al dia.
Gracias Martín… me tranquiliza saber esto.
e mi pc entro l virus y tenia una memoria usb conectada se puede innfectar?
Te hago una pregunta: no es lsass.exe un archivo de sistema que su eliminación pone en juego la estabilidad del sistema. Lo vi en algunas paginas que es utilizado por el sistema y no debe ser borrado. Como puedes explicar esto? ¿Tienes ganas de dejarnos nuestro sistema inutilizado?
Por favor, cuenta con detalles como es el procedimiento. Gracias
Gustavo hay formas y formas de proceder al realizar una pregunta, la tuya no es la mejor de todas, asi que procedo a corregirte, LSASS.exe es un archivo del sistema si, pero se encuentra en la carpeta c:\windows\system32\ y NO en c:\windows\system\, cosa que si hace este malware, copiarse en esa otra carpeta tratando de pasar por un proceso legitimo del sistema operativo.
Aca nadie quiere inutilizar el sistema de nadie. A ver si leemos un poco mas antes de acusar a alguien.
Hola alguien me podría decir como debo realizar este paso que recomiendan en ésta página?
“Elimine la siguiente clave del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = “c:\windows\system\lsass.exe”
Yo tengo este archivo pero en la ruta C:\WINDOWS\PREFETCH… podrían decirme si se trata de algún virus… el nombre del archivo es así LSASS.EXE-2CBF
Hola Fati, te recomiendo que utilices el MSNCleaner si no saber bien como seguir los pasos o no estas segura.
Hola sí efectivamente utilicé MSNCleaner y eliminó el virus… espero no tener más inconveniente con dicho bichito. Graciaaaaaasssss!!!
LA PERSONA ES INFECTADA CUANDO INGRESA A ESAS PAGINAS DE TIPO QUIENMEBORRO.COM E INGRESA EL USUARIO, ES AHI CUANDO SE INFECTA EL MESSENGER. SI NO LO HAN EJECUTADO, SOLO DESINTALEN EL MESSENGER Y ELIMINEN SU CARPETA Y VUELVAN A REINSTALARLO. Salu2…
Matias estas equivocado, tu equipo se infecta por ejecutas (queriendo o no) un virus/malware en el mismo, no es que el virus va contigo a donde quiera que inicies tu sesion de MSN. Esas webs a lo sumo pueden robar tus contactos, es decir emails y nada mas. Y no es necesario desinstalar el MSN.
Para la proxima por favor escribe en minusculas, no son necesarias las mayusculas.
hola he sido infectado con el virus de las fotos he encontrado el archivo lsass.exe pero no me deja borrarlo. alguien sabe como podria hacerlo??? gracias
hola
oye mi msn se infecto encontre 2 archivos k dice :
LSASS.EXE-2CBF1683.pf
y otro solo dice
ISASS
mi antivirus..es El Norton poer.no cuneto con un pasword qu eme pid epra actualizarlo
parte elimine el archivo .zip k decia IMAG_0012
k me recomiendas
gracias
Jorge te recomiendo el MSNCleaner como dije en el articulo:
http://www.forospyware.com/Msncleaner/
Hola!… Bueno el caso es que cuando lo recibí y me enteré de que era un virus, yo ya sabía donde se encontraba el archivo…Lo borré inmediatamente pero, este siguió aplicandose. Ahora seguí los pasos de modo seguro y eso… Lamentablemente no encontró ningún archivo parecido. Luego sigue ejecutandose… Que hago!? estoy desesperada =(
Por cierto ya bajé el msncleaner, pero nada.:(
Hola Martin, el virus ese infecto mi maquina y una vez q se instalo me salio una ventana q decia algo como reemplazar o cambiar algo del msn, recien al rato el nod32 lo detecto (no estoy seguro si lo elimino) por seguridad quise cambiar mi contraseña ese rato y resulta q la pagina q te permite hacer eso (win….live ID) esta q carga y carga y no sale la opcion para cambiar la contraseña, q ha pasado ayudame…es una version nueva de este virus q puede robarte la contraseña? o malogra el internet explorer? respondeme por fa……gracias
Hola. Lo de IASS no lo se si lo tengo, perosi he recibido myspacefoto.zip y he pasado el msnCleaner y nada. Cada vez que vuelvo a encender el ordenador me vuelve a aparecer. Se hubica dentro de mi perfil local, en configuracion local/Temp. ¿Qué debo hacer para que no vuelva a aparecer? he pasado también el Kaspersky antivirus, que no se muy bien como funciona y el CCleaner por los registros.
¿Me podeis hechar una mano?
Gracias
Me gustaria saber si han intentado todo esto entrando a Windows bajo el modo a prueba de fallos, es importante este paso, ya que de esa forma se evita la carga de este virus en memoria.
Claro!:.. Lo intenté bajo modo a prueba de fallos y todo….
La única opción que tengo es formatear amigo… Muchas gracias por todo =D
Hola maria, si se te ha quedado en el temp, puedes probar esto…. vete a INICIO—-EJECUTAR—–y escribes esto tal y como te lo pongo %temp% ( es el signo del tanto por ciento seguida sin espacio la palabra temp y seguido tb sin espacio el signo del tanto por ciento de nuevo) .
Verás que se abre la ventana donde estan todos los archivos temporales. Vas a EDICION—-SELECCIONAR TODO—-BOTON DERECHO DEL RATON….ELIMINAR.
Te dirá que si los quieres eliminar que iran a la papelera de reciclaje ( luego evidentemente vacia la papelera) Son todos archivos temporales y no pasa nada por elminarlos.
Espero que te sirva.
Hola, hoy recibi por un contacto este virus,
baje el msncleaner y lo ejecute en modo a prueba de fallos pero desde el principio me decia que no tenia nada malo en mi pc pero al ejecutar msn denuevo aparecia el virus y le llegaba a mis contactos, en system no me aparece nada con el nombre de lsass.exe, y en windows no aparece la imagen en zip.
Ahora elimine de los archivos temporales el zip. como pueso saber si se elimino el virus?
Además, este virus solo se ejecuta cuando entro a msn?
Gracias por su ayuda
Y tu antivirus? lo has actualizado?, realiza un escaneo completo.