WIN32/AKAK.A – Deshabilita el Firewall de Windows XP. ¿Cómo eliminarlo?

También crea una copia de si mismo dentro la siguiente carpeta:

C:WindowsSystem
b.exe.

De acuerdo a la versión del sistema operativo, las carpetas “c:windows” y “c:windowssystem32” pueden variar (“c:winnt”, “c:winntsystem32”, “c:windowssystem”).

Para ejecutarse en cada inicio del sistema crea la siguiente entrada en el registro de Windows:

HKLMSoftwareMicrosoftWindows
CurrentVersionRun
RamBooster2 = c:windowssystem
b.exe

El virus utiliza el comando “net stop SharedAccess” para desactivar el cortafuegos de Windows XP.

Se conecta al servidor 202.104.242.156 utilizando el puerto TCCP 4321 para descargar información, dicha información es guardada en el siguiente archivo:

C:WindowsSystemlhosts.txt

Si no puede crear dicho archivo, crea un archivo llamado “Kaka2.txt”.

También crea un SOCKS proxy en el puerto TCP 5555.

Escucha el puerto TCP 4321 en espera de comandos remotos, un atacante externo puede realizar alguna de las siguientes acciones:

Obtener información del sistema.
Descargar y ejecutar archivos.
Desinstalar la puerta trasera.
Actualizar la dirección del servidor principal.

> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

4. Elimine bajo la columna “Nombre”, la entrada “RamBooster2”, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

5. Cierre el editor del Registro del sistema.

* En Windows XP SP2

1. Abra el panel de Control, haga doble clic en el icono “Centro de Seguridad”

2. Activar el cortafuegos de Windows (Si este se encuentra desactivado).

3. Cierra la ventana del cortafuegos, cierre el Centro de Seguridad, por ultimo cierre el panel de control.

* En Windows 2000 o Windows XP SP1

1. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente:

services.msc

2. Presione el botón Aceptar.

* En Windows 2000 en la columna nombre localice el servicio “Internet Connection Sharing (ICS)” y haga doble clic en el.

* En Windows XP en la columna nombre localice el servicio “Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)” y haga doble clic en el.

3. En la opción “Tipo de inicio” seleccione en el menú desplegable “Automático”.

4. Bajo la opción “Estado del servicio” presione el botón “Iniciar”.

5. Haga clic en el botón “Aceptar”.

6. Reinicie el equipo.

Información de http://www.enciclopediavirus.com

Deja un comentario