Esta mañana, JesusGuevara me comentaba sobre un bicho raro que ha atacado uno de los equipos en su lugar de trabajo. Investigando, encuentro que la nueva amenaza
Se manifiesta a través de un contacto conocido de Messenger e invita al clickear en el link www.aniinfash.googlepages.com/Bush-gracioso.exe proponiendo ver una animación del primer mandatario norteamericano, George W. Bush.
[Infobae]
Por favor, no hagan click sobre ningún vínculo de Messenger a menos que estén seguros que ha sido enviado por su conocido. Esta nueva amenaza se destaca por no permitir la ejecución de ningún programa, incluyendo al antivirus NOD32, a los navegadores, etc., que como bien pudo informarme Jesus, no permite ni la ejecución del antivirus local, ni la ejecución de algún antivirus en línea, ya que IE y Firefox se cierran automáticamente.
Su modus operandi no es nuevo, muchos infectan de la misma manera, pero su daño puede ser alto si no se toman las precauciones del caso.
Hasta ahora no he visto que los desarrolladores de antivirus tengan una vacuna. En el caso del que tengo referencia, la solución fue la restauración del sistema e instalación de otro antivirus.
Actualización:
Sigo leyendo otras notas, al parecer hay otro intento similar utilizando la supuesta muerte de Fidel Castro para lograr el mismo propósito: que los usuarios incautos hagan click en supuestos vídeos o páginas que muestran fotos de Fidel, Saddan y Bush, tanto en el Messenger, como en los correos electrónicos.
Gracias jesusguevarautomotriz
.comentarios
[...] a Ricardo, que amablemente describió una buena solución al problema del troyano de Bush que anda rondando en el ambiente [Primera, segunda y tercera [...]
[...] [ Nuevo troyano de Messenger (Por favor, tomen nota) [Gravedad: Alta] [...]
Leí que también hay variantes que hacen referencia al presidente venezolano. ¡No te tientes!
No lo sabía. Parece que cualquier porquería presidencial puede meterse como excusa para transmitir virus : O
Myself gracias a ti por la solución, restauramos la configuración y aparentemente soluciono el problema, volvieron a funcionar los navegadores y permitió correr los antivirus en linea, e instalar y correr el AVG, pero me preocupa que el NOD que tenia instalado antes de la infección haya quedado inhabilitado mostrando en rojo el icono que se pone en la bandeja del sistema, cuando intentabamos realizar un análisis con el NOD o lanzar el ADMON, no lo permitía dando un mensaje de error, diciendo algo asi como “NOD no puede realizar esta operación”.
El caso es que esta infección pudo haberse evitado si el usuario no hubiese hecho clic, en cuanta basura le mandan x email o por el messenger, es la principal clave para evitar infecciones, los anzuelos estan ahi, esperando que los muerdas.
mira…yo tengo ese virus…pero…tngo varias seciones en el windows.. y las demas no estan ifectadas..si dejo de utilizar la infectada, estaria bien?
Yunue.
En el caso que pude notar, bastaba con hacer una restauración del sistema.
Todavía -no he buscado- no se de una solución a este virus. Pero tan pronto la tenga, estaré informando por aquí.
softex.
No entiendo a que te refieres con varias secciones de Windows. Asumo que hablas de particiones. Si es así, no hay problema.
Myself pienso que el se refiere a que tiene varias cuentas de usuario para el inicio de sesion en Windows.
Softex igual debes desinfectar el equipo porque los virus pueden atacar archivos que sean usados en todas las sesiones y no esperes que la infeccion avance para tomar medidas, generalmente los virus no hacen todo el daño de una vez, sino que lo van haciendo poco a poco.
pues me infecto mi laptop, pero mi norton detecto los archivos que crea en el sistema, imagino que eran esos, yo como quiera nomas los borre y funciono todo, por si las dudas no he vuelto a correr el msn, hasta probarlo les digo si funciono, los archivos son hide32.exe, Ttt.exe, hide.exe, y estan en la carpeta de windows y windows\system32, se corren desde el inicio, asi que lo primero que hice antes de borrarlos fue desabilitarlos para ver si era esto, los desabilitas desde “msconfig” en inicio, y ahi estan esos archivos, solo los desabilite y funciono y pues los borre, si no pueden en su sesion, utilicen otra, solo infecta la sesion que estubo en uso, mi norton antivirus no lo detecto ni en la otra sesion. pero el problema de las paginas y el norton estan resueltos, como recomendacion, tambien corran el adaware
sobres cuidense
y ya aprendi si es un exe ni lo acepto
” link www[ punto ]aniinfash[ punto ]googlepages[ punto ]com/Bush-gracioso.exe “
me di a la tarea de ver otra vez el registro de mi norton ahi les dejo la ubicacion de los archivos son ” C:\windows\system32\Ttt.exe”, “C:\windows\system32\Hide32.exe”, “C:\windows\Zap.exe, “C:\windows\Avconsol.exe”, y el trojano al parecer se ejecuta y se borra de “C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\AMN0JSST\Bush-gracioso[1].exe”, dejando a sus creaciones.
aaaaaaaaaah y no le piquen a la liga que puse por accidente arriba
avisen a los que pueda…aun no corro el msn pero al rato lo corro y les digo soooobres
saludos desde mexico 24 de enero del 2007 9:02 am
ya probe el msn y no tiene el virus ese
encontre mas informacion en este sitio
http://www.short-media.com/forum/showthread.php?t=53829saludos desde monterrey, nuevo leon, mexico
11:22am
Estos fueron los resultados del Panda Activescan online, despues de restaurar el equipo.
Incidencia Estado Elemento
Adware:Adware/Startpage.ANU No desinfectado C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\ms.exe
Herramienta potencialmente no deseada:application/funweb No desinfectado c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf
Hacktool:Hacktool/RegPatch.A No desinfectado C:\Archivos de programa\ESET\crack_reg.exe
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt
Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[.statcounter.com/]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[ad.yieldmanager.com/]
Spyware:Cookie/Mediaplex No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[.mediaplex.com/]
Spyware:Cookie/FastClick No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[.fastclick.net/]
Spyware:Cookie/Tribalfusion No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[.tribalfusion.com/]
Spyware:Cookie/Zedo No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[.zedo.com/]
Spyware:Cookie/Adrevolver No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[.adrevolver.com/]
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[.atdmt.com/]
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[.doubleclick.net/]
Spyware:Cookie/Weborama No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-1.txt[.weborama.fr/]
Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[.statcounter.com/]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[ad.yieldmanager.com/]
Spyware:Cookie/Mediaplex No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[.mediaplex.com/]
Spyware:Cookie/FastClick No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[.fastclick.net/]
Spyware:Cookie/Tribalfusion No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[.tribalfusion.com/]
Spyware:Cookie/Zedo No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[.zedo.com/]
Spyware:Cookie/Adrevolver No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[.adrevolver.com/]
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[.atdmt.com/]
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[.doubleclick.net/]
Spyware:Cookie/Weborama No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-2.txt[.weborama.fr/]
Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[.statcounter.com/]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[ad.yieldmanager.com/]
Spyware:Cookie/Mediaplex No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[.mediaplex.com/]
Spyware:Cookie/FastClick No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[.fastclick.net/]
Spyware:Cookie/Tribalfusion No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[.tribalfusion.com/]
Spyware:Cookie/Zedo No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[.zedo.com/]
Spyware:Cookie/Adrevolver No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[.adrevolver.com/]
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[.atdmt.com/]
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[.doubleclick.net/]
Spyware:Cookie/Weborama No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies-3.txt[.weborama.fr/]
Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/FastClick No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/Zedo No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.zedo.com/]
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/QuestionMarket No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.questionmarket.com/]
Spyware:Cookie/BurstNet No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.burstnet.com/]
Spyware:Cookie/Mediaplex No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/BurstBeacon No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[www.burstbeacon.com/]
Spyware:Cookie/Traffic Marketplace No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.trafficmp.com/]
Spyware:Cookie/Tribalfusion No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/PointRoll No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.ads.pointroll.com/]
Spyware:Cookie/Bluestreak No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Advertising No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Adrevolver No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.adrevolver.com/]
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.bannerlandia.com.ar/]
Spyware:Cookie/Weborama No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\142akim7.default\cookies.txt[.weborama.fr/]
Hacktool:Hacktool/RegPatch.A No desinfectado C:\Nueva carpeta\Archivos de programa\ESET\crack_reg.exe
Ricardo, muchas gracias por esa información, gracias a ti pude ‘liberarme’ de ese molesto troyano. Gracias!!
Jesús, la mayoría de lo que detectó panda son Cookies. Para nada nocivos, en circunstancias normales.
Ricardo, utilizaré la información para alertar a otros usuarios. Muchas gracias. : )
he intentado restaurar el sistema en ayuda y soporte tecnico, pero no me deja restaurarlo, la ventana se cierra nada mas probar a hacerlo…
tengo alguna otra opcion?gracias por su ayuda,seguire leyendo su blog!!
salu2
Hola!!!
Yo piqué !!! que guay… menos mal que encontré esta página con alguna solución,… Borré C:\windows\system32\Ttt.exe”, “C:\windows\system32\Hide32.exe”, “C:\windows\Zap.exe, “C:\windows\Avconsol.exe”, pero a la hora de iniciar el pc vuelven a aparecer en el cuadro de inicio y los tengo que desabilitar, (pensaba que al borrarlos de windows no volverian a aparecer, pero no es asi)¿he hecho algo mal?, bueno al igual es que tampoco conseguí encontrar el archivo C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\…\Bush-gracioso[1].exe”, (una vez en content busqué bush incluyendo archivos ocultos y no encontró nada)…
ALguien me puede ayudar porfa… :DGracias y saluditos
Sandra.
Solución 1:
1. Ctrl + Alt + Supr
2. En Administrador de Programas, busca el listado de Procesos Activos.
3. Localiza el nombre de los archivos TTt.exe, Hide32.exe, Zap.exe, Avconsol.exe.
4. Si aparece alguno de ellos -o todos- con el Botón derecho, selecciona la opción “Cerrar árbol de procesos”. Te hará una pregunta de verificación y contesta que sí.Solución 2:
1. Inicio > Ejecutar
2. Escribir MSCONFIG y darle a aceptar.
3. Aparecerá el listado de programas de inicio. Busca los archivos y eliminalos de la lista.Acepta y reinicia la máquina.
Supongo que siguen apareciendo porque quedan cargados en memoria. La solución 1 te permite cerrarlos y eliminarlos definitivamente. La segunda, junto con la primera, debería garantizar que los elimines por completo. Espero te sirva de algo.
Oigan…tengo un problema con este virus, ya que cada vez que quiero abrir el administrador, se cierra, al igual que el la ventana de “resturar el sistema”, y la pantalla de MSCONFIG solo encuentro 2 y no c como borrarlos! por favor ayudenme!!1
yo tengo el mismo problema, siguiendo los pasos 1. y 2. el virus ya no me jode, pero siempre que inicio el computador me dice que estoy en el modo inicio selectivo y no inicio normal y si le pongo inicio normal los ejecutables del virus vuelven a aparecer seleccionados en la lista de programas que utilizaria si lo reinicio…. como hago para quitarlos de la lista definitivamente y poder volver a inicial el computador en modo normal? (no selectivo)
supongo que si aparecen ahi estan todavia por ah en la memoria, y no quiero que esten por ningun lado…
HELP!
Salu2 a todos. Efectivamente este es un Troyano que se infecta y distribuye por el MSN. Señores descargen el Elistara una herramienta muy buena para el escaneo de MSN y el equipo. Este es el LINK http://www.zonavirus.com/datos/descargas/78/EliStarA.asp
ejecuten el archivo en modo a pruba de fallos y eliminen todos los archivos temporales de internet, del sistema y lo que se encuentre en la papelera de resiclaje.
Dios les bendiga……
100% Chapin..
No recuedo ninguna en este momento, pero ¿nadie ha probado el de correr algún LiveCD de alguna distro diseñada para estos casos? Al no estar comprometida, por correr en memoria RAM, puede acceder a archivos de la partición de Windows, Hay varias de ellas, seguramente se conseguirán algunas en Google.
yo tengo una duda y esk tengo el virus al menos a medias porque no m deja restaurar el sistema ni abrir el administrador. por lo demas el ordenata m va bien y no e conseguido encontrar los archivos del virus. una de dos o soy corto y no entiendo bien como acerlo y m lo teneis k explikar mejor o sk no los tengo .porfavor ayudadme.
