Blog > Seguridad > Virus > Bush.exe: Nuevo repunte
Bush.exe: Nuevo repunte »

A pesar de haber sido notificado en enero de este año, el virus de Bush gracioso sigue siendo fuente de problemas para muchos. Es por ello que muestro un recuento/actualización sobre este flagelo troyanesco:

Nod32 presentó una nota sobre el virus de Bush: Su nombre oficial es Win32/VB.NHI

Como todos saben, es un troyano de Messenger y se envía como un enlace que hace referencia a una animación que muestra a Bush bailando. Al hacer click en el vínculo se descarga el archivo Bush.exe de 122kb.

 
Gusano Win32/VB.NHI

Una vez ejecutado, el malware inicia ventanas de conversaciones con todos los contactos del usuario infectado que estén conectados en ese momento y se envía automáticamente de la misma forma.

Además, el código malicioso agrega claves en el registro del sistema para asegurar su ejecución en cada reinicio y realiza copias ocultas de sí mismo bajo los siguientes nombres:

  • C:\windows\strad.exe
  • C:\windows\zser.exe
  • C:\windows\system32\xsfr.exe
  • C:\windows\system32\xeyu.exe

Cada vez son más los gusanos de MSN que actúan con estos mismos métodos de propagación, incluso en idioma español como este caso, por lo que es muy importante que el usuario considere si realmente su contacto es quien está enviando el enlace o archivo, y antes de hacer clic en el mismo, lo confirme consultándolo a la otra persona que fue quien se lo envió.
Nunca hay que hacer clic en una dirección Web desconocida y más si apunta a un archivo ejecutable como los que tienen extensión “.exe”.

ESET además recomienda la constante actualización del sistema operativo y demás aplicaciones utilizadas a fin de evitar cualquier tipo de vulnerabilidad existente en los mismos.

Del mismo modo, es primordial  la capacitación de los usuarios, ya que si tienen conocimientos sobre estos temas, siempre actuarán de forma más segura que los que no los tienen.

 Otros nombres que pueden presentarse son

  1. C:\windows\system32\Ttt.exe
  2. C:\windows\system32\Hide32.exe
  3. C:\windows\Zap.exe
  4. C:\windows\Avconsol.exe
  5. C:\windows\Diup.exe
  6.  C:\windows\Antivirus32.exe

Algunas técnicas para resolver este problema están siendo discutidas en este post:

Si te contagió el Bush de Messenger, he aquí la solución

Más [

 

Ayer, fui notificado por una lectora que cayó víctima del troyano sin ejecutar el MSN Messenger, probablemente la infección vendría desde un adjunto de correo.

Otro lector indica que Bush.exe puede duplicarse con otros nombres de archivo -sin confirmar-: 

Tambien puede aparecer con los nombres de archivos Cfreer.exe, Nzil.exe, juegs.exe y negdo.exe, para verlos hay que modificar las opciones de visualización en opciones de carpeta ya que se alojan como archivos de sistema oculto.

 

 


.comentarios

 bolsanegra.blog » Blog Archive » Si te contagió el Bush de Messenger, he aquí la solución   | http://bsod.bolsanegra.net/2007/01/24/si-te-contagio-el-bush-de-messenger-he-aqui-la-solucion/ | 18.05.07 - 12:02 pm |

[...] Bush.exe: Nuevo repunte FECHA January 24th, 2007  AUTOR myself CATEGORÍA Seguridad « iMac, iPod, iPhone y ahora la iGuit-ar Saddam Hussein está vivo » [...]

 bolsanegra.blog » Blog Archive » MSN 8.1 - Actualización crítica   | http://bsod.bolsanegra.net/2007/09/17/msn-81-actualizacion-critica/ | 17.09.07 - 5:51 pm |

[...] Estoy casi seguro que eso no es de lo único de lo que deben preocuparse los usuarios de MSN. Sino, pregúntenle a Bush.  [...]

 eduardo   | | 10.05.07 - 7:21 pm |

hola como esta espero que bien a mi tambien ya me infecto la maquina y ise ese prosedimineto que acaba de mencionar nadamas que no hayo los archivos mencionados y me sigue afectando

 myself   | http://bsod.bolsanegra.net | 11.05.07 - 2:02 pm |

Saludos, entonces es probable que estés infectado por alguna variante o por algún otro virus. Intenta utilizar un antivirus online si te lo permite…

 Carlos   | | 13.05.07 - 8:19 am |

Un contacto me envió la pagina a través de su msn, lo ejecuté y quedé ligado. Cada vez que ingresa un usuario, y me avisa la pantallita que entro y quiero conectarme se abre y desaparece y le envia el mensaje de la pagina, ahora bien, luego si voy a la pagina principal del msn ahí sí puedo abrirlo, pero por ahí desaparece y no puedo nuevamente a llamar a ese contacto, tengo que salir del msn y volver a ingresar y si puedo generar el contacto.
Estoy pasando antivirus y me salen los sgtes: Cfreer.exe, Nzil.exe, juegs.exe y negdo.exe, tal cual lo citan en la página.
Gracias!
Daniel

 myself   | http://bsod.bolsanegra.net | 14.05.07 - 10:40 am |

Asegurate que no aparezcan en memoria, de lo contrario seguirán apareciendo.

Para verificar que no estén en memoria -alguno de ellos-
CTRl+ALT+SUPR y click en Administrador de Tareas. En Lista de Procesos buscas alguno con el nombre que están en la lista. Con el botón derecho seleccionas “Acabar árbol de procesos” y luego, pasas nuevamente el antivirus.

 eduardo   | | 14.05.07 - 7:14 pm |

no por que el antivirus que tengo lo detecto como un troyano nzin y con los otros nombres que disen que aparese pero cuando lo elimino al otro dia buelve apareser y haora solo encuentro el cfreer.exe,nzil.exe,juegs.exe,nedgo.exe no se que aser si solamente eliminarlo y seguir monitorenado mi computadora o que

 yamila   | | 01.07.07 - 8:05 pm |

Hola! Bueno yo tambien me contagie del virus, ya hice todos los procedimientos para eliminarlo. Ademas poseo el Avast! Antivirus 4.7 y el Lavasoft Ad-aware 6, pero cada vez que me conecto en el MSN, el mensaje con la animación de bush se sigue mandando. Trate con antivirus online pero tampoco encuentran nada, todo dice que mi pc esta limpia. Sigo teniendo el virus?

Salu2.

 JVNP2   | | 21.08.07 - 4:57 pm |

Ya busque los archivos que se an mencionado durante estas posibles soluciones, encontre en otras páginas, también otros archivos .exe que posiblemente se esten ejecutando pero ninguno de ellos esta en pc, nada….
La verdad ya me esta complicando la existencia este bush…. si en la vida real es un moco el wey…. en la compu es peor… I need help….

AGREGA BASURA A LA BOLSA
Quicktags:

Return to Top