Gusano Alcan

Este gusano, denominado Alcan, se transmite a través de las redes P2P y compromete el sistema, obligandolo a conectarse a www.mininova.org. El gusano Alcan se replica a si mismo, copiándose entero en la máquina infectada (no infecta otros ficheros) y a través de redes de ordenadores

Publicado por Fernando Muñoz

Su nombre completo es Worm.W32/Alcan@P2P y se trata de un programa que se copia, replicándose en la máquina atacada o a través de las redes de ordenadores. Aprovecha que correo sobre diferentes versiones de Windows de 32 bits (windows 95, windows 98, windows Me, windows NT, windows 2000, windows XP, windows 2003) y se difunde a traves de compartición de ficheros en redes P2P.

¿Como saber si se está infectado con el gusano Alcan?

Lo primero es que el ordenador intenta conectarse con el sitio www.mininova.org

Normalmente, el gusano Alcan crea los siguientes ficheros dentro de la carpeta de Sistema (normalmente c:\Windows\System, c:\Windows\System32 o c:\Winnt\System32)

  • \outlook\bszd4740.tmp
  • \outlook\outlook.exe
  • \outlook\v.tmp
  • \bszip.dll
  • \cmd.com
  • \netstat.com
  • \ping.com
  • \regedit.com
  • \taskkill.com
  • \tasklist.com
  • \tracert.com
  • \winlog.exe

Dentro de la carpeta temporal del usuario crea el siguiente archivo:

  • \setup.exe

Y dentro de la carpeta de Archivos de Programa (también puede ser “Program Files”)

  • \outlook

Además, crea las siguientes claves en el registro

  • Clave: HKEY_CURRENT_USER\Software\Microsoft\ole\
  • Clave: HKEY_LOCAL_MACHINE\software\classes\.key\ 
  • Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\currentversion\runservices\  
  • Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\currentversion\run\

Al que le otorga el siguiente valor (respectivamente)

  • Valor: winlog = winlog.exe
  • Valor: (default) = regfile
  • Valor: winlog = winlog.exe
  • Valor: outlook = c:\program files\outlook\outlook.exe /auto
Valor: winlog = winlog.exe

¿Cómo eliminar el Gusano Alcan?

Intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema:

  1. Desactivar temporalmente la Restauración del Sistema.
  2. Reiniciar el ordenador a Modo a Prueba de Fallos.
  3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
  4. Elimine los archivos explicados en ¿Como saber si está infectado?
  5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
  6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
  7. Eliminar archivos temporales
  8. Reiniciar el ordenador
Email Meneame twitter facebook google+1

Posts relacionados

02 may 2009
Bajo la(s) categoria(s): gusano, , ,

Deje un comentario