les dejo el tutorial por si lo llegan a utilizar saludos
Síntomas
La nueva versión presenta los siguientes síntomas:
•Al intentar ejecutar o abrir archivos de extensión .inf, .ini, .js, .msc, .txt, .vbe y .vbs muestra el siguiente mensaje: "La fuente de voltaje no es suficiente para el correcto funcionamiento , QUÉMATE EN EL INFIERNO UN RATO e intentelo mas tarde." y una pantalla negra que muestra la palabra VenoM? formada por ceros.
•Crea diversas claves en el registro con la frase: "Tú has sido derrotado de nuevo por VenoM"
•Impide la ejecución de los siguientes ejecutables:
•
◦notepad.exe
◦cmd.exe
◦ibprocman.exe
◦explorer.exe
◦integrator.exe.exe
◦HijackThis.exe
◦wordpad.exe
◦rstrui.exe
◦msconfig.exe
◦regedit.exe
◦HiJackthis_v2.exe
Deshabilita la Búsqueda de Windows, la ventana de Propiedades de Mi PC, la Papelera de Reciclaje y oculta las Opciones de Carpeta. No permite ver archivos ocultos, del sistema, ni las extensiones de archivos.
•Se copia a dispositivos de almacenamiento externo como memorias Flash USB, discos duros externos, etc
•Registra un controlador o driver como "driver lucifer (Satanas Resurrection Of The Hell 'Black Metal')".
•Genera archivos ejecutables de 54 KB (algunas personas reportan tamaños diferentes) con icono de carpeta. Estos archivos ejecutables se crean dentro de la carpeta Mis Documentos y todas las carpetas dentro de ésta, creando un ejecutable (del mismo nombre de la carpeta) por ada carpeta existente.
Métodos de Propagación
Aparentemente este malware se propaga por medio de dispositivos de almacenamiento externo, como memorias USB, discos duros externos, etc.
Método de Desinfección (en sistemas Windows XP)
Actualizado al 7 de Septiembre, 2008: Ahora pueden usar la herramienta AntiVenoM, creada por Otr3puR, para desinfectar sus sistemas automáticamente: http://rapidshare.com/files/142926018/A ... 1.0.10.exe
Las siguientes instrucciones siguen disponibles para las personas que las encuentren útiles.
Las siguientes instrucciones son para Windows XP. Actualmente desconozco si esta versión de VenoM.Lucifer afecta a otras versiones de Windows. Hasta ahora no he visto reportes de usuarios que digan que afecten a Windows Vista u otras versiones.
Para la desinfección es necesario descargar la herramienta EliStarA (versión 16.84 o superior), que puede ser obtenida aquí: http://www.zonavirus.com/datos/descarga ... iStarA.asp
Una vez descargado EliStarA sólo hay que ejecutarlo. Cuando EliStarA nos pregunte si deseamos limpiar el archivo HOSTS seleccionamos “Sí”. Esto debido a que VenoM agrega varias entradas al archivo HOSTS. Las demás preguntas que EliStarA hace con relación a Internet Explorer las podemos responder según lo consideremos útil (preguntará si deseamos eliminar las páginas de inicio y búsqueda y los archivos temporales, pero ninguna de estas tiene relación con esta variante de VenoM).
Cuando aparezca la ventana principal de EliStarA, éste probablemente ya habrá iniciado el escaneo y procederá a eliminar los archivos pertenecientes a VenoM que encuentre por el sistema, siempre y cuando la casilla “Eliminar ficheros automáticamente” esté seleccionada.
EliStarA hace todo el trabajo pesado por nosotros, matando procesos, borrando archivos, eliminando entradas del registro, restaurando configuraciones, etc. Hace un buen trabajo pero deja algunas entradas en el registro sin restaurar que pueden resultar molestas si no las cambiamos. Por ejemplo, cada vez que queramos abrir un archivo .txt, nos aparecerá un errorm pues en la información del registro se apunta a uno de los archivos de VenoM que fue eliminado por EliStarA.
Abrimos el Editor del Registro (Inicio >> Ejecutar >> y escribimos “regedit” sin las comillas). Una vez abierto expandimos la clave HKEY_CURRENT_USER y bajo esa clave veremos varias claves llamadas VenoM.LucifeR.xxx (donde xxx corresponde a un número de varios dígitos). Las eliminamos simplemente dando click derecho sobre cada clave y seleccionando la opción “Eliminar”.
Ahora navegamos por el árbol de directorios de la izquierda hasta llegar a la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\VenoM.exe y también la eliminamos.
Para las siguientes claves hay que editar sus valores. A continuación coloco una lista de las claves que hay que editar y el valor que deben contener.
HKEY_CLASSES_ROOT\htmlfile\shell\open\command editar su valor predeterminado a C:\Archivos de Programa\Internet Explorer\iexplore.exe “%1”
HKEY_CLASSES_ROOT\inffile\shell\open\command editar su valor predeterminado a %SystemRoot%\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\inifile\shell\open\command editar su valor predeterminado a %SystemRoot%\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\jsfile\shell\open\command editar su valor predeterminado a %SystemRoot%\system32\WScript.exe “%1” %*
HKEY_CLASSES_ROOT\mscFile\shell\open\command editar su valor predeterminado a %SystemRoot%\system32\mmc.exe “%1” %*
HKEY_CLASSES_ROOT\txtfile\shell\open\command editar su valor predeterminado a %SystemRoot%\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\vbefile\shell\open\command editar su valor predeterminado a %SystemRoot%\system32\WScript.exe “%1” %*
HKEY_CLASSES_ROOT\vbsfile\shell\open\command editar su valor predeterminado a %SystemRoot%\system32\WScript.exe “%1” %*
Doy un ejemplo, explicando el procedimiento para editar la primera clave (editar las demás es prácticamente igual):
Navegamos hasta la clave HKEY_CLASSES_ROOT\htmlfile\shell\open\command, y en la ventana de la derecha veremos el valor predeterminado, que tendrá como datos el texto C:\Windows\system32\mshta.exe “%userprofile%\Plantillas\Leviathan.hta”. Modificamos este valor dando click derecho sobre el nombre (Predeterminado) y seleccionamos la opción Modificar, y sustituimos el valor anterior por el texto C:\Archivos de Programa\Internet Explorer\iexplore.exe “%1”.
EliStarA tampoco elimina los archivos AutoruN.inf que VenoM crea en cada unidad de disco. A esta altura estos archivos ya no sirven para nada así que simplemente eliminamos cualquier AutoruN.inf que se encuentre en la carpeta raíz de cada unidad de disco que tengamos visible en Mi PC.
Hasta aquí llegan los pasos que hay que realizar para desinfectar nuestro sistema de VenoM.Lucifer.
Método de Desinfección (en memorias USB y otros dispositivos de almacenamiento externo)
En los dispositivos externos crea una carpeta oculta llamada System Volume Information y dentro el ejecutable LucifeR.exe, crea un AutoruN.inf en el directorio raíz de la unidad y crea los ejecutables (copias de VenoM) con icono de carpeta, un ejecutable por cada carpeta existente. Incluso dentro de otras carpetas.
Un dispositivo externo (al que se le dé una letra de unidad -D:, E:, F:, etc.-) puede ser escaneado y desinfectado con el propio EliStarA, seleccionando la unidad correspondiente en la ventana principal de EliStarA. EliStarA dejará el archivo AutoruN.inf, por lo que este habrá que borrarlo manualmente.
Sin EliStarA la desinfección de dispositivos externos no es tan difícil. Basta con eliminar la carpeta System Volume Information (es necesario poder ver los archivos ocultos), el archivo AutoruN.inf y los archivos .exe con icono de carpeta (para identificarlos mejor es recomendable poder ver las extensiones de archivos). Con identificar un ejecutable con icono de carpeta y obtener su tamaño de archivo o fecha de creación podemos utilizar el Buscador de Windows (Inicio >> Buscar) para ubicar todos los ejecutables y borrarlos fácilmente.
