Eliminar IrcBot.PE

Recientemente se ha reportado una variante más del conocido gusano IRCBot, en este caso se le a bautizado como IRCBot.PE. Esta variante tiene la particularidad de propagarse mediante tres métodos, en este caso, uno de ellos es mediante un bug en el servicio de windows LSASS (detalles).

Por otro lado y como particularidad que le dediquemos una entrada a la noticia es que es capaz de propagarse mediante discos extraibles, como consecuencia su expansión se a visto potenciada y ya hay gran cantidad de ordenadores infectados. Como último método de infección es el envio de enlaces mediante clientes de mensajeria instantánea como el messenger o el AIM.

Cuando el sistema está infectado, el gusano crea una copia de el mismo en el siguiente enlace

Código:

%System%\VMwareService.exe

Además crea las siguientes dos claves en el registro:

Código:

Clave: HKLM\SYSTEM\CurrentControlSet\Services\VMwareService
Valores:
Display name: "VMwareService"
Description: "VMwareService"

Código:

Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
Valor: %Windows%\System\VMwareService.exe =
"%Windows%\System\VMwareService.exe:*:Enabled:Microsoft Enabled"
ImagePath: "%Windows%\System\VMwareService.exe"

En cuanto a dispositivos extraibles, también se crea una copia de el mismo y su fichero de autoejecución como:

Código:


autorunme.exe
autorun.inf

Si tienen problemas en su eliminación ya saben donde preguntar