Gusano Escondido Tras El archivo img-0012.zip Se Propaga Vía MSN

msnimgUn contacto nos envia unas fotos comprimidas con el nombre img-0012, nosotros aceptamos y a partir de ahí no es que vayamos a poder ver la foto que este contacto nos mando, si no lo que hemos recibido es un Gusano que infectara rápidamente nuestra PC.

Este nuevo virus se esta propagando de manera asombrosa por medio de la red de mensajería MSN, atreves de un mensaje proveniente de un contacto infectado como por ejemplo:

  • “hola, aca te mando las fotos que me pediste”
  • “Esta es la foto nuestra que voy a poner en MySpace”
  • “Recuerdas cuanto tenías el pelo así?”

gusano msn

Estas y algunas variaciones mas son sin duda de que atras de eso existe un virus o gusano que intenta engañarnos, en donde si el usuario acepta el envío del archivo, se descarga automáticamente la amenaza informática en la computadora. El equipo ahora infectado se dedicará a enviar a todos los contactos el gusano de forma automatizada sin que te des cuenta.


Si aun no has sido infectado la recomendación es que por ninguna circunstancia abras ningún archivo de este tipo a pesar de que provenga de un conocido, a no ser que estes 100% seguro que te lo quiere mandar y no es un proceso automatizado.

Por el contrario, si ya has sido infectado lo que tienes que hacer es descargarte el programa MSNcleaner y hacer un Scaneo de tu PC con el mismo.

Para saber mas sobre que es y donde descargar msncleaner click acá.

Vía: Infobae


  • Rolando

    el MSNcleaner no funciona.
    Seguro q es de los mismos creadores del virus

    Ojala, q reciban 100000000000 veces lo q nos dieron.

  • mj

    pues no, no funciona, es una mierda, yo estoy infectada y no ha encontrado nada… ¬¬’

  • El msncleaner dandole su uso correcto funciona, de hecho lo he usado para eliminar el img-0012 en la computadora de mi trabajo. Una vez que se pasa el MsnCleaner hay que eliminar el MSNmessenger y volverlo a instalar y que en la carpeta Mis Archivos recibidos no figure el fichero img-0012.zip, tambien no viene mal pasar el Spybot, programa comentado en este blog.
    Saludos

  • junior

    gracias tio me salvaste la vida

  • Icarus

    hasta ahora el unico anti virus que lo identifica y lo elimina es el kaspersky, puedes bajar una version trail usarlo solo para eliminarlo, despues tu decides si compras el av o vuelves a instalar el que tenias

  • Diego

    Hola, yo tambien estuve infectado por ese virus. Para borrarlo tenes que en primer lugar desintalar el messenger, despues tenes que borrar todos los archivos que contengan el nombre “IMG-0012” y despues otro que con el nombre de “photostorage.com”. Una vez que lo hayas hecho entra al registro de la maquina. INICIO —EJECUTAR—regedit——F3 y ahi buscas “IMG-0012” y lo eliminas del registro, luego buscas el “photostorage.com” y tambien lo eliminas. Vuelves a instalar el messenger y listo. Recuerda de vaciar la papelera. A mi me dio resultado, espero que tengan la misma suerte.

  • LEINDS

    bueno a mi tambien me mandaron el virus pero el nod32 20 lo detecto inmediatamente = D pero aun asi estoy tomando todas las precauciones como hacer un chekeo profundo con el nod y tmbn usar el msn cleaner y si dice ke si lo tienes pues estas muy pero muy ….. bueno eso es lo ke ami me paso pude evitar ke me infectara .
    y el virus gusano pro lo general se reproduce asi ke aguas si lo encuentran elimnenlo pero tambien aparte de escanearlo con su antivirus y aunque suene tonto buscarlo con totalcomander o en otros casos mas normales usar mi pc para buscarlo o cualquier progorama que utilizes para ver tus archivos

  • Andres

    bueno tengo el avast pero no le reconocio lo que hice es instalar el spybot lo que me dio resultado de todos modos tb lo borre del registro desintalando msm ah.otro que igual funciono es spywareblastersetup351 esta wueno suerte !!!!!!!

  • Claudia

    ES POSIBLE INFESTARSE CUANDO UNO HA RECHAZADO EL ARCHIVO IMG-0012.ZIP..?

  • Raul Rios (Caracas)

    No lo creo Claudia, a los usuarios de la compañia donde trabajo se infectaron por descargarlo, yo lo recibi y lo he rechazado y no tengo problemas. Estoy averiguando para limpiar esas maquinas!!!
    Aun no me convence ninguna solución. :S

  • vlj

    Tengo una solucion muy efectiva en contra de todos los virus habidos y por haber.. ese software esta echo para no tener limites de nada se llama linux

  • claudia, si lo has rechazado entonces no estas infectada, el virus se ejecuta cuando aceptas el archivo para que ingrese a tu pc

  • vlj, linux no esta excento de virus, que halla menos cantidad para ese sistema operativo no lo dudo, la mejor manera es la informacion y saber protejerse contra las amenazas que andan en la web.

  • HOLA, DONDE PUEDO CONSEGUIR EL VIRUS ESE!! YO LO KIERO!!

  • gilipollas

    jajaja ya veo k un colega mio del colegio lo tiene, me la a intentao colar el puto virus, el colega sta infectao

    dejaos de msn cleaner y cojones, cogeis el ELISTARA y arramblais con todo, si es preciso en modo seguro (reinicias/apagas el ordenador y das a F8 ininterrumpidament asta k aparezca 1 pantalla, das a ejecutar modo seguro y ejecutas ELISTARA y adios)

  • Xthofer

    Bueno a mi me llego ese bendito gusano, pensado q eran fotos reales, aunq confieso q me parecio extraño q siendo fotos pesara tan poco, en fin, lo acepte y el Norton 2007 logro pararlo y avisarme q era un virus, es mas limpio el archivo y de los 25KB q pesaba el archivo lo redujo a 1KB, asi q si elimino el gusano escondido. Bueno amigos esa fue mi experiencia. Hasta luego ;)

  • Xthofer

    Hola de nuevo, estuve chekando informacion sobre este Virus tan famoso, y como les comente el Norton 2007 lo elimino, asi q revise el registro de las alertas de virus, les copio el registro

    Source: [img0012-www.photostorage.com] inside of [c:\documents and settings\christhofer\mis documentos\mis archivos recibidos\img-0012.zip]
    Risk category: Virus
    Overall Risk Impact: High
    Click for more information about this risk : W32.Neeris
    Action taken: Fully removed

    Asi es! W32.Neeris es el nombre de ese desdichado q esta jorobando la comunidad del msn, aqui les paso la direccion en la web de Symantec Norton

    http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2007-091208-1650-99&tabid=1

    ahi encontraran info del gusano y como removerlo.

    Y como ultima dato para uds, si alguien les manda supuestamente algun archivo extraño y con un nombre muy sugerente, pues eviten descargarlo hasta no saber q la otra persona efectivamente se los envio. Creo q asi se evitaran muchos problemas y sobre todo PERDIDA DE TIEMPO.

    Bueno gente se cuidan y suerte con el dato de q les di. (y)

  • owens

    para q no les suceda mas nunca, hagan lo siguiente buscan en opciones y luego le dan clic a donde dice transferencia de archivos, luego le dan clic en “examinar los archivos recibidos en busca de virus usando” y luego le dan a examinar y buscan la carpeta donde se encuentra el antivirus q estan usando, de esta manera cada vez q les cualquier transferencias de archivos, pasara primero por el antivirus y detectara si trae o no virus…

  • owens

    y para poder detectar el virus busquenlo en archivos de programa porq hay es donde se alojan los virus de ese tipo

  • sweet

    A Claudia.. si es posible… pq mi pc se contagio asi..
    mejor no aceptar ni rechazar nada

  • Guillermo

    El Avast lo detecta y elimina en modo prueva de fallos. busquen todos los img en C: y luego en el registro borren todos los tmp

  • eduardo

    el nod32 lo detecta y lo elimina me a llegado mil veces y n i pendiente

  • como odie a ese virus, cuando no tenia el antivirus y usaban la PC mis familiares que de eso no saben mucho…

  • marze!!!!!

    apoco si tengo el virus se me abren y yse me cierran solas las ventanas del msn?
    ps io digo k los k asen el virus son los mismos del windows para k se te descomponga y compres otra y asi!!!!!!! porke una persona no va a saber como aser un virus y todo esoooo… yo digo k son los mismoss de windows y esos (los k trabajan para bill gates u otras compañias)
    respondan en http://www.jotelog.cl/happygirl12 plisssssssssssss!

  • myke

    ###kernel.dll##advapi32.dll#msvcrt.dll#oleaut32.dll#user32.dll###loadlibraryA###GetProcAddress###Exitprocess####GetUserNameA###exit###CoInitialeze###SetFocus###MessageBoxA##### estos son los ultimos procesos que hace el virus

  • raydeejay

    A ver, Emiliano, ya que tanto sabes sobre virus de Linux, nombra 3.

    No, que seguramente no podrás…. nombra 2.

    Mmmm igual te lo estoy poniendo muy difícil…. nombra UNO.

  • ThaWbz

    esta weno el msncleaner la descarga oficial esta en http://www.infospyware.com, yo me lo baje de ahi cheken y opinen…..

  • MAITE

    HOLA, LO SIENTO ES QUE NO ESTOY MUY PUESTA EN ORDENADORES, PERO ES QUE ESTOY MUY RAYADA, PORQUE HACEN UNOS DIAS ACEPTA UN ARCHIVO QUE PONIA IMG 00…. ALGO MAS, QUE NO ME ACUERDO QUE MAS ERA, Y TONTA DE MI QUE LO ACEPTE.ESTO FUE POR MSN. CUANDO YO ABRI LA CARPETA ME SALIA TODO LO QUE YO TENGO EN MI ORDENADOR, ES ESTO A LO QUE SE REFERIIS?? ESTO QUIERE DECIR K LA PERSONA QUE ME LO MANDO, TIENE TODOS MIS ARCHIVOS?? POR FAVOR, SI ME PUEDEN AYUDAR SE LOS AGRADECIRIA MUCHISIMO

  • dani

    yo acepte ese virus no se porke rrayos lo hice pero lo acepte yo no tengo antivirus instalado asi ke en cuanto se descargo lo kise descomprimir ( ke tenia en la cabeza) y ver pero en eso se comenzaron a cerrar y abrir las ventanas del msn y variso amigos me empezatron a preguntar ke ke era eso asi ke supuse ke se lso habia mandado tmb
    kise cerrar el msn pero no spe udo asi ke apague la laptop luego la volvi a encneder y abri el msn y ya no paso nada raroo ¿porke ?
    a y la laptop era ajenaa .¿ asi ke si yo depsues voy y me conecto a mi ordenador y conecto mi msn este virus se pasa al ordenor este ??

  • adri

    hola,hace poco me colaron un virus como si fuera un archivo en zip llamado:fotos-facebook,similar a este img02.Si alguien tiene experiencia con este virus,por favor que me lo comente.
    Gracias

  • joss

    olaaa poees les dire q utilize varios metodos que mencionan aqui y ninguno me funciono espero y algien me diga d otro por q ya tengo como 1 semana con este virus el llamado IMG-0012 de verdad que es un fastidio bueno baii

  • Thawbz

    el gusano en si no te puede joder el pc, ademas de mandar mensajes automatizados a los contactos del msn, el mismo abre un backdoor con el cual un atacante remoto (hacker) puede acceder a tu pc y hacer lo que quiera de tu sistema, entre ellos correr codigo malicioso (ejecutar otros virus), robar informacion del sistema, detener procesos, tipico de un hacker con los controles remotos, aqui les dejo una cita de Alerta-Antivirus:

    _____________________________________|

    Gusano cuya propagación se realiza mediante los clientes de mensajería instantánea de Microsoft (Windows Live Messenger, MSN Messenger y Windows Messenger) a toda la lista de contactos.

    El idioma del mensaje enviado varía según el lenguaje establecido para el equipo, con texto del estilo de los siguientes: “oye voy a poner esa foto de nosotros en mi myspace :->” o “jaja recuerda cuando tuviste el pelo asi”.
    Junto al mensaje llega un fichero de nombre ‘IMG-0012.zip’ (o similar).

    Abre una puerta trasera en el sistema que permite a un atacante remoto, entre otras acciones, listar/detener procesos, robar información del sistema y descargar/ejecutar código malicioso.
    Solución

    1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Ayuda para utilizar la opción de Restauración en Windows XP.

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar restauración del sistema en Windows Me o en Windows XP.

    2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
    Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña ‘Procesos’ haga clic derecho en el proceso y seleccione ‘Terminar Proceso’. A continuación vuelva a intentar el borrado o reparación del fichero. Para más información consulte Eliminar librerías .DLL o .EXE.

    4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Para evitar que este código malicioso sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de la siguiente clave del registro de Windows, el valor indicado:

    Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Valor: “Windows Lsass Services” = “%Windir%\system\lsass.exe”

    Para elimina el gusano de la lista de aplicaciones autorizadas por el cortafuegos de Windows, elimine el valor indicado de la siguiente clave del registro de Windows:

    Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
    \FirewallPolicy\StandardProfile\AuthorizedApplications\List
    Valor: “Predeterminado” = “- valor no establecido -”

    Elimine el valor indicado de la siguiente clave del registro de Windows:

    Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
    Valor: “MSNPRC” = “[- ruta_al_ejecutable_del_gusano -]”

    5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

    Datos Técnicos
    Peligrosidad: 2 – Baja Difusión: Baja Fecha de Alta:13-09-2007
    Última Actualización:19-09-2007
    Daño: Alto
    [Explicación de los criterios] Dispersibilidad: Medio
    Nombre completo: Worm.W32/[email protected]
    Tipo: [Worm] – Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
    Plataforma: [W32] – Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
    Mecanismo principal de difusión: [IM] – Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
    Tamaño (bytes): 25600
    Alias:W32.Neeris (Symantec), TR/Crypt.ULPM.Gen (AVIRA), [email protected] (Bit Defender), Win32.SdBot.bxr (E-safe Aladdin), Backdoor.Win32.SdBot.bxr (F-Secure), Backdoor.Win32.SdBot.bxr (Kaspersky (viruslist.com)), IRC/SdBot (ESET (NOD32)), W32/SDBot.BAVF (Norman), W32/IRCbot.BEP.worm (Panda Software), W32/Checkoput (McAfee), Trojan.SdBot.bxr (ClamAV), WORM_SDBOT.FEL (Trend Micro), Win32/Weapbot.A (Otros), W32/MsnSend.A.worm (Panda Software)
    Detalles
    Cuando Worm.W32/[email protected] es ejecutado, realiza las siguientes acciones:

    1. Crea el siguiente fichero %Windir%\system\lsass.exe

    Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
    Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

    2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:

    Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Valor: “Windows Lsass Services” = “%Windir%\system\lsass.exe”

    3. Para añadirse a sí mismo a la lista de aplicaciones autorizadas por el cortafuegos de Windows, el gusano añade el valor indicado a la siguiente clave del registro de Windows:

    Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
    \FirewallPolicy\StandardProfile\AuthorizedApplications\List
    Valor: “Predeterminado” = “:*:Enabled:Windows Sharing”

    4. También modifica las siguientes entradas del registro:

    Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
    Valor: “MSNPRC” = “[- ruta_al_ejecutable_del_gusano -]”

    Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
    Valor: “WaitToKillServiceTimeout” = “7000”

    5. El gusano comprueba si los clientes de mensajería instantánea de Microsoft (Windows Live Messenger, MSN Messenger y Windows Messenger) se están ejecutando en el sistema.
    En caso de que así sea, envía alguno de los siguiente mensajes a todos los contactos del cliente, variando el idioma para adecuarlo al de la versión de Windows:

    En español:
    * oye voy a poner esa foto de nosotros en mi myspace :->
    * jaja recuerda cuando tuviste el pelo asi
    * oye voy a agregar esa foto a mi blog ya
    * jaja debes poner esa foto como foto principal en tu myspace o algo :D
    * hola esas son las fotos
    * esa foto de tu y yo la voy a poner en myspace
    * voy a poner esa foto de nosotros en mi blog ya
    * oye ponga esa foto en tu myspace como la foto principal
    * jajaja yo me recuerdo cuando tuvistes el pelo asi
    * ay no ese pelo fue lo mas chistoso…q estabas pensando

    Otros idiomas: (francés, italiano, alemán, inglés y holandés)
    * hT je vais mettre cette image de nous sur mon myspace :>
    * le lol se rappellent quand vous aviez l’habitude d’avoir vos cheveux comme ceci
    * hT veux tu voir mes image de vacance??
    * j’ai fais pour toi ce photo album tu dois le voire :p
    * haha vous devriez rendre ceci votre dTfaut pic sur le myspace ou quelque chose :D
    * mes photos chaudes :D
    * dTfaut de la reproduction sonore ! regard a cette vieille image que j’ai trouvTe : |

    * ehi metter= quest’immagine di noi sul mio myspace :>
    * jaja ricordo quando lei aveva i suoi capelli come questo
    * ehi aggiunger= quest’immagine di noi al mio weblog
    * jaja lei dovrebbe fare quest’il suo pic predefinito sul myspace o qualcosa :Dmetta questi fotos in
    * suo pagina myspace
    * Qui sono il fotos di ci
    * Caricher= questa foto al mio myspace adesso
    * Io ricordo quando abbiamo portato questa foto
    * Per favore nessuno lasciare vede le nostre foto

    * he werde ich diese Abbildung von uns auf mein myspace setzen
    * lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben
    * he werde ich diese Abbildung von uns meinem weblog hinzufngen
    * Haha sollten Sie dieses Ihre Rnckstellung auf myspace oder etwas pic bilden:D
    * he ich zeige Ihnen diese Abbildung von mir nberhaupt?
    * Wimmern! Blick auf diese alte Abbildung, die ich: fand
    * m?hten den pics von meinen Ferien sehen?

    * Here are my private pictures for you
    * hey i’m going to add this picture of us to my weblog
    * My friend took nice photos of me.you Should see em loL!
    * lol remember when you used to have your hair like this
    * Nice new photos of me and my friends and stuff and when i was young lol…
    * wanna see the pics from my vacation? :>
    * Check out my nice photo album. :D

    * Hey i zet deze foto van ons even op mijn myspace
    * lol ik kan me nog herrinneren toen je haar zoals dit had
    * hey ik voeg deze foto van ons ff toe op mijn weblog
    * haha you moet die je standaard foto maken op hyves of myspace
    * he heb je ooit deze foto laten zien ?
    * wow! moet je eens kijken welke foto ik nu gevonden heb
    * wil je fotos zien van mijn vakantie

    6. Worm.W32/[email protected] también envía una copia de sí mismo junto con el mensaje anterior, con el nombre de fichero ‘IMG-0012.zip’.

    El archivo anterior se guarda en la siguiente ubicación del sistema afectado:
    * %Windir%\IMG-0012.zip

    Nota: El nombre del fichero puede no coincidir exactamente pero la estructura sería siempre similar: IMG-00XX.zip donde XX corresponde a un número.

    7. Por último, el gusano abre una puerta trasera en el equipo atacado que permite al atacante remoto realizar las siguientes acciones:
    * Crear procesos.
    * Listar procesos.
    * Listar tareas.
    * Detener la ejecución de procesos.
    * Actualizarse a sí mismo.
    * Descargar y ejecutar código potencialmente malicioso.
    * Mostar listado de acceso al equipo.
    * Capturar información sensible del sistema (nombre del equipo, versión del Sistema Operativo, etc.).
    * Mostar el estado del gusano.
    * Mostrar un listado de servidores.
    * Cambiar el servidor.

    ______________________________________-|

    Si creen k tienen este bicho, tienen k borrarlo imediatamente antes de k un (os) malintencionado (s) descargue viruses mas dificiles de eliminar.

    Les recomiendo: MSNCLEANER (pag oficial: http://www.forospyware.com/t92153.html )

  • bueno ia intente eliminar el photoalbun o algo asi
    me lomandaron por msn y lo abri io confado
    me recomendaron el msncleaner pero no se pudo no se q tenga q aser
    o no lo se ucar por favor alguien q me pueda alludar
    no quiero formatear mi compu gracias

  • hola a todos (so) este es uno de esos escondidos agreguenme a mi mns [email protected]

  • Vanessa

    Hola, mi hermano abrio el archivo de fotos zip paso el antivirus y supuestamente lo elimino, pero ahora no puedo abrir ningun archivo zip ni extraerlos, nada de nada, solo me deja visualizarlos, pero no abrir su contenido, por favor ayudenme he tratado de bajar el MSN Cleaner pero o sorpresa està zipeado y no lo puedo abris que pueo hacer. help