<ul> <li>Bofra.B virus</li> <li>Bofra.B spyware</li> <li>Bofra.B adware</li> <li>W32 Bofra.B virus</li> <li>backdoor Bofra.B</li> <li>Bofra.B worm</li> <li>Bofra.B patch</li> <li>Bofra.B removal tool</li> <li>delete Bofra.B</li> <li>quite Bofra.B</li> <li>Bofra.B cancelación</li> <li>Bofra.B tool</li> <li>Bofra.B fix</li> <li>Bofra.B scanner</li> <li>Bofra.B scan</li> <li>Bofra.B antivirus</li> <li>Bofra.B killer</li> <li>Bofra.B spyware doctor</li> <li>Bofra.B eliminar</li> <li>gratis Bofra.B entfernen</li> <li>Bofra.B radar</li> <li>Bofra.B detection</li> <li>Bofra.B crack</li> <li>anti virus</li> <li>free virus</li> <li>virus remover</li> <li>online virusscanner Bofra.B</li> </ul>
Virus | Spyware
         

Bofra.B

Con estos Web site usted puede quitar Bofra.B:

eliminar Bofra.B virus

W32.Bofra.B@mm es un gusano masa-que envi'a que explota la vulnerabilidad alejada malformada del desbordamiento del almacenador intermediario de Microsoft Internet Explorer IFRAME (OFERTA 11515). Se separa enviando un acoplamiento vía el email a las direcciones que encuentra en una computadora infectada.

Notas:

Las definiciones del virus anticuadas de noviembre el 16, 2004 o anterior pueden detectar esta amenaza como W32.Mydoom.AJ@mm.
Definiciones de lanzamiento rápidas 11/16/2004 revolución. 50 con la serie número 38482 o una voluntad más última detectaron esta amenaza como W32.Bofra.B@mm.

Cuando se ejecuta W32.Bofra.B@mm, realiza las acciones siguientes:


Crea el archivo, %System%\[random name]32.exe.

Nota: %System% es una variable que refiere a la carpeta del sistema. Por defecto, éste es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows.xp).


Agrega el valor:

"Reactor7" = "%System%\[random name]32.exe"

a las llaves del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

para ejecutar el gusano el everytime Windows comienza.


Puede crear las llaves siguientes del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version


Tentativas de suprimir los valores siguientes del registro, creados por variantes anteriores de W32.Mydoom@mm:

centro
reactor
Rhino
Reactor3
Reactor4
Reactor5
Reactor6

de la llave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Las búsquedas del gusano para las direcciones del email en el libro de dirección de Windows y en archivos con las secuencias siguientes en su nombre:

wab
pl
adbh
tbbg
dbxn
aspd
phpq
shtl
htmb
txt


Utiliza su propio motor del smtp para enviar email las direcciones del email que encuentra. El email tiene las características siguientes:

De: (Spoofed)

Tema: (uno del siguiente)

¡hola!
¡hey!
espacio en blanco
caracteres al azar
Confirmación
¡Hi!


Texto del mensaje:

Jefe:(One del siguiente)

X-AntiVirus: explorado para los virus por AMaViS 0.2.1 (http:/ /amavis.org/)
X-AntiVirus: Comprobado por Dr.Web (http:/ /www.drweb.net)
X-AntiVirus: Comprobado para saber si hay virus por el software de AntiVirus de Gordano

Cuerpo: (uno del siguiente)

¡Hi! Estoy buscando a nuevos amigos. Soy de Miami, FL. ¡Usted puede ver mi homepage con mis fotos pasadas del webcam!


¡Hi! Estoy buscando a nuevos amigos.
Mi nombre es Jane, yo es de Miami, FL.
¡Vea mi homepage con mi weblog y fotos pasadas del webcam!


¡Felicitaciones! PayPal ha cargado con éxito $175 a su crédito
tarjeta. Su número que sigue de la orden es A866DEC0, y su artículo será enviado
dentro de tres días laborales.


Para considerar los detalles satisfacen tecleo este acoplamiento.


¡NO CONTESTE A ESTE MENSAJE VÍA EL EMAIL! Este email se está enviando cerca
un sistema automatizado del mensaje y la contestación no serán recibidos.
Gracias por usar PayPal.


Envía el acoplamiento esos puntos al anfitrión infectado como sigue: IP address de http://:1640/reactor infectado


El gusano evita de enviar email a las direcciones que contienen las secuencias siguientes:

Berkeley
unix
matemáticas
DEB
mit.e
gnu
fsf.
ibm.com
google
núcleo
linux
fido
USENET
IANA
IETF
RFC-RFC-ED
sendmail
arin.
maduro.
isi.e
isc.o
secur
acketst
PGP
tanford.e
utgers.ed
mozilla


Trata que nombres comienzan con uno del siguiente:

abuso
cualquier persona
insectos
ca
contacto
feste
oro-certs
ayuda
Info
yo
no
nadie
noone
no
nada
página
postmaster
aislamiento
grado
raíz
muestras
secur
servicio
sitio
suave
alguien
alguien
spm
someta
the.bat
webmaster
WWW
usted
su


Abre el puerto 1640 del TCP para escuchar.


Tentativas de conectar con los servidores siguientes del IRC en el puerto 6667 del TCP:

broadway.ny.us.dal.net
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
ced.dal.net
coins.dal.net
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
ozbytes.dal.net
qis.md.us.dal.net
vancouver.dal.net
viking.dal.net
washington.dc.us.undernet.org





La respuesta de la seguridad de Symantec anima a todos los usuarios y administradores que adhieran a la seguridad básica siguiente las "mejores prácticas":

Dé vuelta apagado y quite a los servicios innecesarios. Por defecto, muchos sistemas operativos instalan los servicios auxiliares que no son críticos, por ejemplo un ftp server, telnet, y un servidor del Web. Estos servicios son avenidas del ataque. Si se quitan, las amenazas mezcladas tienen menos avenidas del ataque y usted tiene pocos servicios a mantener a través de actualizaciones del remiendo.
Si una amenaza mezclada explota unos o más servicios de red, inhabilite, o bloquee el acceso a, esos servicios hasta que se aplica un remiendo.
Siempre mantenga sus niveles del remiendo actualizados, especialmente en las computadoras que reciben servicios públicos y son accesibles a través del cortafuego, tal como HTTP, ftp, correo, y servicios del DNS (por ejemplo, todas las computadoras windows-based deben tener el paquete actual del servicio instalado). Además, aplique por favor cualquier actualización de la seguridad que se mencione en este relato, en boletines confiados en de la seguridad, o en sitios del Web del vendedor.
Haga cumplir una política de la contraseña. Las contraseñas complejas hacen difícil de agrietar archivos de la contraseña en las computadoras comprometidas. Esto ayuda a prevenir o a limitar daño cuando se compromete una computadora.
Configure su servidor del email para bloquear o para quitar el email que contiene los accesorios del archivo que se utilizan comúnmente para separar virus, tales como archivos de los vbs, del bat, del exe, del pif y del scr.
Aísle las computadoras infectadas rápidamente para evitar más lejos el compromiso de su organización. Realice un análisis forense y restaure las computadoras usando medios confiados en.
Entrene a los empleados para no abrir los accesorios a menos que los estén contando con. También, no ejecute el software que se descarga del Internet a menos que se haya explorado para los virus. Simplemente visitar un sitio comprometido del Web puede causar la infección si ciertas vulnerabilidades del browser no se remiendan.


Retiro usando la herramienta del retiro
La respuesta de la seguridad de Symantec ha desarrollado una herramienta del retiro para limpiar las infecciones de W32.Bofra.B@mm. Éste es el método preferido en la mayoría de los casos.

Retiro Manual
Las instrucciones siguientes pertenecen a todos los productos actuales y recientes del antivirus de Symantec, incluyendo las líneas de productos de Symantec AntiVirus y de Norton AntiVirus.


Inhabilite El Restore Del Sistema (Windows Me/XP).
Ponga al día las definiciones del virus.
Recomience la computadora en modo seguro o modo de VGA.
Funcione una exploración completa del sistema y suprima todos los archivos detectados como W32.Bofra.B@mm.
Suprima el valor que fue agregado al registro.

Para los detalles específicos en cada uno de estos pasos, lea las instrucciones siguientes.

1. Para inhabilitar el restore del sistema (Windows Me/XP)
Si usted está funcionando Windows yo o Windows.xp, recomendamos que usted da vuelta temporalmente apagado a restore del sistema. Windows Me/XP utiliza esta característica, que es permitida por el defecto, para restaurar los archivos en su computadora en caso de que se dañen. Si un virus, un gusano, o un Trojan infecta una computadora, el restore del sistema puede sostener el virus, el gusano, o el Trojan en la computadora.

Windows previene programas exteriores, incluyendo programas del antivirus, de restore de modificación del sistema. Por lo tanto, los programas del antivirus o las herramientas no pueden quitar amenazas en la carpeta del restore del sistema. Consecuentemente, el restore del sistema tiene el potencial de restaurar un archivo infectado en su computadora, incluso después usted haya limpiado los archivos infectados de el resto de localizaciones.

También, una exploración del virus puede detectar una amenaza en la carpeta del restore del sistema aunque usted ha quitado la amenaza.

Para las instrucciones en cómo dar vuelta apagado a restore del sistema, lea su documentación de Windows, o uno de los artículos siguientes:
"cómo inhabilitar o permitir Windows yo restore del sistema"
"cómo dar vuelta apagado o girar a restore del sistema de Windows.xp"


Nota: Cuando le acaban totalmente con el procedimiento de retiro y están satisfecho que la amenaza se ha quitado, vuelva a permitir el restore del sistema por después de las instrucciones en los documentos ya mencionados.

Para la información adicional, y un alternativa a inhabilitar Windows restore del sistema, ve el artículo de la base de conocimiento de Microsoft, las "herramientas de Antivirus no puede limpiar archivos infectados en _ la carpeta del restore," identificación del artículo: Q263455.

2. Para poner al día las definiciones del virus
La respuesta de la seguridad de Symantec prueba completamente todas las definiciones del virus para la garantía de calidad antes de que se fijen a nuestros servidores. Hay dos maneras de obtener las definiciones más recientes del virus:
LiveUpdate de funcionamiento, que es la manera más fácil de obtener definiciones del virus: Estas definiciones del virus se fijan a los servidores de LiveUpdate una vez que cada semana (generalmente el miércoles), a menos que haya un brote importante del virus. Para determinarse si las definiciones para esta amenaza están disponibles por LiveUpdate, refiera a las definiciones del virus (LiveUpdate).
Descargar las definiciones usando el Updater inteligente: Las definiciones inteligentes del virus de Updater se fijan diariamente. Usted debe descargar las definiciones del sitio del Web de la respuesta de la seguridad de Symantec e instalarlas manualmente. Para determinarse si las definiciones para esta amenaza están disponibles por el Updater inteligente, refiera a las definiciones del virus (Updater inteligente).

Las definiciones inteligentes del virus de Updater están disponibles: Leído "cómo poner al día la definición del virus archiva con el Updater inteligente" para las instrucciones detalladas.

3. Para recomenzar la computadora en modo seguro o modo de VGA
Cierre la computadora y dé vuelta apagado a la energía. Espere por lo menos 30 segundos, y después recomience la computadora en modo seguro o modo de VGA.
Para Windows 95, 98, yo, 2000, o los usuarios de XP, recomienzan la computadora en modo seguro. Para las instrucciones, lea el documento, "cómo encender la computadora en modo seguro."
Para Windows NT 4 usuarios, recomienzan la computadora en modo de VGA.

4. Para explorar para y suprimir los archivos infectados
Comience su programa del antivirus de Symantec y cerciórese de que está configurado para explorar todos los archivos.
Para los productos de consumo de Norton AntiVirus: Lea el documento, "cómo configurar Norton AntiVirus para explorar todos los archivos."
Para los productos de la empresa de Symantec AntiVirus: Lea el documento, "cómo verificar que un producto corporativo del antivirus de Symantec está fijado para explorar todos los archivos."
Funcione una exploración completa del sistema.
Si algunos archivos se detectan según lo infectado con W32.Bofra.B@mm, cancelación del tecleo.

5. Para suprimir el valor del registro
Importante: Symantec recomienda fuertemente que usted sostiene el registro antes de realizar cualesquiera cambios a él. Los cambios incorrectos al registro pueden dar lugar a pérdida permanente de los datos o a archivos corrompidos. Modifique las llaves especificadas solamente. Lea el documento, "cómo hacer una reserva del registro de Windows," para las instrucciones.

Chasque El Comienzo > Funcionado.
Mecanografíe el regedit

Entonces chasque MUY BIEN.


Navegue a la llave si existe:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


En el cristal derecho, suprima el valor:

"Reactor7" = "%System%\[randomname]32.exe"


Navegue a y suprima las llaves si existen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore

quite W32.Bofra.B@mm virus
Fuentes usadas: VirusAlert | Norman | Symantec