- Otras noticias
Servidores de Sourceforge comprometidos por atacantes
Un nuevo phishing bancario afecta a los clientes de La Caixa
Un gusano se aprovecha de Servidores JBoss Application Server vulnerables o mal configurados.jpg)
Múltiples actualizaciones críticas en Mac OS X
Llega el "spam navideño"
Cross-Site Scripting en Zabbix 
ESET detecta la utilización de codecs falsos para propagar códigos maliciosos
Un virus que promete ver quién visita nuestro perfil de Facebook se cuela en los equipos de miles de personas.jpg)
La investigación del crimen informático
Una actualización al día mantiene lejos al malware
- En el foro
-
VIRUS
W32/Netsky.AG. se propaga por correo electrónico
22 Oct 2004 | VS ANTIVIRUS.jpg)
Adiferencia de otras variantes, no modifica el registro para autoejecutarse en próximos reinicios (pero si crea una entrada para el "keylogger" que instala). Tampoco se envía en adjuntos con extensión .ZIP, ni lo hace en múltiples mensajes con características variables. Además, no se propaga por recursos compartidos en redes, según publica hoy Vsantivirus.
Existen al menos dos variantes creadas el mismo día, con pequeñas diferencias entre ellas. Ambas poseen algunos errores en su código que hace que no se ejecuten correctamente en algunos sistemas.
Cuando se ejecuta, si detecta una conexión a Internet establecida, el gusano intenta enviarse a si mismo a direcciones encontradas en archivos del sistema infectado.
Las muestras reportadas utilizaban un mensaje como el siguiente:
Para: [destinatario]
De: [destinatario]
Asunto: Mail Delivery failure - [destinatario]
Texto del mensaje:If the message will not displayed automatically,
you can check original in attached message.txt
Failed message also saved at:
www. [dominio] .com/inbox/security/read.asp?sessionid-?????
(check attached instructions)
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.comDatos adjuntos:
message txt length ????? bytes mcafee.com
En todos los casos, "?????" son números al azar.
Cuando el adjunto es ejecutado en forma manual (al ser recibido), el gusano crea los siguientes archivos:c:\csrss.exe
c:\csrss.binCSRSS.EXE es un keylogger (un programa que monitorea constantemente la salida del teclado, para capturar todo lo ingresado a través de él). Para ejecutarlo en cada reinicio, el gusano crea la siguiente entrada en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key Logger = "c:\csrss.exe"El archivo CSRSS.BIN almacena lo capturado desde el teclado.
El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:.dat
.dbx
.eml
.mbx
.mdb
.tbb
.wabTambién busca direcciones en archivos cuyos nombres contienen la siguiente cadena:
inbox
El gusano contiene una rutina capaz de enviar paquetes SYN a direcciones IP al azar en puertos TCP seleccionados entre el 28000 y el 28500.
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:c:\csrss.bin
c:\csrss.exePinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Key Logger
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'. - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
en mi SO w2000 tengo tres gusanos, el lsass.exe , el spoolsv.exe y el csrss.exe y no puedo eliminar ninguno de los tres porke se me niega el acceso a los mismos, encima para ke no me sigan atacando puse el zone alarm y ahora entonces tampoco puedo bajar ni parches ni antivirus. ké hago?
fede_thecrow@hotmail.com
yo lo k ice fue desde Modo a prueba de fallos i entre como administrador, i desde msdos lo borre, con la orden DEL csrss.exe, es facil hacerlo, pero asta k se me ocurrio la puta idea...mandahuevos, no me dejaba borrarlo, kitando el proceso, ya k no me dejaba kitar el proceso(matarlo) i el antivirus esta medio bobo... NORTONNN stais boboss..ni on-line, manda huevos...i el kaspersky otro tanto, k me lo baje i el norton me encontraba virus en el
jajajajaja...enga, spero averos ayudao (yo tengo windows XP, pero en 2000 i el resto supongo k sea =)..un saludo, si kieren algo mas..canilla6699@hotmail.com
hola, tengo un problema con un troyano, se llama csrss, segui los pasos que tienen aqui, pero ya que antes de leer esto des habilite el restore sistem y luego entre en modo a prueba de fallos y escanee los discos duros, el anti spyware, me detecto varias fallas y las arreglo es por esto que en la carpera run, no me sale ninguna de las claves que ustedes dice, mas bien en ninguna carpeta de las que me dicen, mi problema con el csrss, es que me pone ventanas emergentes que me dicen que baje un programa de una pagina y me estan saliendo a todo momento, y no lo puedo eliminar ni en modo aprueba de fallos, me dice que es un proeso de sistema critico, porfavor si alguien sabe lo que me esta pasando y puede ayudarme a solucionar el problema se lo agradeceria mucho, bueno espero que me ayuden, gracias por escucharme y dar este espacio para ayudar a los que necesitan ser ayudados, bueno espero me ayuden, gracias , bye =)
Hola a todos tengo el problema con el csrss.exe, lo he intantao to y no hay narices a eliminarlo ya no se que hacer con el por favor decirme como.
Gracias a todos.
tengo dos archivos csrss.exe, los dos en el mismo drectorio Windows/system32, solo que uno está en Windows/system32/dllcache, tiene casi el mismo tamaño, Cuál es el virus?
Gracias por la ayuda.
Yo no se si es cierto que el crss.exe es un trojan, pero en muchas paginas pone que es un componente del windows que viene ya con su sistema operativo que se encarga de tareas graficas del sistema operativo y dle que dependen muchos otros procesos de windows.
Aseguraos que es un trojano o un keylogger porque empiezo a pensar que aqui os estan tomando el pelo.
como dic nuestro amigo anonimo tiene razon... yo tambien pienso q es un archivo critico d windows.. le di formato a la compu mas d una vez y to davia sigue apareciendo el mismo archivo esto signifik q es un component d windows amenos q ca un virus el cual c qde aun dandole formato.. aunq tambien m paso lo de las ventanas emergents como dic christian en todo caso no t compliques la vida iniciandola en modo a prueva d fallos y pasando el antivirus o lo q ca.. lo unico q tnes q hacr e entrar en la carpeta sistem32 y buscar por tu propia cuenta el archivo .exe (csrss.exe) como no c puede eliminar lo q tnes q hacr es camviarle el nombre ejemplo:csrsso.exe. el sistema va a vuscar un archivo con el nombre csrss.exe y como no lo va a encontrar porq le camviast el nombre no lo va a ejecutar esto tambien t permite eliminarlo. aunq no lo recomiendo porq si causa algun error en el sistema podes volver a el mismo archivo y borrar la letra o el caractr agregado para q el sistema lo vuelva a toma.
Esto lo encontre en la pagina www.yoreparo.com/procesos/csrss.exe.html
Nombre: Microsoft Client/Server Runtime Server Subsystem
Descripción:
csrss.exe es el ejecutable principal para el Microsoft Client/Server Runtime Server Subsystem. Este proceso maneja la mayoría de los comandos gráficos en Windows Este programa es importante para la estabilidad y seguridad de tu sistema y no debería ser detenido.
Autor: Microsoft corp.
Parte de: Microsoft Windows
el problema que tengo con mi maquina es que en cualquier momento se reinicia sola, encontre que se estaba ejecutando csrss.exe busque informaciony encontre esto
es ke hay dos archivos
1)crss
2)cSrss
fijense bien y ke les valla bien
kualkier kosa Michel_ska_14@hotmail.com
es ke hay dos archivos
1)crss
2)cSrss
fijense bien y ke les valla bien
kualkier kosa Michel_ska_14@hotmail.com
Imbecil, dices k es un archivo de win pero por k rayos no te lo bajas, para k veas k bonito es tenerlo en tu pc
NOOB
La verda yo no habia visto nigun csrss.exe
pero si un Csrs.exe
solo instale el nod32 y lo elimino facilmente
incluso otros trojan desconocidos, creo que es el mejor antivirus.
asi que mejor fijense bien, pues ese csrss.exe si es de sistema.