Ver las NORMAS de estos Foros Web ZackYFileS Chat ZackYFileS Agregar a Favoritos Contactar con Administrador
 
 

www.PADREDEFAMILA.COM La MEJOR tienda de venta de Electronica!!
Navegación
Retroceder   Foros ZackYFileS >
OTROS TEMAS DE INTERES - INTERNET:
> HARDWARE y SOFTWARE del PC
Nombre de usuario
Contraseña
Configuración de UsuarioAyuda (FAQs)Nuevos PostsBuscar


Tema cerrado
 
Herramientas
Antiguo 04/05/2004, 01:32   #1
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Herramienta para limpiar y desinfectar el gusano "Sasser" (W32/Sasser)

Microsoft notifica la presencia de un virus de tipo Gusano identificado como: "W32. Sasser.Worm" y sus variantes que actualmente se están difundiendo por Internet. El gusano explota el Servicio del Subsistema de Autoridades de Seguridad Local (LSASS- Local Security Authority Subsystem Service), una vulnerabilidad ya detectada previamente en la Actualización de Seguridad de Microsoft MS04-011 de 13 de abril de 2004.

[B]Sistemas Operativos Afectados[/B]

Windows 2000, Windows Server 2003 y Windows XP.

[B]Sintomas[/B]

Reinicia el PC y los vuelve a cerrar automáticamente pasado un minuto, y repite ese procedimiento numerosas veces.

[B]Parche[/B]

Microsoft aconseja a todos sus clientes a que se protejan contra este gusano instalando inmediatamente el parche, mas informacion en el Boletín de Seguridad de Microsoft MS04-011 que puede obtener en;
[URL=http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe]http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe[/URL]

[URL=http://www.internautas.org/article.php?sid=1661]Recomendaciones para prevenir las infecciones por virus gusanos[/URL]

Fuente : Asociacion de Internautas
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Publicidad: Conoce las ofertas de ANUNCIATE
Antiguo 04/05/2004, 01:41   #2
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Apenas unas horas después de la aparición del gusano de red Sasser, se
ha detectado una nueva variante muy similar, denominada Sasser.B.
Microsoft ha distribuido un comunicado especial alertando sobre el
peligro y facilitando una herramienta on-line de detección y
desinfección.

Como ya adelantamos en la entrega de ayer, "01/05/2004 - Gusano Sasser
infecta automáticamente sistemas Windows 2000 y XP vulnerables"
([url]http://www.hispasec.com/unaaldia/2016[/url]), Sasser se aprovecha de un
desbordamiento de buffer en el servicio LSASS de Windows,
vulnerabilidad corregida en el macroparche MS04-011 que Microsoft
distribuyó en abril.

Potenciales víctimas de este gusano son aquellos sistemas que no hayan
aplicado el parche MS04-011 y que posean alguna de las siguientes
versiones de Windows:

- Windows XP
- Windows XP Service Pack 1
- Windows 2000 Service Pack 2
- Windows 2000 Service Pack 3
- Windows 2000 Service Pack 4

Pese a que en un primer momento Sasser.A y Sasser.B están afectando a
los sistemas vulnerables conectados directamente a Internet, si el
gusano alcanza redes locales e intranets puede causar daños mayores.

En estos entornos cerrados, con direcciones privadas y a priori
protegidos por firewalls perimetrales de las conexiones de Internet,
se suele relajar la seguridad de los equipos, descuidando la
actualización puntual de los sistemas, y permitiendo el acceso
indiscriminado a los puertos TCP donde el gusano actúa. En una red
corporativa Sasser puede causar el colapso de los sistemas y las
comunicaciones.

Especial cuidado deberá aplicarse con la conexión de ordenadores a
la red corporativa, como por ejemplo portátiles, que pudieran haberse
infectado con anterioridad.

De nuevo, desde Hispasec recordamos la necesidad de que todos los
usuarios y administradores de sistemas, que aun no lo hayan hecho,
actualicen sus sistemas con este parche, bien a través del servicio
automático WindowsUpdate ([url]http://windowsupdate.microsoft.com[/url]), bien
descargándolo de forma directa en la página web del boletín
([url]http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp[/url] ).

Otras medidas preventivas, que recomiendan las buenas prácticas de
seguridad, pasan por filtrar los puertos TCP afectados e impedir
conexiones indiscriminadas. Para ello se puede recurrir a las propias
funcionalidades que proporciona Windows 2000 y XP en las propiedades
del protocolo TCP/IP, Opciones Avanzadas, pestaña Opciones,
propiedades Filtrado TCP/IP. Otra opción preventiva recomendada pasa
por instalar y activar un firewall personal.

Microsoft ha proporcionado una utilidad on-line para detectar y
eliminar al gusano Sasser.A y Sasser.B de los sistemas infectados
desde una página web, disponible en la dirección:
[url]http://www.microsoft.com/security/incident/sasser.asp[/url]

También puede descargarse el ejecutable para su uso posterior en
cualquier sistema:
[url]http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en[/url]

Las principales casas antivirus también proporcionan utilidades
similares, que pueden encontrar en sus respectivas páginas web,
además de las pertinentes actualizaciones para sus motores
antivirus.


Desinfección manual de Sasser.A y Sasser.B

Como primera medida es necesario instalar el parche MS04-011 de
Microsoft para evitar que el equipo se vuelva a infectar. En su defecto
impedir el acceso indiscriminado a los puertos TCP afectados, bien
filtrándolos directamente en la configuración de TCP/IP o activando
un firewall personal.

A continuación debemos eliminar al gusano de la memoria, a través
del administrador de tareas finalizaremos los procesos avserver.exe
(en el caso de Sasser.A), avserver2.exe (para Sasser.B), y cualquier
otro que responda al patrón *_up.exe, donde el asterisco comodín
equivale a varios dígitos al azar.

Después es preciso eliminar esos mismos nombres de archivos que se
encontraran en nuestro sistema. Avserver.exe o avserver2.exe en la
carpeta de Windows, y *_up.exe en la carpeta system32 de Windows.

Por último se reiniciará el equipo después de eliminar la siguiente
entrada en el registro de Windows, que se ocupaba de lanzar al
gusano en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe" = C:\WINDOWS\avserve.exe
(avserve2.exe en el caso de Sasser.B)

Como ocurrió en el caso de Blaster, algunos usuarios se encontrarán
con problemas para instalar primero el parche MS04-011 desde Internet,
ya que aunque hagan el resto de pasos para desinfectar manualmente el
gusano, éste volverá a infectarles mientras realizan la descarga del
parche, provocando el reinicio del sistema e impidiendo la
actualización.

En estos casos se procederá en primer lugar a filtrar los puertos TCP
o a activar un firewall personal, lo que evita una nueva infección
del gusano. A continuación se realizarán los pasos comentados para
eliminarlo de la memoria, el disco duro y el registro, por último
se procederá a la actualización con el parche MS04-011 y reinicio del
equipo.


Descripción de Sasser.A y Sasser.B

A continuación reproducimos la descripción realizada del Sasser.A en
la anterior entrega de una-al-dia, ya que el funcionamiento de
Sasser.B es prácticamente idéntico, con las siguientes excepciones:

- durante el barrido de IPs lanza 128 procesos en vez de 128 hilos
- log que crea en la unidad C: es win2.log en vez de win.log
- el gusano se renombra como avserve2.exe en vez de avserve.exe


Así funciona Sasser.A

Los ordenadores infectados por Sasser abren un servicio FTP en el
puerto TCP/5554 para permitir la descarga del ejecutable del gusano.
Para infectar a otros sistemas, el gusano realiza un barrido de
direcciones IP semialeatorio, intentando conectar con el puerto
TCP/445 de cada una de ellas (puerto por defecto donde se encuentra
el servicio LSSAS vulnerable).

El 25% de las direcciones IPs a las que se dirige pertenecen a la
misma clase A que la dirección IP del ordenador infectado, otro 25%
corresponderá a la misma clase B, mientras que el 50% restante
son calculadas completamente al azar.

Cada vez que consigue contactar con el puerto TCP/445 en alguna de
las IPs, envía código para explotar la vulnerabilidad LSASS, de forma
que si el sistema es vulnerable logra abrir un shell en el puerto
TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del
ordenador infectado desde el que realizó el barrido, para descargar
por FTP el ejecutable del gusano. El nombre del archivo descargado
será [numero]_up.exe, donde [numero] equivale a una serie de dígitos
al azar, por ejemplo 23983_up.exe.

En el nuevo sistema el gusano se copia en la carpeta de Windows como
avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave
en el registro de Windows para asegurarse su ejecución en cada inicio
de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe"="%Windir%\avserve.exe"

El nuevo sistema infectado actuará entonces como otro punto de
distribución, iniciando un nuevo barrido de IPs en busca de otros
sistemas vulnerables a los que infectar.


Síntomas

Además de detectar la entrada en el registro, el archivo avserve.exe
en la carpeta de Windows, el proceso avserve.exe en memoria, o el
archivo win.log en el raíz de la unidad C:, otro síntoma que nos puede
indicar que un sistema se encuentra infectado es una ralentización
general, que será provocada por el consumo de CPU que provocan los 128
hilos de ejecución que el gusano lanza para realizar los barridos de
IPs.

Otras evidencias visibles a primera vista son las ventanas de Windows
alertando de problemas en LSA Shell o de errores en lsass.exe y el
reinicio del sistema, provocados por la explotación del desbordamiento
de buffer del servicio LSASS.

Fuente : Hispasec
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 05/05/2004, 10:09   #3
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Todo lo que se debería saber sobre el Sasser

Ante la propagación que está experimentando Sasser, Microsoft Ibérica ha decidido habilitar una página con todo lo necesario para erradicar a Sasser.

Recordemos que el equipo de Microsoft ha confirmado que el gusano W32.Sasser.A y sus variantes ataca la vulnerabilidad de LSASS para la que ya se ofreció una actualización de seguridad el 13 de abril en el Boletín de Seguridad de Microsoft MS04-011.

[URL=http://www.microsoft.com/spain/seguridad/incidencia/sasser.asp]Sitio Microsoft[/URL]

Fuente : HispaMp3
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 05/05/2004, 21:09   #4
tresnanos
motero y pianista
 
Avatar de tresnanos
 
Fecha de ingreso: 17/ago/2003
Mensajes: 13.133
tresnanos ha deshabilitado la reputación
[QUOTE]Escrito originalmente por
caminero21

[B]Cuando aun nos encontramos en plena epidemia, con la aparición en las
últimas horas de una cuarta variante, podemos afirmar que el gusano
Sasser ha sido un mal menor. Todas las máquinas infectadas permitían
a un intruso obtener el control total sobre ellas, desde la
posibilidad de sustraer datos sensibles como documentos privados o
las claves de la banca electrónica del usuario, hasta borrar todo el
sistema local y unidades de red.

A nadie escapa los quebraderos de cabeza que Sasser está ocasionando
tanto en sistemas domésticos como, especialmente, en redes
corporativas. Si bien, afortunadamente, el gusano sólo estaba
programado para reproducirse, sin llevar a cabo ninguna acción
adicional.

Si el creador del gusano hubiera introducido una simple línea más de
código con algunas instrucciones dañinas, algo que no requiere ningún
esfuerzo técnico especial, podríamos estar en estos momentos en una
catástrofe sin precedentes que probablemente traspasaría la barrera
de lo estrictamente informático, por la cantidad y sensibilidad de los
procesos y datos a los que habría podido afectar. Pensemos por un
momento que simplemente hubiera borrado todas las unidades a las que
tenía acceso en cada uno de los ordenadores infectados.

En ningún caso pretendo minimizar el daño causado por el autor del
gusano, de proporciones incalculables y que no tiene justificación
alguna. En estos momentos ya hay varias investigaciones en paralelo
para localizar el origen y llevar al autor ante la justicia. Si bien,
es necesario llevar a cabo un ejercicio de autocrítica más allá de
culpar exclusivamente al creador del mismo y ser conscientes del
riesgo real que entraña no instalar puntualmente los parches, no en
vano está en juego la seguridad de todos los datos y procesos
dependientes de nuestros sistemas. ¿Podemos permitirnos arriesgarlos
de nuevo?


La historia se vuelve a repetir, una y otra vez.

Code Red y Nimda en el 2001, o SQL/Slammer en el 2003, han sido claros
exponentes de gusanos de propagación masiva que aprovechaban
vulnerabilidades en los productos de Microsoft para propagarse de
forma automática. Mucho más peligrosos que los típicos gusanos que
se propagan por el correo electrónico, que requieren que el usuario
los abra y ejecute para poder activarse.

Sin ir más lejos, en agosto de 2003 asistimos a la epidemia global
causada por el gusano Blaster, que aprovechaba una vulnerabilidad en
un servicio estándar de Windows, prácticamente un calco a lo que está
ocurriendo con Sasser.

El patrón se repite. Gusanos de red que aprovechan vulnerabilidades,
cuyos parches para corregirlas y prevenir la infección estaban
disponibles con antelación. En todos los casos, desde Hispasec
advertimos por este mismo medio del riesgo potencial que entrañaba
no instalar dichos partes, incluso pronosticando la aparición de
gusanos.

Llegados a este se puede discutir el grado de responsabilidad de
Microsoft en el origen de las vulnerabilidades, su política de
distribución de parches, esperar a que incorpore y active por
defecto un firewall personal, barajar la posibilidad de migrar a
otro sistema operativo con menos índices de virus y gusanos, o la
necesidad de que los antivirus cambien su modelo reactivo que
a todas luces es más que insuficiente contra este tipo de gusanos,
capaces de infectar miles de sistemas en cuestión de minutos.

Otra opción, que no excluye todo lo anterior y a muchos más factores,
es empezar por hacer autocrítica constructiva, y que los afectados
asuman su buena parte de responsabilidad de cara a prevenir futuros
incidentes.


Actualizar los sistemas, tan simple como efectivo

Dejando al margen comparaciones sobre el número de vulnerabilidades
críticas que periódicamente afectan a Microsoft, los usuarios de
Windows deben ser conscientes de que se trata de un producto que
debe ser actualizado regular y puntualmente, como todos los sistemas
operativos, en mayor o menor medida.

Es necesario realizar una campaña de concienciación/educación sobre
la necesidad de mantener actualizados los sistemas, de las
herramientas y servicios automáticos que existen para facilitar esta
tarea, y de los riesgos que entraña no seguir esta práctica.

Ya no sólo para evitar infecciones de gusanos como Sasser, o de
efectos peores. Sino que los usuarios deben ser conscientes de que,
cada vez que no instalan un parche crítico, están dejando una puerta
abierta para que un intruso pueda controlar totalmente su sistema,
sustraer su información más sensible, borrar sus discos duros, o
espiar todo lo que hacen con su ordenador. Y esto ocurre con mucha
más frecuencia de la que se cree, con el agravante de que suele
pasar desapercibido, al contrario de lo que ocurre con los gusanos.

En el ámbito corporativo todo lo anterior es aplicable. En Hispasec
observamos, durante las auditorías de seguridad a sistemas
corporativos, como suele existir una atención especial en la
protección perimetral y de los servidores con servicios en Internet,
dejando en un segundo plano, a veces olvidado, al resto de servidores
internos, y especialmente a los PCs que actúan como estaciones de
trabajo.

Es un grave error, de hecho toda la información sensible pasa por
las estaciones de trabajo, que en la mayoría de las ocasiones podría
estar bajo el control de un atacante gracias a las vulnerabilidades
que poseen.

Otro talón de Aquiles típico en las políticas de seguridad son el
control de los dispositivos móviles de uso personal, como portátiles,
o usuarios de acceso remoto. En la mayoría de los casos se tratan
de sistemas que se encuentran más expuestos a los riesgos de
seguridad, ya que no siempre están bajo el paraguas de las
protecciones corporativas. Sin embargo estos sistemas pueden llegar
a tener una estrecha relación con la red interna, siendo en muchos
casos el origen de las infecciones.

Fuente : HispaSec [/B][/QUOTE]
__________________
AUDACES FORTUNA JUVET
tresnanos está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 07/05/2004, 18:19   #5
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]Engañando a Sasser[/B]

Panda Antivirus, nos detalla como engañar al tristemente popular Sasser, y evitar los molestos problemas que ocasiona el reiterado reinicio del sistema ocasionado por el gusano.

El reinicio del sistema que ocasiona Sasser produce que muchos usuarios no puedan eliminar el virus de sus sistemas.

Cuando una variante de Sasser infecta un sistema, su usuario no puede emplear su equipo ya que este se reinicia cada 60 segundos, tiempo generalmente insuficiente para eliminar el virus, descargar el parche de Microsoft e instalarlo.

No obstante podemos conseguir un margen algo mayor de tiempo si atrasamos la hora del reloj del sistema:

1. Cuando aparezca la ventana indicando que el sistema va a reiniciarse, hacer doble click sobre las cifras horarias que se muestran en la parte inferior derecha del monitor.
2. Tras abrirse la pantalla de configuración horaria poner, en el recuadro en el que aparece la hora y minutos, unas horas de retraso respecto a la que aparece.

Ello nos dará un margen para eliminar el virus e instalar el parche con tranquilidad.

Fuente : HispaMp3
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 09/05/2004, 17:54   #6
tresnanos
motero y pianista
 
Avatar de tresnanos
 
Fecha de ingreso: 17/ago/2003
Mensajes: 13.133
tresnanos ha deshabilitado la reputación
Alemania.- El presunto autor del virus Sasser, un joven de 18 años, podría ser condenado a cinco años de cárcel

HANNOVER (ALEMANIA), 8 (EUROPA PRESS)

El joven alemán de 18 años que hoy confesó ser autor del virus informático Sasser que desde el pasado 1 de mayo ha infectado a millones de ordenadores en todo el mundo, puede ser condenado a hasta cinco años de cárcel, según informó un portavoz de la policía criminal alemana.

Detenido ayer en Rotemburgo (norte de Alemania), el sospechoso puede ser acusado de "sabotaje informático", subrayó el portavoz de la policía criminal regional de Baja

Sajonia (LKA), durante una conferencia de prensa ofrecida en Hanover (norte).

El joven fue liberado después de confesar, subrayó la LKA y la Fiscalía encargada de la investigación. "Teniendo en cuenta las declaraciones detalladas del estudiante sobre el virus que diseminó, ha sido identificado sin ambigüedad como el autor de los hechos", agregó la Policía y la Fiscalía en la conferencia.

Sobre el joven también recae la sospecha de estar detrás del virus "Netsky.ac", que se burlaba de las víctimas de Sasser y de los expertos de Microsoft. "Estimulado por discusiones con camaradas de clase apasionados como él por la informática, también ha desarrollado el 'Netsky'", subrayó la policía criminal regional.
__________________
AUDACES FORTUNA JUVET
tresnanos está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 13/05/2004, 18:19   #7
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Microsoft Sasser (A-F) Worm Removal Tool 4.0

Ante la propagación que está experimentando Sasser, Microsoft ha actualizado su herramienta de limpieza contra el popular troyano.

El gusano W32.Sasser.A y sus variantes ataca la vulnerabilidad de LSASS para la que ya se ofreció una actualización de seguridad el 13 de abril en el Boletín de Seguridad de Microsoft MS04-011.

Si estás infectado, Microsoft Sasser (A-F) Worm Removal Tool 3.0 eliminará cualquier variedad de Sasser de tu sistema.

Automáticamente comprobará tu sistema y lo desinfectará en caso de que contenga el virus.

Una vez finalizado el proceso el programa nos mostrará un mensajes detallándonos el proceso de detección y desinfección.

Finalmente también creará un archivo log "sasscln.log" en la carpeta %WINDIR%debug.

[URL=http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V4.exe]Microsoft Sasser (A-F) Worm Removal Tool 4.0 [/URL]
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 15/05/2004, 15:13   #8
sabito
.
 
Avatar de sabito
 
Fecha de ingreso: 17/ene/2004
Mensajes: 45.229
sabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatar
Infectación por virus

En una primera época, los códigos maliciosos se activaban en los sistemas
cuando un usuario ejecutaba un archivo infectado o, en el caso de los virus
del sector de arranque, cuando se leía un disco infectado.

En el caso de los archivos, el ejemplar vírico intentaba introducirse en
todos los ejecutables que encontraba en las unidades, incluidos los del
sistema operativo, de forma que al iniciarse el sistema, o al lanzar
cualquier aplicación, el virus podía activarse en memoria y seguir su
actividad. Un caso típico de virus clásico que se asegura su activación cada
vez que se inicia el sistema es "Lehigh", que únicamente infecta al
COMMAND.COM, el intérprete de comandos que inicia MS/DOS.

El caso de los virus de boot es similar al anteriormente explicado, ya que
al leerse un disquete infectado el virus se activa y procede a infectar el
sector de arranque del disco duro. Cada vez que, a posteriori, se inicia el
sistema operativo desde el disco duro, el virus se activa en memoria
dispuesto a infectar cualquier disquete que se introduzca.

Con la aparición de Windows descendió la aparición de virus que basaban su
propagación en las dos técnicas mencionadas. En la actualidad, los
ejemplares de malware que más proliferan son gusanos de Internet y troyanos
con capacidades de backdoor que aseguran su activación en cada inicio de
sistema, mediante la inserción -en la clave del registro de Windows que
aparece a continuación- de una referencia al ejecutable infectado:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

En la citada clave se encontrarán referencias a aplicaciones legítimas que
se ejecutan cada vez que iniciamos Windows, y también podría hallarse la
llamada a algún troyano o gusano. Un caso reciente lo encontramos en el
gusano "Sasser.B", que se activaba con la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = %windir%\avserve2.exe

Para poder visualizar o eliminar entradas en esta clave podemos recurrir a
la aplicación REGEDIT.EXE, que permite recorrer todo el árbol de claves del
registro de Windows.

(*) Malware: cualquier programa, documento o mensaje susceptible de causar
perjuicios a los usuarios de sistemas informáticos.
sabito está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 16/05/2004, 17:29   #9
sabito
.
 
Avatar de sabito
 
Fecha de ingreso: 17/ene/2004
Mensajes: 45.229
sabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatar
Resumen virus

Sasser.F se difunde a través de Internet, aprovechándose para ello de la
vulnerabilidad LSASS. En el equipo al que afecta provoca un desbordamiento
de buffer en el programa LSASS.EXE, el reinicio del ordenador y la aparición
en pantalla de un mensaje. Como las otras variantes de Sasser aparecidas con
anterioridad, la F se propaga de manera automática en ordenadores con
Windows XP/2000. También funciona en el resto de sistemas operativos
Windows, si el archivo que lo contiene es ejecutado por un usuario
malicioso.

Como el código malicioso citado anteriormente, Cycle.A también se propaga a
través de Internet, explotando la vulnerabilidad LSASS y provocando el
reinicio del ordenador afectado. A su vez, finaliza los procesos
correspondientes a los gusanos Blaster, Sasser.A, Sasser.B, Sasser.C y
Sasser.D, y realiza ataques de Denegación de Servicio (DoS) contra varios
sitios web, cuando la fecha del sistema no se encuentra entre el 1 y el 18
de mayo, ambos inclusive.

El tercer gusano al que nos referimos hoy es Bagle.AC, que finaliza procesos
correspondientes a diversas aplicaciones de seguridad, como programas
antivirus y firewalls, así como diferentes gusanos. Además, intenta
conectarse -a través del puerto 14441- a varias páginas web, que albergan un
script PHP, con el objetivo de notificar a su autor que el ordenador ha sido
afectado.

Sober.G, por su parte, es un gusano que se propaga a través del correo
electrónico en un mensaje escrito en inglés o alemán, dependiendo de la
extensión del dominio de la dirección de correo del usuario. En el equipo al
que afecta busca, en ficheros que tienen determinadas extensiones,
direcciones de correo electrónico, a las que se envía empleando su propio
motor SMTP.

El quinto gusano del presente informe es Wallon.A, que se descarga en el
ordenador aprovechándose para ello de la vulnerabilidad Exploit/MIE.CHM. El
proceso que realiza para difundirse es el siguiente: el usuario recibe un
e-mail que contiene un enlace a una determinada página web. Si el usuario
visita la referida página, Wallon.A se descarga en el equipo.

Wallon.A recoge todos los contactos que encuentra en la Libreta de
direcciones de Windows y los envía a una dirección de correo electrónico.
Asimismo, este gusano cambia la página de inicio del navegador Internet
Explorer y, si la Libreta de direcciones de Windows se encuentra vacía,
muestra en pantalla un mensaje de error.

Finalizamos el informe de hoy con Qhost.gen, que es una detección genérica
de ficheros HOSTS modificados por varios ejemplares de malware, entre los
que se encuentran diferentes variantes del Gaobot. El citado fichero
contiene una serie de líneas que son las primeras que Windows utiliza para
la resolución de nombres a direcciones IP (antes que otros servicios tales
como WINS o DNS).

Los ficheros HOSTS son modificados por el citado malware de tal forma que
asocian una lista de direcciones web a la dirección IP 127.0.0.1,
consiguiendo así que las direcciones incluidas en dicha lista sean
inaccesibles. Las referidas páginas web suelen pertenecer a compañías que
comercializan software de seguridad como, por ejemplo, soluciones
antimalware. Por tal motivo, el usuario cuyo equipo haya resultado afectado
por Qhost.gen no podría acceder a estas páginas y consultar información,
actualizar su solución, etc.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
sabito está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 18/05/2004, 01:41   #10
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Dabber, un gusano de otro gusano

Dabber, es un nuevo gusano, especialmente diseñado para aprovechar una vulnerabilidad existente en otro gusano, el Sasser.

También conocido como W32/Dabber.A.worm, el gusano aprovecha una vulnerabilidad en el servidor FTP de Sasser, para infectar ordenadores que se encuentren afectados por alguna de las variantes de Sasser.

A diferencia de Sasser, Dabber es bastante más peligroso que este, ya que instala una puerta trasera que permite acceder remotamente al computador afectado, comprometiendo seriamente la confidencialidad del sistema infectado.

Por otro lado también es capaz de actuar como servidor TFTP, mediante el cual se podrán descargar todo tipo de archivos del sistema.

Fuente : HispaMp3
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 18/05/2004, 01:44   #11
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Microsoft publica una solución oficial para el problema ocasionado por el Gusano Sasser y sus variantes A-B-C-D-E.

Su equipo se reinicia pasado un minuto? posiblemente este afectado por el gusano Sasser que se aprovecha de una vulnerabilidad del sistema operativo de Microsoft.

Sasser es el gusano que a infectados millones de ordenadores batiendo todos los records de infección de máquinas por todo el mundo. Su posible autor ya fue detenido pero esto no quiere decir que el brote a terminado aun hay muchas máquinas que no estas parcheadas, si usted es uno de estos afectados Microsoft a sacado un parche para el problema.

[URL=http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp]Parche[/URL]

Fuente : Asociacion de Internautas
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 23/05/2004, 20:44   #12
sabito
.
 
Avatar de sabito
 
Fecha de ingreso: 17/ene/2004
Mensajes: 45.229
sabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatar
Virus, Bobax y sus variantes

Madrid, 23 de mayo de 2004 - El informe sobre virus e intrusos de la presente semana se ocupa de los gusanos Bobax.A, Bobax.B, Bobax.C, Kibuv.A y Lovgate.AF, así como del troyano Ldpinch.W.

Los tres gusanos Bobax (A,B y C) son muy similares entre sí, ya que difieren únicamente en el tamaño de su código. La principal característica de esta nueva familia de códigos maliciosos es que -al igual que hacía el conocido gusano Sasser- aprovechan la vulnerabilidad LSASS de Windows para propagarse. Así, recorren Internet en busca de ordenadores que presenten la mencionada vulnerabilidad. Cuando encuentran alguno, los gusanos Bobax envían instrucciones para que el propio equipo descargue y ejecute un archivo conteniendo el código malicioso. En el momento en que alguno de ellos hace uso de la vulnerabilidad LSASS se produce un desbordamiento de buffer que esencadena el reinicio del ordenador.

[B]Pese a que la vulnerabilidad LSASS sólo afecta a sistemas que funcionen bajo Windows XP y 2000, Bobax y sus variantes también pueden afectar al resto de plataformas Windows. En ese caso los gusanos no pueden entrar en los ordenadores de forma automática, sino que es necesario que el usuario ejecute un archivo que contenga algún ejemplar de Bobax para que el equipo
quede infectado.[/B]

Una vez instalados, los gusanos Bobax abren varios puertos de comunicaciones, permitiendo a usuarios maliciosos utilizar los equipos como servidores SMTP para el envío de correo electrónico. De esta manera, los ordenadores pueden verse convertidos en una especie de zombis para el envío de correo no solicitado o spam.

Kibuv.A es otro imitador de Sasser, y sus efectos son muy similares. También hace uso de la vulnerabilidad LSASS para propagarse, provocando el reinicio del ordenador. Al igual que los gusanos Bobax, funciona en todas las plataformas Windows, si bien sólo puede entrar de forma automática en equipos que funcionen bajo las versiones XP y 2000.

Por su parte, Lovgate.AF es un gusano con características de backdoor que emplea diversas técnicas de propagación, como pueden ser mensajes de correo electrónico, el programa de intercambio de ficheros KaZaA, recursos compartidos de red, etc.

Una vez que se ha instalado en el sistema, Lovgate.AF abre un puerto para enviar un mensaje a un usuario remoto, notificando que el ordenador ha sido afectado y es susceptible de ser atacado.

Por último, el troyano Ldpinch.W. ha sido enviado masivamente por usuarios maliciosos en mensajes de correo electrónico con el asunto: "Important news about our soldiers in IRAQ!!!". El cuerpo del mismo contiene un texto que hace alusión al conflicto de Irak, e incluye un link a una página web que informa sobre dicho suceso. El e-mail también adjunta un archivo comprimido llamado IMPORTANT INFORMATION.ZIP que, a su vez, contiene el fichero IMPORTANT INFORMATION.SCR. En caso de que el usuario ejecute este último archivo, Ldpinch.W se instalará en el ordenador.

Ldpinch.W está diseñado para robar información confidencial del sistema y enviarla a una dirección de correo electrónico predeterminada. De esa manera, el creador del virus puede utilizar los datos obtenidos de forma fraudulenta.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
[url]http://www.pandasoftware.es/virus_info/enciclopedia/[/url]

Información adicional

- Vulnerabilidad: fallos o huecos de seguridad detectados en algún programa o sistema informático, que los virus utilizan para propagarse e infectar.

- Backdoor: se trata de un programa que se introduce en el ordenador y establece una puerta trasera a través de la cual es posible controlar el sistema afectado, sin conocimiento por parte del usuario.

Más definiciones técnicas en:
[url]http://www.pandasoftware.es/virus_info/glosario/default.aspx[/url]
sabito está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 30/05/2004, 13:51   #13
calpe19 
LÍDER CONCURSOS DEL FORO
 
Avatar de calpe19
 
Fecha de ingreso: 01/dic/2002
Mensajes: 737
calpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la fama
Nuevo virus infecta a las víctimas con mejor ancho de banda

Aunque parezca extraño, los virus son cada vez más selectivos a la hora de infectar sistemas Windows. El gusano Bobax es capaz de comprobar la velocidad de conexión de la máquina que va a infectar y si le parece suficientemente rápida, lo reclutará para tomar el control y utilizarlo para el envío masivo de correo basura.

Hace meses que se viene observando una alianza estratégica entre los spammers o responsables de la plaga del correo basura y los creadores de virus, genios del código malicioso capaces de tomar el control de cientos de máquinas en cuestión de minutos. Los responsables del spam han visto en los virus una forma rápida y cómoda de reclutar direcciones de correo y sistemas que puedan servirles para potenciar su negocio, convirtiendo a los ordenadores infectados en máquinas reenviadoras de correo basura, multiplicando así las posibilidades de que alguien pique con algún email de este tipo.

Bobax se aprovecha de la conocida vulnerabilidad en el servicio LSASS de Windows, que permitía la ejecución de código remoto. Esta vulnerabilidad es la que aprovecha a su vez el virus Sasser, que tanta popularidad ha alcanzado. Para infectarse, no es necesario abrir ningún correo con Outlook Express ni ejecutar ningún programa, el único requisito para ser una víctima potencial es estar conectado a Internet sin la debida protección de cortafuegos o antivirus.

Lo más curioso de Bobax es su capacidad de medir la velocidad de conexión del sistema infectado. Para ello el virus se conecta a un servidor FTP público e intenta descargar un gran archivo de varios megas de peso. El gusano monitoriza la velocidad de descarga y crea algunas estadísticas que envía al creador del programa. Si los datos son "satisfactorios" el sistema será reclutado y se le comenzará a dar instrucciones para enviar correos basura.

Cada vez es más común la aparición de gusanos y virus con una doble intención. La clásica es la de infectar el mayor número de sistemas posibles por el simple hecho de alcanzar unos minutos de popularidad. La intención más reciente es la de aprovechar esta circunstancia para convertir a esos sistemas en zombies que sirvan para otros intereses, ya sean económicos o no.

Por ejemplo Blaster, el famoso virus que apareció en agosto de 2003 y poseía un "modus operandi" similar a Sasser, intentaba un ataque a la página corporativa de Microsoft realizado por las miles de peticiones coordinadas de las máquinas infectadas.

Hace un año, Guzu, uno de los primeros virus en utilizar a sus víctimas como reenviadores de correo basura, convertía el ordenador víctima en un pequeño servidor de correo. Los datos de conexión del sistema infectado eran enviados al spammer, que de esta manera comenzaba a utilizarlo para encauzar los mensajes y poder mandarlos a través de la nueva víctima a toda su lista de potenciales clientes.

Más información y referencias:
· Spammers get fussy as zombie army grows
[url]http://news.zdnet.co.uk/internet/security/0,39020375,39155483,00.htm[/url]

· Los spammers experimentan con nuevas técnicas.
[url]http://www.forzis.com/news/noticias.php?cod_noticia=47[/url]
__________________
[center][url="http://cambialo.foroactivo.com/index.htm"][SIZE="4"][B]Visita mi Foro[/B][/SIZE] [/url][/center]
calpe19 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 14/06/2004, 12:34   #14
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
El gusano Zafi.B aumenta su propagación en las últimas horas

Según las estadísticas de VirusTotal ([url]http://www.virustotal.com[/url]), el
gusano Zafi.B, también denominado Erkez.B, ha obtenido un aumento
significativo en su propagación durante las últimas 24 horas. Zafi.B
busca antivirus y firewalls en los sistemas y sobrescribe sus
ejecutables con una copia del gusano.

El gusano se presenta con un tamaño de 12.800 bytes (12,8 KB),
resultado de que el autor haya comprimido el ejecutable original de
33.292 bytes con la utilidad FSG.

Su principal vía de distribución es el correo electrónico, si bien
también se copia en todas las carpetas del sistema infectado cuyos
nombres contengan las palabras "share" o "upload", que pueden
pertenecer a los directorios de archivos compartidos de algunas
aplicaciones P2P. Los nombres que utiliza para intentar propagarse
en las redes P2P son "winamp 7.0 full_install.exe" y "Total Commander
7.0 full_install.exe".

La reacción de las diferentes casas antivirus en proporcionar la
actualización a sus usuarios para detectar a Zafi.B fue la siguiente:

NOD32 10/06/2004 13:21:34 :: Win32/Zafi.B
Kaspersky 11/06/2004 04:34:56 :: I-Worm.Zafi.b
Panda 11/06/2004 15:02:10 :: W32/Zafi.B.worm
Symantec 11/06/2004 23:24:37 :: W32.Erkez.B@mm

En el momento de escribir estas líneas aun no detectan a Zafi.B las
soluciones de BitDefender, eTrustAV, F-Prot, McAfee y TrendMicro,
aunque se espera que en breve distribuyan las actualizaciones
pertinentes. Si lo detectan Norman y Sybari, si bien estos motores
aun no se encuentran monitorizados por el laboratorio de Hispasec
para determinar el momento exacto en el que se produjo la
actualización.

Cuando el gusano es ejecutado en un sistema, en primer lugar realiza
una copia del mismo en el directorio de sistema (system32) de Windows
con un nombre de archivo al azar y extensión .EXE o .DLL. A
continuación introduce una entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"_Hazafibb"=%windir%\System32\[nombre al azar]

Crea varios archivos con extensión .DLL donde almacena todas las
direcciones de correo que recopila del sistema infectado, los
nombres de estos archivos pueden encontrarse en la siguiente entrada
del registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

Zafi.B puede distribuirse por correo electrónico con varios asuntos
y textos en el cuerpo del mensaje, así como en varios idiomas que
utiliza según el dominio de la dirección de destino. De esta forma,
por ejemplo, si la dirección finaliza en .it el gusano enviará el
mensaje en italiano, y si lo hace en .ru lo hará en ruso.

A la hora de enviarse por e-mail, evita hacerlo a las direcciones
que contengan algunos de los siguientes textos: win, use, info,
help, admi, webm, micro, msn, hotm, suppor, syma, vir, trend,
panda, yaho, cafee, sopho, google y kasper.

Como efecto adicional, el gusano está programado para llevar un
ataque distribuido de denegación de servicio contra varios sitios
web de Hungría: [url]www.2f.hu,[/url] [url]www.parlament.hu,[/url] [url]www.virusbuster.hu[/url] y
[url]www.virushirado.hu.[/url]

De la observación de los mensajes enviados a VirusTotal, los más
repetidos suelen aparecer con el mismo texto en el campo Remite/De
y en el Asunto, mientras que como cuerpo suelen incluir una sóla
palabra, como por ejemplo "Surprise!" o "eBook!".

A continuación otros ejemplos de mensajes en los que se distribuye
Zabi.B.

Asunto: Ingyen SMS!
Adjunto: "regiszt.php?3124freesms.index777.pif"
Cuerpo:
- ---------------------- hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt
regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5!
B=F5vebb inform=E1ci=F3t a [url]www.777sms.hu[/url] oldalon tal=E1lsz, de
siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes
nyerem=E9nyeket sorsolunk ki!
- ---------------------- axelero.hu ---------------------------

Asunto: Importante!
Adjunto: "link.informacion.phpV23.text.message.pif"
Cuerpo:
Informacion importante que debes conocer, -


Asunto: Katya
Adjunto: "view.link.index.image.phpV23.sexHdg21.pif"


Asunto: E-Kort!
Adjunto: "link.ekort.index.phpV7ab4.kort.pif"
Cuerpo:
Mit hjerte banker for dig!


Asunto: Ecard!
Adjunto: "link.showcard.index.phpAv23.ritm.pif"
Cuerpo:
De cand te-am cunoscut inima mea are un nou ritm!


Asunto: E-vykort!
Adjunto: "link.vykort.showcard.index.phpBn23.pif"
Cuerpo:
Till min Alskade...


Asunto: E-Postkort!
Adjunto: "link.postkort.showcard.index.phpAe67.pif"
Cuerpo:
Vakre roser jeg sammenligner med deg...


Asunto: E-postikorti!
Adjunto: "link.postikorti.showcard.index.phpGz42.pif"
Cuerpo:
Iloista kesaa!


Asunto: Atviruka!
Adjunto: "link.atviruka.showcard.index.phpGz42.pif"
Cuerpo:
Linksmo gimtadieno! ha


Asunto: E-Kartki!
Adjunto: "link.kartki.showcard.index.phpVg42.pif"
Cuerpo:
W Dniu imienin...


Asunto: Cartoe Virtuais!
Adjunto: "link.cartoe.viewcard.index.phpYj39.pif"
Cuerpo:
Content: Te amo... ,


Asunto: Flashcard fuer Dich!
Adjunto: "link.flashcard.de.viewcard34.php.2672aB.pif"
Cuerpo:
Hallo! hat dir eine elektronische Flashcard geschickt. Um die
Flashcard ansehen zu koennen, benutze in deinem Browser einfach den
nun folgenden link:
[url]http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34[/url]
Viel Spass beim Lesen wuenscht Ihnen ihr...


Asunto: Er staat een eCard voor u klaar!
Adjunto: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"
Cuerpo:
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in
het basisonderwijs... U kunt de kaart ophalen door de volgende url
aan te klikken of te kopiren in uw browser link:
[url]http://postkaarten.nl/viewcard.show53.index=04abD1[/url] Met vriendelijke
groet, De redactie taalsite primair onderwijs...


Asunto: Elektronicka pohlednice!
Adjunto: "link.seznam.cz.pohlednice.index.php2Avf3.pif"
Cuerpo:
Ahoj! Elektronick pohlednice ze serveru [url]http://www.seznam.cz[/url] -


Asunto: E-carte!
Adjunto: "link.zdnet.fr.ecarte.index.php34b31.pif"
Cuerpo:
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez,
l'adresse suivante link: [url]http://zdnet.fr/showcard.index.php34bs42[/url]
[url]www.zdnet.fr,[/url] plus de 3500 cartes virtuelles, vos pages web en 5
minutes, du dialogue en direct...


Asunto: Ti e stata inviata una Cartolina Virtuale!
Adjunto: "link.cartoline.it.viewcard.index.4g345a.pif"
Cuerpo:
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click sul link
sottostante: [url]http://cartolina.it/asp.viewcard=index4g345a[/url] Attenzione,
la cartolina sara visibile sui nostri server per 2 giorni e poi verra
rimossa automaticamente.


Asunto: You`ve got 1 VoiceMessage!
Adjunto: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Cuerpo:
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com
website! Sender: You can listen your Virtual VoiceMessage at the
following link: [url]http://virt.voicemessage.com/index.listen.php2=35affv[/url]
or by clicking the attached link. Send VoiceMessage! Try our new
virtual VoiceMessage Empire! Best regards: SNAF.Team (R).


Asunto: Tessek mosolyogni!!!
Adjunto: "meztelen csajok fociznak.flash.jpg.pif"
Cuerpo:
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:


Asunto: Soxor Csok!
Adjunto: "anita.image043.jpg.pif"
Cuerpo:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem
tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l,
addig is cs=F3k: )l@


Asunto: Don`t worry, be happy!
Adjunto: "www.ecard.com.funny.picture.index.nude.php356.pif"
Cuerpo:
Hi Honey! I`m in hurry, but i still love ya... (as you can see on
the picture) Bye - Bye:


Asunto: Check this out kid!!!
Adjunto: "jennifer the wild girl xxx07.jpg.pif"
Cuerpo:
Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

Fuente : HispaSec
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 14/06/2004, 16:33   #15
tresnanos
motero y pianista
 
Avatar de tresnanos
 
Fecha de ingreso: 17/ago/2003
Mensajes: 13.133
tresnanos ha deshabilitado la reputación
antivirus gratuitos-antivirus on line

http://alerta-antivirus.red.es/virus..._en_linea.html
__________________
AUDACES FORTUNA JUVET
tresnanos está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 04/07/2004, 18:06   #16
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]¿ Está tu ordenador infectado por Download.Ject ?[/B]

Un sencillo método para saber si vuestro ordenador se encuentra infectado por el Download.Ject.
(News.com) En un ordenador infectado se pueden encontrar alguno de los siguientes archivos:

kk32.dll
surf.dat

Cómo comprobar si estos archivos están instalados en el equipo (Windows NT 4.0, Windows 2000, Windows XP, y Windows Server 2003):

1. Abrir el menú "Inicio".
2. Seleccionar "Ejecutar...". Teclear cmd y apretar "Aceptar".
3. Teclear cd.. hasta llegar al directorio raíz (C.
4. Copiar el texto dir /a /s /b &systemdrive%kk32.dll, pegarlo en la ventana que se nos ha abierto y pulsar Enter. Si el sistema encuentra la ruta del archivo, el ordenador está infectado. En caso contrario, se mostrará un mensaje que indica que la ruta no se ha encontrado
5. Lo mismo que antes, pero con el texto dir /a /s /b &systemdrive%surf.dat.

Si está infectado bastará bastará con irnos a Windows Update y aplicar el parche que acaba de liberar Microsoft.

Fuente : HispaMp3
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 05/07/2004, 19:29   #17
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]Microsoft nos informa de un cambio de configuración[/B]

Microsoft está haciendo llegar a sus clientes un comunicado en el que se nos informa de un cambio de configuración que resuelve el Download.JECT, el último boquete descubierto en Internet Explorer.

Literalmente y según podemos leer en la nota de prensa:

Estimado cliente:

Microsoft ha confirmado la existencia de una alerta de seguridad conocida como Download.Ject, la cual, afecta a aquellos usuarios que utilizan Microsoft Internet Information Services 5.0 (IIS) y Microsoft Internet Explorer. Download.Ject también es conocido como JS.Scob.Trojan, Scob o JS.Toofeer.

Es probable que ya haya recibido una notificación desde nuestra central informándole de esta alerta. No obstante, como cliente de nuestras soluciones, nos ponemos en contacto con usted para asegurarnos de que cuenta con la información y con los recursos necesarios para afrontar
cualquier incidencia de seguridad que pudiera surgir.

Detalles de la alerta:

Microsoft ha publicado un cambio de configuración que resuelve el reciente ataque contra Internet Explorer conocido como Download.JECT.

Adicionalmente, ha sido publicado en la Knowledge Base el artículo 870669, el cual, proporciona información para que los administradores puedan implementar manualmente este cambio en sus sistemas y redes.

Dicho artículo está disponible en el siguiente enlace:

[url]http://support.microsoft.com/default.aspx?kbid=870669[/url]

Por favor, revise la información de la Knowledge Base y, en caso de ser necesario, realice un test e implemente el cambio inmediatamente en sus sistemas.

Fuente : HispaMp3
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 05/07/2004, 19:31   #18
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]Cómo deshabilitar el objeto ADODB.Stream desde Internet Explorer[/B]

[url=http://support.microsoft.com/default.aspx?kbid=870669]Desde aki[/url] (esta en ingles)

Un saludo
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad

Última edición por caminero21; 05/07/2004 a las 19:38.
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 14/07/2004, 11:33   #19
calpe19 
LÍDER CONCURSOS DEL FORO
 
Avatar de calpe19
 
Fecha de ingreso: 01/dic/2002
Mensajes: 737
calpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la famacalpe19 tiene una reputación que sobrepasa la fama
sabito
Moderador

Registrado: Jan 2004
Mensajes: 1357
Un nuevo virus roba el acceso a cuentas bancarias
Los internautas que emplean sistemas operativos diferentes al de Microsoft, como el de Apple Computers o Linux, parecen estar a salvo.




La aparición de un virus que ataca específicamente el acceso a cuentas bancarias a través de Internet supone una amenaza no sólo a los usuarios sino también a los planes de la banca para expandir sus servicios en la Red. De hecho, los usuarios pueden "contagiarse" con este nuevo virus, que todavía no tiene nombre, a partir de las ventanas desplegables o "pop-ups" que introducen programas capaces de robar información, sin que el usuario tenga conocimiento de ello, informa EFE.

Estos desplegables proceden de redes que reciben sus anuncios de publicidad de algunas agencias que, aparentemente, han sido objeto de un ataque informático para esparcir el código malicioso. Así, según indica CNET News, entre las instituciones financieras afectadas se encuentran Citibank, Barclays Bank y Deutsche Bank.

Cuando los usuarios visitan estos lugares, el software captura sus pulsaciones en el teclado para hacerse con contraseñas o números de cuenta y posteriormente envía la información a una página Web.

Con todo, el Internet Storm Center, organismo que se encarga de rastrear las amenazas en la Red, cree que este reciente virus no está extendido. A pesar de ello, los expertos siguen con preocupación este tipo de ataques, que cada vez se repiten con más frecuencia y que podrían minar la confianza de los usuarios a la hora de facilitar los datos de sus tarjetas de crédito para comprar en Internet.

Aunque el software es capaz de saltarse las conexiones encriptadas que utilizan los bancos, lo que quiere decir que afectan también a los usuarios aunque tomen todas las precauciones, los expertos creen que es más fácil de contener que los virus tradicionales, ya que puede aislarse si se corta el acceso al sitio Web que recoge la información robada.


_______________________________________
aprendiz de todo y maestro de nada
__________________
[center][url="http://cambialo.foroactivo.com/index.htm"][SIZE="4"][B]Visita mi Foro[/B][/SIZE] [/url][/center]
calpe19 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 28/07/2004, 11:44   #20
sabito
.
 
Avatar de sabito
 
Fecha de ingreso: 17/ene/2004
Mensajes: 45.229
sabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatar
La secuela de MyDoom.N: Zindos.A

Tras la difusión ayer del virus MyDoom.N, que utilizaba los
motores de búsqueda más importantes de Internet para localizar direcciones
personales de e-mail y que consiguió afectar a los servicios de Google,
Altavista, Lycos y Yahoo!, ha surgido un nuevo gusano, Zindos.A.

Este gusano se aprovecha de las acciones cometidas por MyDoom.N, que
descargaba a través del puerto TCP 1034 un troyano, y así busca en
diferentes direcciones IP si ese puerto se encuentra abierto, y si es así,
se introduce en el ordenador afectado, infectándolo.

Si el ordenador está conectado a Internet, el nuevo gusano Zindos.A está
programado para lanzar un ataque de denegación de servicios (DoS) contra la
web de Microsoft ([url]www.microsoft.com[/url]).

Para ejecutarse cada vez que se inicia Windows, este nuevo código malicioso
crea la siguiente clave en el registro para ejecutarse cada vez que se
inicia Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run= "Tray"
"%fichero%.exe

Última edición por sabito; 28/07/2004 a las 11:49.
sabito está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 06/08/2004, 15:26   #21
tresnanos
motero y pianista
 
Avatar de tresnanos
 
Fecha de ingreso: 17/ago/2003
Mensajes: 13.133
tresnanos ha deshabilitado la reputación
Cita:
Escrito originalmente por
skiper

pues siempre que llega un adjunto
con virus esta escrito asi pepe.txt.exe
o pepe.jpg.exe o com bueno el
caso que ahora llegan asi

pepe.txt*****************************************.exe

la* equivale a un espacio sino, no se ve

entonces como hay muchos espacios tu
ves pepe.txt pues el vinzip o winrar o el que sea no expanden todo ponen ...
__________________
AUDACES FORTUNA JUVET
tresnanos está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 01/09/2004, 20:31   #22
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
En la madrugada de hoy, 1 de septiembre, se ha detectado el envío
masivo, a modo de spam, de una nueva variante de Bagle. Aunque en unas
primeras horas se ha detectado una incidencia significativa, hay
diversos factores que apuntan a la progresiva y veloz desaparición
del mismo.

Reacciones antivirus

Las siguientes soluciones antivirus destacan por detectar a ésta
nueva variante bien por heurística o firma genérica:

McAfee :: W32/Bagle.dll.dr
Symantec :: Download.Ject.C
Norman :: W32/Malware
Panda :: Fichero sospechoso

Panda también ha distribuido una firma específica a las 10:33:51
del 01.09.2004 con la denominación "W32/Bagle.AV.worm".

Norman y Panda eran capaces de detectarlo incluso meses antes de la
aparición del gusano, McAfee desde el 11.08.2004, y Symantec desde
el 29.08.2004. En cualquier caso todas estas soluciones detectaban
a la variante antes de su aparición, de forma que sus usuarios
estaban protegidos en el momento que comenzó su propagación.

El resto de antivirus se actualizaron con firmas específicas en
los siguientes tiempos (hora de España):

F-Prot 01.09.2004 00:34:31 :: W32/Newstuff.06
ClamWin 01.09.2004 00:59:47 :: Trojan.Dropper.Small-11
Kaspersky 01.09.2004 02:01:25 :: Exploit.CodeBaseExec
Nod32v2 01.09.2004 02:06:29 :: Exploit/CodeBaseExec
Sophos 01.09.2004 04:39:27 :: Troj/BagleDl-A
BitDefender 01.09.2004 08:54:22 :: Trojan.Dropper.Small.KV

Estos datos son obtenidos por VirusTotal ([url]http://www.virustotal.com[/url])
Agradecemos a los usuarios las muestras de este espécimen enviadas
a VirusTotal, que permitieron una detección temprana del mismo.


Descripción del espécimen

El sistema de propagación de esta nueva variante de Bagle es por si
mismo su propio talón de Aquiles. En primer lugar han distribuido de
forma masiva, con técnicas de spam (no se replicaba por si mismo), un
ZIP que contenía en su interior un archivo .HTML y un ejecutable .EXE.

El primer mensaje que llegó al laboratorio de Hispasec tenía las
siguientes características:

Remite: [falso]
Asunto: foto
Cuerpo: foto
Adjunto: fotos.zip

En el archivo fotos.zip, de aproximadamente 4,5KB, podíamos encontrar
un foto.htm de 111 bytes y un calc.exe de 12.800 bytes. Hemos recibido
otros mensajes con algunas diferencias en los textos y nombres de
archivo utilizados, aunque coinciden en utilizar un archivo ZIP
conteniendo tanto el HTML como el EXE.

El archivo HTML contiene un script que ejecuta el EXE, éste se copia
como doriot.exe en la carpeta de sistema de Windows, donde escribe
además un segundo ejecutable gdqfw.exe. Como suele ser habitual en
estos casos, añade también unas entradas en el registro de Windows
en las claves RUN para asegurarse su ejecución en cada inicio de
sistema.

El ejecutable instalado en el sistema no es un gusano (no se propaga
por si mismo), sino una especie de troyano que tiene como misión
finalizar la ejecución de varios procesos de antivirus que pudieran
estar activos en el sistema y desactivar el firewall de Windows, para
evitar así ser detectado, además de intentar descargar lo que podría
ser nuevos componentes del gusano teniendo como fuente 131 sitios
webs de Internet.

El talón de Aquiles viene por este sistema de descarga de componentes,
ya que en este momento no está disponible el archivo que intenta
descargar de los diferentes sitios webs, por lo que no se ha podido
llevar a cabo una hipotética segunda fase como gusano. Por
contra, prácticamente todos los antivirus ya lo detectan y es posible
la desinfección de los equipos que se hayan infectado.

Aun en el hipotético caso de que aparecieran en las próximas horas
nuevos componentes en alguna de las webs que chequea el troyano, es
de esperar una rápida reacción por parte de las casas antivirus ya
que poseen las URLs extraídas del código y pueden detectar de
inmediato su disponibilidad.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 15/10/2004, 22:00   #23
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Nueva variante del gusano Netsky

El dia 13 comenzó la propagación de una nueva variante del gusano
Netsky, de aparente origen brasileño, y que se ha convertido en la
muestra más reportada de las últimas 24 horas en VirusTotal.

Reacciones antivirus

Destacan los siguientes motores antivirus por detectar a esta nueva
variante antes de que comenzara su propagación masiva, bien por
heurística o con la firma de una variante anterior, protegiendo a sus
clientes desde el primer momento:

BitDefender Win32.SMTP-MassMailer
Kaspersky I-Worm.NetSky.b
NOD32 Win32/Netsky.B
Norman W32/EMailWorm

A continuación los tiempos de reacción de los antivirus en distribuir
firmas específicas para detectar al gusano (hora de España):

NOD32 13.10.2004 01:47:50 :: Win32/Netsky.B1
Panda 13.10.2004 21:57:16 :: W32/Netsky.B.worm
ClamAV 13.10.2004 22:22:24 :: Worm.Somefool.Gen-3
TrendMicro 14.10.2004 01:18:14 :: WORM_NETSKY.AF
InoculateIT 14.10.2004 02:34:54 :: Win32/Netsky.AE.Worm
Norton 14.10.2004 03:23:45 :: W32.Netsky.AD@mm
Sophos 14.10.2004 06:18:00 :: W32/Netsky-AD
Norman 14.10.2004 17:00:08 :: Netsky.AD@mm
McAfee 14.10.2004 17:14:48 :: W32/Netsky.ag@MM!zip
BitDefender 14.10.2004 17:55:37 :: Win32.NetSky.AE@mm
F-Prot 14.10.2004 21:36:34 :: W32/Netsky.AH@mm

En el caso de Panda, además de la firma distribuida el día 13,
realizó una actualización posterior el día 14 a las 18:41 en la
que modificó el nombre del gusano identificándolo como
W32/Netsky.AG.worm.


Descripción del gusano

Cuando se ejecuta en un sistema, se copia como MsnMsgrs.exe en el
directorio de Windows. Para asegurarse su ejecución en cada inicio
de sistema, introduce la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MsnMsgr" = %Windir%\MsnMsgrs.exe -alev

Además realiza diferentes copias de si mismo en el directorio de
Windows con los siguientes nombres:

Agradou.zip
agua!.zip
AIDS!.zip
aqui.zip
banco!.zip
bingos!.zip
botao.zip
brasil!.zip
carros!.zip
circular.zip
contas!!.zip
criancas!.zip
diga.zip
dinheiro!!.zip
docs.zip
email.zip
festa!!.zip
flipe.zip
grana!!.zip
grana.zip
imposto.zip
impressao!!.zip
jogo!.zip
lantrocidade.zip
LINUSTOR.zip
loterias.zip
lulao!.zip
massas!.zip
missao.zip
MsnMsgrs.exe
revista.zip
robos!.zip
sampa!!.zip
sorteado!!.zip
tetas.zip
vaca.zip
vadias!.zip
vips!.zip
Voce.zip
war3!.zip
Zerado.zip


La propagación por correo electrónico la realiza a través de su propio
motor SMTP, falseando la dirección de remite, y recopilando las
direcciones a las que enviarse del interior de los archivos con
extensiones .adb, .asp, .dbx, .doc, .eml, .htm, .html, .php, .pl,
.php, .rtf, .oft, .sht, .scs, .uin, .vbs, .wab, .tbb y .txt.


El asunto de los mensajes puede ser uno de los siguientes:


agradou
diga
impressao!!
massas!
morto
pescaria por kilo
robos!
Sua saude esta bem?



El cuerpo lo elige de alguno de los siguientes:

PizzaVeneza!
preenche ai ta bom
encontro voce!
veja detalhes!!!.
reza de sao tome!!!!.
Abra rapido isso!!!!
AmaVoce
AMA!
ve ai logo ta
voce passou !!!
arquivo zipado PGP???
retorna logo isso!!
me diz o queacha?
estou doente veja!!!
Proposta de emprego!!
tudo sobre voce sabe
promocao de viajens de fim de ano
acrdito que em voce!!!
receitas de bolo!!
veja o que tem no zip e me liga
Boleto Pague
Sua Conta!!
Policia SP
te amo!
parabens!
olha que isso!!!
sua conta bancaria zerada
Vacina contra o HIV!!
Surto
ferias nos E.U.A
meu telefone liga
Medical Labs Exames!!!
Hackers do Brasil
amor me liga
Lembra?
grana
sinto voce!!
pq nao me liga??
vaca
campanhadafome
ganhe muita grana
falea verdade!!!
algo a mais
gostaria disso e voce???
me veja peladinha

El nombre del archivo adjunto, con extensión .bat, .com, .pif, .scr o
.zip, puede ser:

agradou
agua!
AIDS!
banco!
bingos!
botao
brasil!
carros!
circular
contas!!
criancas!
dinheiro!!
email
festa!!
flipe
grana
grana!!
imposto
impressao!!
jogo!
lantrocidade
LINUSTOR
loterias
lulao!
massas!
missao
morto
pescaria por kilo
revista
robos!
sampa!!
sorteado!!
Sua saude esta bem?
tetas
vadias!
vips!
war3!
zerado

La propagación por redes P2P intenta llevarla a cabo copiándose en
todas las carpetas con nombre "share" o "sharing" que encuentra en el
sistema, que suele coincidir con las carpetas por defecto que
comparten los clientes P2P.

aninha gatinha!.zip.scr
barrio.scr
cafe!!.zip.scr
Canaval2004!.jpg.pif
Carnaval em Salvador!!.zip.scr
caspa.scr
celulares!!.zip.scr
clica ai logo meu.scr
comoserrico!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
MulataDandoOcujpg.scr
multas.pif
paula!.scr
puteiros!!.scr
receitas de bolo!!.zip.scr
rede globo tv!.zip.scr
ResidentEvil2.zip.scr
rocha.scr
traficoemSP!.scr
vadias peladas!!.scr
vida!!.zip.scr
VivaNaBaia!.scr
vota!.zip.scr
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 11/11/2004, 18:28   #24
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Un gusano capaz de desactivar el centro de seguridad de Windows XP

Las últimas variantes del virus Bagle tienen capacidad incluso para desactivar completamente todo el centro de seguridad de Microsoft incluído en el SP2.

Las nuevas versiones de Bagle se están propagando a través del envio de correo electrónico y por redes P2P, siendo capaz de detener la ejecución de procesos tales como antivirus, cortafuegos y actualizaciones.

Una vez desactivada dicha protección Bagle abre una puerta trasera, mediante la cual puede incluso llevar a cabo actualizaciones de su propio código.

El centro de Alerta-Antivirus.es lo ha calificado como de alta peligrosidad con un 4.

[url=http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4414]Solucion y mas info[/url]
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 23/11/2004, 21:01   #25
templario6_9
Baneado
 
Fecha de ingreso: 25/ene/2003
Mensajes: 32
templario6_9 está en el buen camino
Download.Troyan

Tengo un problema con un virus llamado download.troyan,mi antivirus cada poco me dice que se ha detectado y que ha sido eliminado automaticamente, pero en aproximadamente 3 horas desde que me salio la primera vez me ha vuelto a salir el mensaje 4 veces mas. Puede ser que tenga el virus dentro del pc y que cada poco intente instalarse o algo asi?
templario6_9 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 16/12/2004, 02:41   #26
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Pues he estado mirando un poquito y parece ser que es un programa antitroyanos, con lo cual si cada dos por tres te detecta un virus quizas deberias de borrar ese programa y bajartelo libre de virus.

Saludos
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 16/12/2004, 02:42   #27
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
El nuevo gusano Zafi.D nos desea "Feliz Navidad"

PandaLabs ha detectado la aparición del nuevo gusano Zafi.D, que se propaga en e-mails que simulan ser felicitaciones navideñas, así como a través de aplicaciones de pares.

Zafi.D llega a los equipos en mensajes de correo electrónico cuyo asunto es el nombre de una persona escogido al azar, mientras que en el cuerpo del mismo figura el texto: “¡Feliz Navidad!”, escrito en el idioma correspondiente al dominio de la dirección a la que se está enviando.

Así, a una dirección con dominio “.es” enviará mensajes escritos en castellano, mientras que a otra con dominio “.de”, mandará textos en alemán. Asimismo, dichos e-mails adjuntan un archivo de nombre variable, escogido a partir de una extensa lista de opciones.

En caso de que el usuario ejecute el citado fichero, que en realidad contiene a Zafi.D, se mostrará en pantalla un falso mensaje de error, y el gusano se enviará por correo electrónico -utilizando su propio motor SMTP-, a las direcciones que encuentra en archivos con determinadas extensiones que estén almacenados en el ordenador. Asimismo impide el acceso a las aplicaciones que contengan las cadenas reged, msconfig o task. Por otra parte, Zafi.D introduce varias entradas en el registro de Windows, con el fin de asegurar su ejecución cada vez que se reinicie el ordenador.

Para su propagación a través de aplicaciones P2P, Zafi.D se copia en todas las carpetas de la unidad C: cuya ruta contenga los textos share, upload o music. Los nombres que puede utilizar para ello sonwinamp 5.7 new!.exe o ICQ 2005a new!.exe.

Dadas las fechas en que nos encontramos, esta forma de ingeniería social podría ayudar a que un gran número de equipos queden infectados por este nuevo código malicioso. De hecho, la red internacional de Servicio de Soporte Técnico de Panda Software ha comenzado a registrar incidencias provocadas por Zafi.D en un gran número de países.

Lo más recomendable es extremar las precauciones ante cualquier mensaje de correo electrónico recibido.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 22/12/2004, 00:23   #28
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[b]Herramientas para detectar y eliminar el virus "navideño" Zafi.D.[/b]

Un listado de herramientas gratuitas destinadas a comprobar y/0 eliminar el tristemente popular gusano-felicitación.

Camuflado de felicitación navideña, según el Centro de Alerta Temprana sobre Virus y Seguridad Informática, el virus informático "Zafi.D" es ya el más extendido en Internet en nuestro país.

Debido a que millones de ordenadores se encuentran infectados, la Asociación de Internautas ha publicado un listado de herramientas gratuitas para poder comprobar y eliminar el mismo.

A continuación todos los enlaces:


[url=http://www.bitdefender-es.com/bd/downloads/removaltools/Antizafi-ES.exe]Bitdefender-es.com[/url]

[url=http://www.nod32.it/cgi-bin/mapdl.pl?tool=ZafiD]Nod32-es.com[/url]

[url=http://securityresponse.symantec.com/avcenter/FxErkez.exe]Symantec[/url]

[url=http://download.nai.com/products/mcafee-avert/stinger.exe]Mcafee[/url]

[url=http://www.trendmicro.com/ftp/products/tsc/sysclean.com]Trend Micro[/url]



[url=http://www.internautas.org/index.php?op=1&id=2567]Artículo en Asociación de Internautas[/url]
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 04/01/2005, 18:25   #29
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Top virus Diciembre

Panda acaba de publicar los virus más frecuentemente detectados durante el pasado mes de noviembre y donde el el troyano Downloader.GK ha sido el virus más frecuentemente detectado entre los equipos de los usuarios de todo el mundo.

En diciembre, y por séptimo mes consecutivo, el troyano Downloader.GK ha sido el virus más frecuentemente detectado por la solución antivirus online y gratuita Panda ActiveScan.

En el mes que acaba de terminar, la frecuencia de aparición de Downloader.GK (más del 12%) ha sido muy superior a la del segundo ejemplar de la tabla, Mhtredir.gen, una detección genérica para una familia de troyanos que permiten a un atacante controlar ordenadores de forma remota.

La tercera posición ha sido para Netsky.P, un gusano con varios meses de antigüedad que se ha convertido en asiduo de las listas de virus más frecuentemente detectados. Le sigue Citifraud.A, un troyano programado para realizar estafas online mediante phishing. El gusano/troyano Mabutu.A, y el troyano instalador de malware StartPage.FH, ocupan la quinta y sexta posición del ranking, respectivamente.

La séptima plaza del presente Top Ten ha sido para el troyano Shinwow.E, un código malicioso que dificulta el funcionamiento del ordenador y modifica la página de inicio del navegador Internet Explorer. En el octavo puesto figura un gusano aparecido en diciembre, Zafi.D, y que se propagó aprovechando la proximidad de las fiestas navideñas. Para ello, llega a los ordenadores simulando ser una tarjeta de felicitación típica de estas fechas.

Gaobot.gen, la detección genérica para una familia de gusanos que roban datos confidenciales, y Sober.I, un gusano aparecido en noviembre, cierran el Top Ten ocupando -respectivamente- la novena y décima posición.

1. Trj/Downloader.GK 12,13%
2. Exploit/Mhtredir.gen 6,54%
3. W32/Netsky.P.worm 4,45%
4. Trj/Citifraud.A 3,67%
5. W32/Mabutu.A.worm 3,46%
6. Trj/StartPage.FH 3,20%
7. Trj/Shinwow.E 3,18%
8. W32/Zafi.D.worm 3,05%
9. W32/Gaobot.gen.worm 2,88%
10 W32/Sober.I.worm 2,76%

Del Top Ten de virus más frecuentemente detectados por Panda ActiveScan en diciembre pueden destacarse los siguientes aspectos:

- Gran actividad de los troyanos. El número de troyanos presentes en el Top Ten es muy elevado, teniendo en cuenta que hace algunos meses apenas figuraban uno o dos en las listas de virus más frecuentes. Esto confirma el cambio de objetivo de los autores de códigos maliciosos que se viene manifestando desde hace unos meses: el beneficio económico.

- La ingeniería social sigue siendo eficaz. Sober.I y Zafi.D -aparecidos en noviembre y diciembre, respectivamente- han logrado hacerse un sitio en el ranking, debido al empleo de la llamada “ingeniería social”, o técnicas para engañar a los usuarios para que ejecuten archivos infectados. Ello demuestra la gran efectividad que aún tiene el uso de este tipo de estrategia para conseguir que virus informáticos alcancen una gran propagación inicial.

- El phishing, una amenaza real. Al igual que en el mes de noviembre, el troyano Citifraud.A vuelve a ocupar una posición destacada en la lista. De esta manera, se confirma que el sistema de estafas online denominado phishing es una grave amenaza que los usuarios deberían tener en cuenta.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 29/01/2005, 02:28   #30
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[b]W32/Bagle.AX. Se propaga por e-mail y P2P (más)[/b]

Nombre: W32/Bagle.AX
Nombre NOD32: Win32/Bagle.AX
Tipo: Gusano de Internet
Alias: Bagle.AX, Win32/Bagle.AX, Email-Worm.Win32.Bagle.ax, W32/Bagle-AY, W32/Bagle.bk@MM, W32.Beagle.AZ@mm, WORM_BAGLE.AZ, Win32.Bagle.AU
Fecha: 27/ene/05
Plataforma: Windows 32-bit
Tamaño: 19,810 bytes (agrega basura para aumentar su tamaño)
Puertos: TCP 81
Ultima actualización: 28/ene/05
Herramienta de limpieza

Variante del Bagle.AW, detectado el 27 de enero de 2005. Gusano escrito en Visual C, que se propaga por correo electrónico. También intenta propagarse por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)

Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse.

Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.

Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.

Los mensajes que utiliza para su propagación tienen las siguientes características:

De: [una dirección falsa]

Asunto: [uno de los siguientes]

- Delivery by mail
- Delivery service mail
- Is delivered mail
- Registration is accepted
- You are made active

Texto del mensaje: [uno de los siguientes

- Before use read the help
- Thanks for use of our software.

Datos adjuntos: [uno de los siguientes]

guupd02.???
Jol03.???
siupd02.???
upd02.???
viupd02.???
wsd01.???
zupd02.???

Donde "???" puede ser alguna de las siguientes extensiones:

.com
.cpl
.exe
.scr

Cuando se ejecuta, crea los siguiente archivos en la carpeta System de Windows:

c:\windows\system32\sysformat.exe
c:\windows\system32\sysformat.exeopen
c:\windows\system32\sysformat.exeopenopen
c:\windows\system32\sysformat.exeopenopenopenopen

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sysformat = c:\windows\system32\sysformat.exe

Crea también las siguientes entradas para almacenar valores de su configuración actual (no todas estarán presentes):

HKEY_CURRENT_USER\Software\Microsoft\Params
Riga = [valor al azar]
TimeKey = [valor al azar]

HKCU\Software\Microsoft\DownloadManager
HKLM\SOFTWARE\Microsoft\DownloadManager

Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Ignora direcciones de correo que contengan las siguientes cadenas:

@avp.
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
support
update
winrar
winzip

El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres:

1.exe
10.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
XXX hardcore images.exe

Posee algunas características de troyano de acceso remoto y para ello abre los puertos TCP/81, quedando a la espera de comandos. Esta opción puede ser usada para actualizar al propio gusano. Cuando ello sucede, se descarga la nueva versión que luego se ejecuta para suplantar la anterior.

También intenta descargar de los siguientes dominios, un archivo llamado ERROR.JPG, que luego copia como RE_FILE.EXE en la carpeta de Windows\System (o Windows\System32):
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 01/02/2005, 00:41   #31
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]W32/Sober.J. Envía mensajes en inglés o alemán[/B]

Nombre: W32/Sober.J
Nombre NOD32: Win32/Sober.J
Tipo: Gusano de Internet
Alias: Sober.J, Win32/Sober.J, Email-Worm.Win32.Sober.j, W32/Sober.k@MM, WORM_SOBER.J, W32/Sober.J@mm, W32/Reblin.A@mm, Email-Worm.Win32.VB.af, W32/Sober-J, Reblin
Fecha: 31/ene/05
Plataforma: Windows 32-bit
Tamaño: 43,247 bytes (UPX)

Variante del Sober, detectado el 31 de enero de 2005. Escrito en Microsoft Visual Basic y comprimido con la herramienta UPX, se propaga por correo electrónico, o es enviado en forma de spam.

Los mensajes tienen asuntos y textos en inglés o alemán.

Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima.

El remitente siempre es falso, y es seleccionado al azar de la lista de direcciones a las que el gusano se envía. En ocasiones puede utilizar los siguientes dominios con un nombre seleccionado al azar:

bigfoot.com
google.com
hotmail.com
microsoft.com
t-online.de
yahoo.com

El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

.at
.ch
.de

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Mensaje en inglés:

De: [dirección falsa]
Para: [dirección falsa]
Asunto: I've got YOUR email on my account!!

Texto del mensaje:

Hello,
First, Sorry for my very bad English!
Someone send your private mails on my email account!
I think it's an Mail-Provider or SMTP error.
Normally, I delete such emails immediately, but in the
mail-text is a name & adress. I think it's your name
and adress.
The sender of this mails is in the text file, too.
bye

Datos adjuntos: [uno de los siguientes]

mail_text-info.txt [espacios] .pif
text.zip

Mensaje en alemán:

De: [dirección falsa]
Para: [dirección falsa]
Asunto: Warum beantwortest Du meine E-Mails nicht?

Texto del mensaje:

Kommen meine Mails nicht mehr bei dir an oder so???
Habe mir jetzt extra eine neue Mail Adresse bei GMX
gemacht! Ich hoffe mal, das sie jetzt zu dir durch
dringen wird.
In meinen anderen Mails habe ich einige Wichtige Dinge
niedergeschrieben, hatte aber keine Lust alles nochmal
zu schreiben.
Deshalb habe ich die alten Mail-Texte im Texteditor
kopiert und mit Winzip kleiner gemacht.
Lesen und diesmal auch bescheid geben!!!!
tschau.....

Datos adjuntos: [uno de los siguientes]

mail_text-info.txt [espacios] .pif
texte.zip

El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Cuando ello sucede, abre el editor de texto por defecto (por ejemplo el bloc de notas), para hacer creer al usuario que se trata de un archivo inofensivo, mostrando un mensaje falso:

---Mail Text
------------
Hey,
------------------------- Error in %winzip base Modul% 0x9F ----------------------

[etc.]

El gusano crea una copia de si mismo en la carpeta del sistema de Windows, seleccionando su nombre con tres elementos de la siguiente lista:

32
a
crypt
data
diag
dir
disc
expoler
host
log
run
service
smss32
spool
sys
win

Ejemplos:

c:\windows\system32\32diagsys.exe
c:\windows\system32\crypthostwin.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea el siguiente archivo, conteniendo una copia de si mismo codificada en Base64 para su envío en los mensajes infectados:

c:\windows\system32\dgsfzipp.gmx

También crea el siguiente archivo, el cuál es utilizado para almacenar la lista de direcciones a las que se envía:

c:\windows\system32\datamx.dam

Adicionalmente crea estos archivos, todos de cero bytes:

c:\windows\system32\dgssxy.yoi
c:\windows\system32\nonrunso.ber
c:\windows\system32\odin-anon.ger
c:\windows\system32\sysmms32.lla

Ocasionalmente puede crear un archivo READ.ME conteniendo el siguiente texto:

Ist nur eine kleine Test-Version

In diesem Sinne:
Odin alias Anon

Mantiene dos procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro. Dos de los archivos copiados en el sistema (los que poseen nombres al azar), se encargan de monitorear esto, y de crear de inmediato una nueva copia, por lo que la limpieza debe hacerse en modo a prueba de fallos.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 01/02/2005, 00:42   #32
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system32\[nombre al azar].exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system32\[nombre al azar].exe

Donde [nombre al azar] está formado por elementos de la siguiente lista:

32
a
crypt
data
diag
dir
disc
expoler
host
log
run
service
smss32
spool
sys
win

El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.aero
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.com
.coop
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.edu
.eml
.fdb
.frm
.gov
.hlp
.imb
.imh
.imh
.imm
.inbox
.info
.ini
.int
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.museum
.nab
.name
.nch
.net
.nfo
.nsf
.nws
.ods
.oft
.org
.php
.phtm
.pl
.pmr
.pp
.ppt
.pro
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

Evita enviarse a direcciones cuyos nombres contengan algunas de las siguientes cadenas:

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
icrosoft.
info@
ipt.aol
law2
linux
mailer-daemon
me@
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

Periódicamente, el gusano comprueba la existencia de un archivo llamado STOPRUNS.ZHZ. Si existe, el gusano se auto desinstala de memoria. Si el mencionado archivo está presente en la carpeta System (o System32) de Windows antes de existir una infección, entonces el gusano no se instalará en dicho equipo.


Herramienta de limpieza automática:

Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

Future Time Srl (NOD 32)
[url]http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober[/url]


Reparación manual

Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
[url]http://www.vsantivirus.com/faq-modo-fallo.htm[/url]

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\dgsfzipp.gmx
c:\windows\system32\datamx.dam
c:\windows\system32\dgssxy.yoi
c:\windows\system32\nonrunso.ber
c:\windows\system32\odin-anon.ger
c:\windows\system32\sysmms32.lla

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
[url]http://www.vsantivirus.com/faq-winme.htm[/url]

Limpieza de virus en Windows XP
[url]http://www.vsantivirus.com/faq-winxp.htm[/url]
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 05/02/2005, 16:05   #33
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Troj/P2E.AI. Lo utilizan varios dialers (discadores)

Nombre: Troj/P2E.AI
Nombre NOD32: Win32/P2E.AI
Tipo: Caballo de Troya
Alias: P2E.AI, DIAL/301171, Dialer.B, Trojan.Win32.P2E.ai, TROJ_P2E.AI, P2E.AR, Win32/P2E.AI, Dialer-185, Trojan.Win32.P2E.ai, Win32:P2E
Fecha: 4/feb/05
Plataforma: Windows 32-bit
Tamaño: 180,224 bytes

Este troyano es un archivo DLL, utilizado usualmente por otros malwares para sus rutinas de discado, como por ejemplo el Dialer.InstantAccess (ver "Troj/Dialer.InstantAccess. Adware y discador", [url]http://www.vsantivirus.com/troj-instantaccess.htm[/url])

Puede ser instalado en el sistema por otros troyanos, o descargado mediante scripts maliciosos de ciertas páginas Web, o de redes P2P.

Las propiedades de este DLL son las siguientes:

Descripción: AUTH Module
Copyright: Copyright 2003

Idioma: English (United States)
Nombre del producto: EGAUTH Module
Nombre interno: EGAUTH
Nombre original del archivo: EGAUTH.DLL


Reparación manual

Los sistemas infectados por este troyano, pueden ser limpiados borrando dicho DDL, y haciendo un simple escaneo de todos los archivos con un antivirus en modo a prueba de fallos o modo seguro.

De todos modos, la limpieza completa dependerá del malware que pudiera haberlo utilizado.

Por ejemplo, para eliminar el troyano Dialer.InstantAccess, siga además, las instrucciones que se dan en el siguiente enlace:

Troj/Dialer.InstantAccess. Adware y discador
[url]http://www.vsantivirus.com/troj-instantaccess.htm[/url]


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
[url]http://www.vsantivirus.com/faq-modo-fallo.htm[/url]

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre el siguiente archivo:

c:\windows\system32\EGAUTH.DLL

NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Borrar archivos temporales de Windows

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
[url]http://www.vsantivirus.com/faq-modo-fallo.htm[/url]


Borrar archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
[url]http://www.vsantivirus.com/za.htm[/url]


Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 13/02/2005, 22:42   #34
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
W32/Aimdes.A. Asunto: "Service Pack 2 BUG!!"

Nombre: W32/Aimdes.A
Nombre NOD32: Win32/Aimdes.A
Tipo: Gusano de Internet
Alias: Aimdes, IM-Worm.Win32.Aimes.a, Malware.d, W32.Aimdes.A@mm, W32/Aimdes.A.worm, Win32.Worm.Aimes.A, Win32/Aimdes.A, Worm/Aimes.a, WORM_AIMDES.A
Fecha: 11/feb/05
Plataforma: Windows 32-bit
Tamaño: 36,864 bytes, 32,768 bytes (UPX)

Este gusano se propaga por AOL Instant Messenger y a través del correo electrónico.

En este último caso, utiliza mensajes como el siguiente:

De: [dirección del remitente]

Asunto: Service Pack 2 BUG!!

Texto del mensaje:

Dear user I have been informed that there was a BUG in
Windows Service Pack 2 which was fixed I recommend you
to download this Patch version which will fix the bug
and keep your system safe.

You will find the Patch file in the attachment, feal
free to send it to anyone.

I'll be in touch with you as soon as another bug is found.

Regards,
A.H

Datos adjuntos:

C:\Fix_SP2.zip

El archivo adjunto es descargado por el gusano desde la siguiente página Web:

[url]http://geocities.com/??????/ahkerb.zip[/url]

Cuando se ejecuta, crea los siguientes archivos:

[carpeta de inicio]\msVBdll.exe
C:\Program Files\Sony\VAIO Action Setup\MsVBdll32.exe
c:\windows\msVBdll.exe
c:\windows\Msvbdll.pif

Donde [carpeta de inicio] puede ser alguna de las siguientes:

c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio

c:\documents and settings
\[nombre usuario]\start menu\programs\startup

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MsVBdll = "MsVBdll.pif"

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Run
MsVBdll = "MsVBdll.pif"

También intenta deshabilitar el cortafuegos de Windows XP, la notificación de estado del antivirus a través del Centro de seguridad de Windows XP SP2, así como el acceso al Administrador de Tareas y las herramientas de edición del registro, creando las siguientes entradas en el registro:

HKCU\Software\Microsoft\security center
AntiVirusDisableNotify = "1"

HKCU\Software\Microsoft\security center
DisableRegistryTools = "1"

HKCU\Software\Microsoft\security center
DisableTaskMgr = "1"

HKCU\Software\Microsoft\security center
FirewallDisableNotify = "1"

HKCU\Software\Microsoft\security center
UpdatesDisableNotify = "1"

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "1"

HKLM\SOFTWARE\Microsoft\security center
AntiVirusDisableNotify = "1"

HKLM\SOFTWARE\Microsoft\security center
FirewallDisableNotify = "1"

HKLM\SOFTWARE\Microsoft\security center
UpdatesDisableNotify = "1"

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "1"

También borra la siguiente entrada:

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Run
Windows Auto Update.exe

Muestra alguno de los siguientes mensajes:

Blow Me
Hello Windows has suffered from a serious error, it may
never recover unless you perform oral sec on the cd drive
[ OK ]

Disgusting
You are viewing this message because someone in
the house is homosexual
[ OK ]

Envía códigos de teclas para abrir el AOL Instant Messenger, e intenta enviar el siguiente mensaje:

Hey whats up!! look what I did to my hair...lol!!

Datos adjuntos:

c:\windows\picture.pif

Puede enviarse a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, en un mensaje como el visto antes.

Después del envío del mensaje, el mismo es borrado de la carpeta de mensajes enviados.

El archivo "C:\Fix_SP2.zip" también es borrado.

Puede detener los siguientes procesos del sistema:

svchost.exe
lsass.exe

El gusano pone la computadora a dormir, e intenta copiarse a si mismo en un disquete, si hubiera uno en la unidad A: y además no estuviera protegido contra escritura:

A:\homework.exe

Si no puede acceder a la unidad A:, el gusano finaliza su ejecución y muestra una ventana de error con el siguiente texto:

Run-time error '71': Disk not ready

También finaliza su ejecución si el disquete en la unidad A: deja de estar disponible.

Un comportamiento observado, es que el gusano puede entrar en un bucle sin fin, en el que pone la computadora a dormir e intenta copiarse a si mismo en la unidad A: una y otra vez.


Reparación manual

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Renombre REGEDIT.EXE como REGEDIT.COM

Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que el gusano evitará que se ejecute REGEDIT.EXE.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

En Windows 2000 y XP, cambie COMMAND por CMD.

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Descargue el siguiente archivo:

[url]http://www.videosoft.net.uy/restore.reg[/url]

2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro.

3. Ejecute el editor de registro. Desde una ventana MS-DOS o "Símbolo del sistema", escriba REGEDIT y pulse ENTER

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

MsVBdll = "MsVBdll.pif"

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

MsVBdll = "MsVBdll.pif"

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Policies
\Microsoft
\Windows
\WindowsUpdate
\AU

9. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente:

NoAutoUpdate = 0

10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\security center

11. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie las siguientes entradas por lo siguiente:

FirewallDisableNotify = 0
UpdatesDisableNotify = 0
AntiVirusDisableNotify = 0
DisableTaskMgr = 0

12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\security center

13. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie las siguientes entradas por lo siguiente:

FirewallDisableNotify = 0
UpdatesDisableNotify = 0
AntiVirusDisableNotify = 0

14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.

4. Reinicie Windows.


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 15/02/2005, 21:58   #35
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
W32/Mydoom.AQ. Se propaga por e-mail y redes P2P

Nombre: W32/Mydoom.AQ
Nombre NOD32: Win32/Mydoom.AQ
Tipo: Gusano de Internet
Alias: Mydoom.AQ, Email-Worm.Win32.Mydoom.ai, I-Worm/Mydoom.AK, W32/Mydoom.AI.worm, W32/Mydoom.AS@mm, W32/Mydoom.gen@MM, W32/MyDoom-AQ, Win32.Mydoom.AO@mm, Win32/Mydoom.AG@mm, Win32/Mydoom.AQ, Worm.Mydoom.Gen-unp, Worm/MyDoom.AP, WORM_MYDOOM.GEN
Fecha: 2/feb/05
Plataforma: Windows 32-bit

Gusano escrito en Visual C++, que se propaga por correo electrónico y redes P2P. Obtiene las direcciones a las que se envía de la carpeta de archivos temporales de Internet, de la libreta de direcciones y de otros archivos del equipo infectado.

Modifica el archivo HOSTS para impedir el acceso del usuario infectado a varios sitios de fabricantes de antivirus y otros programas relacionados con la seguridad.

Cuando se ejecuta, abre el bloc de notas y muestra caracteres sin sentido.

El gusano, puede llegar en un mensaje con las siguientes características:

Asunto: [uno de los siguientes]

Attention!!!
Do not reply to this email
Error
Good Day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status

Datos adjuntos: [uno de los siguientes]

body.???
data.???
doc.???
document.???
files.???
message.???
readme.???
rules.???

Donde ".???" es una de las siguientes extensiones:

.bat
.cmd
.exe
.pif
.scr
.zip

Cuando la extensión es .ZIP, el contenido es un archivo con alguna de las otras extensiones y nombres.

Cuando se ejecuta, el gusano crea los siguientes archivos:

c:\windows\system32\lsasrv.exe
c:\windows\system32\hserv.sys
c:\windows\system32\version.ini

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

El gusano crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = c:\windows\system32\lsasrv.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
Shell = explorer.exe c:\windows\system32\lsasrv.exe

Para propagarse, busca direcciones en la carpeta de archivos temporales de Internet y en archivos con las siguientes extensiones:

.asp
.cgi
.dbx
.dht
.eml
.htm
.jsp
.mbx
.mht
.msg
.php
.sht
.stm
.tbb
.txt
.uin
.wab

Esto incluye las bases de mensajes del Outlook y la libreta de direcciones.

El gusano se copia en las carpetas compartidas utilizadas por los siguientes programas P2P, si alguno de ellos está instalado en la máquina infectada:

Edonkey2000
KaZaa
LimeWire
Morpheus

Modifica el archivo HOSTS para que el usuario infectado no pueda ingresar a los siguientes sitios (esto impide la actualización de varios antivirus):

avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
grisoft .com
kaspersky .com
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .grisoft .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com


Reparación manual

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
[url]http://www.vsantivirus.com/za.htm[/url]


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
[url]http://www.vsantivirus.com/faq-modo-fallo.htm[/url]

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

1. Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\lsasrv.exe
c:\windows\system32\hserv.sys
c:\windows\system32\version.ini

2. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

lsass = c:\windows\system32\lsasrv.exe

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

5. En el panel derecho, en la entrada "Shell", deje solo "Explorer.exe":

Shell = explorer.exe

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

4. Acepte guardar los cambios al salir del bloc de notas.


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 18/02/2005, 02:20   #36
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]W32/Mydoom.AW. Gusano de gran propagación[/B]

Nombre: W32/Mydoom.AW
Nombre NOD32: Win32/Mydoom.AW
Tipo: Gusano de Internet
Alias: Mydoom.AW, Email-Worm.Win32.Mydoom.m, Mydoom.AU, MyDoom.BB, MyDoom.M, Mydoom.M@MM, W32.Mydoom.AX@mm, W32/Downloader, W32/Mydoom.AY@mm, W32/Mydoom.bb@MM, W32/Mydoom.o@MM, W32/MyDoom-O, Win32.Mydoom.AU, Win32/Mydoom.AU!Worm, Win32/Mydoom.AW, WORM_MYDOOM.BB, WORM_MYDOOM.M
Fecha: 16/feb/05
Plataforma: Windows 32-bit
Tamaño: 25,771 bytes (MEW)

Variante de este gusano escrito en Visual C++, que se propaga por correo electrónico. Utiliza su propio motor SMTP. Fue reportado el 16 de febrero de 2005 y considerado como de gran propagación por los principales fabricantes de antivirus (similar al Mydoom.R, pero comprimido con la herramienta MEW).

Descarga un componente backdoor que actúa como un servidor que permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados. Este componente es identificado como Zincite.A por algunos antivirus. Más información:

Back/Zincite.A. Servidor de puerta trasera

Puede llegar en un mensaje con las siguientes características:

Asunto: [uno de los siguientes]

- click me baby, one more time
- delivery failed
- Delivery reports about your e-mail
- error
- hello
- hi error
- Mail System Error - Returned Mail
- Message could not be delivered
- report
- Returned mail: Data format error
- Returned mail: see transcript for details
- say helo to my litl friend
- status
- test
- The original message was included as attachment
- The/Your m/Message could not be delivered

Texto del mensaje:

El texto del mensaje es creado con varios componentes seleccionados al azar por el gusano. Los siguientes son solo ejemplos que pueden variar en la construcción de algunas frases y la selección de diferentes palabras:

Ejemplo 1:

Dear user of [dominio],

We have received reports that your account was used to
send a large amount of unsolicited e-mail messages
during the last week.

Obviously, your computer had been compromised by a
recent virus and now contains a trojaned proxy server.
We recommend you to follow our instructions in the
attachment file in order to keep your computer safe.

Have a nice day,
[dominio] support team.

Ejemplo 2:

The message was undeliverable due to the following
reasons:

Your message could not be delivered because the
destination server was unreachable within the allowed
queue period. The amount of time a message is queued
before it is returned depends on local configura-tion
parameters. Most likely there is a network problem that
prevented delivery, but it is also possible that the
computer is turned off, or does not have a mail system
running right now.

Ejemplo 3:

Your message could not be delivered within [número al
azar] days:
Host [servidor] is not responding.
The following recipients could not receive this
message:
<[dirección]>
Please reply to postmaster@[dominio] if you feel this
message to be in error.
The original message was received at [hora] from
[dominio]
----- The following addresses had permanent fatal
errors -----
<[dirección]>
----- Transcript of session follows -----
... while talking to host [dominio]:
>>> MAIL From:[dirección]
<<< 50$d Refused unknown 554 <[dirección]>... Mail
quota exceeded
554 <[dirección]>... Service unavailable
Session aborted, reason: lost connection
<<< 550 MAILBOX NOT FOUND User unknown
The original message was included as attachment

Ejemplo 4:

Your message could not be delivered

Datos adjuntos: [nombre]+[extensión]

Donde [extensión] es una de las siguientes:

.bat
.cmd
.com
.exe
.pif
.scr
.zip

Y [nombre] es una parte o toda la dirección de correo a la que se envía, o una de las siguientes palabras:

attachment
document
file
instruction
letter
mail
message
readme
text
transcript

Ejemplos: Si la dirección es "maria@hotmail.com" el adjunto puede ser alguno de los siguientes:

[email]maria@hotmail.zip[/email]
hotmail.com
maria.scr

También podría ser alguno de los siguientes:

attachment.exe
letter.scr
transcript.com

Los adjuntos con extensión .ZIP son archivos comprimidos y contienen un archivo con nombre al azar y a veces dos extensiones separadas por una gran cantidad de espacios.

Cuando se ejecuta el gusano, se crean los siguientes archivos:

c:\windows\java.exe
c:\windows\services.exe

El segundo, es el troyano "Zincite.A" mencionado antes.

El gusano crea las siguientes entradas en el registro, las dos primeras para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
JavaVM = c:\windows\java.exe
Services = c:\windows\services.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
JavaVM = c:\windows\java.exe
Services = c:\windows\services.exe

HKCU\Software\Microsoft\Daemon
HKLM\SOFTWARE\Microsoft\Daemon

Para propagarse, el gusano extrae direcciones de correo de archivos con las siguientes extensiones en el equipo infectado:

.adb
.asp
.dbx
.ht*
.ph*
.pl*
.sht*
.tbb
.tx*
.wab

Esto incluye las bases de mensajes del Outlook y la libreta de direcciones.

Adicionalmente, el gusano realiza consultas a máquinas de búsqueda en Internet, utilizando los nombres de dominios de las direcciones encontradas en las máquinas infectadas, y luego examina los resultados para extraer nuevas direcciones.

El gusano utiliza las siguientes máquinas de búsqueda, en un porcentaje diferente en cada caso:

[url]www.google.com[/url] (lo usa un 45% de las veces)
search.lycos.com (lo usa un 22.5%)
search.yahoo.com (lo usa un 20%)
[url]www.altavista.com[/url] (lo usa un 12.5%)

El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre:

abuse
accou
admin
anyone
arin.
avp
bar.
bugs
domain
example
feste
foo
foo.com
gmail
gnu.
gold-certs
google
help
hotmail
info
listserv
mailer-d
master
microsoft
msdn.
msn.
nobody
noone
not
nothing
ntivi
page
panda
privacycertific
rarsoft
rating
ripe.
sample
sarc.
seclist
secur
sf.net
site
soft
someone
sophos
sourceforge
spam
spersk
submit
support
syma
the.bat
trend
update
uslis
winrar
winzip
yahoo
you
your

Intenta copiarse en aquellas carpetas cuyos nombres contengan algunos de estos textos:

userprofile
yahoo.com

Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\java.exe
c:\windows\services.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Deshabilitar las carpetas compartidas de programas P2P

Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.

Para ello, siga las instrucciones del siguiente artículo:

Cómo deshabilitar compartir archivos en programas P2P
[url]http://www.vsantivirus.com/deshabilitar-p2p.htm[/url]


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 18/02/2005, 02:20   #37
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

JavaVM
Services

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

JavaVM
Services

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Daemon

7. Pinche en la carpeta "Daemon" y bórrela.

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Daemon

9. Pinche en la carpeta "Daemon" y bórrela.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 07/03/2005, 21:27   #38
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
W32/Kelvir.C. Se propaga por MSN Messenger

Nombre: W32/Kelvir.C
Nombre NOD32: Win32/Kelvir.C
Tipo: Gusano de Internet
Alias: Kelvir.C, IM-Worm.Win32.Kelvir.b, W32/Kelvir.B, W32/Kelvir.B-net, W32/Kelvir.C.worm, W32/Kelvir-C, Win32.HLLW.Kelvin, Win32.Worm.Kelvir.B, Win32/Kelvir.C, Worm.Kelvir.B
Fecha: 7/mar/05
Plataforma: Windows 32-bit
Tamaño: 49,011 bytes (downloader)

Gusano que se propaga por MSN Messenger a todos los contactos en línea. Este mecanismo requiere que el usuario tenga una sesión abierta del Messenger para que ello ocurra.

El gusano muestra un mensaje en inglés, donde se invita a descargar un archivo:

[url]http://[dirección]/omg.pif[/url]
lol! seeit! u'll like it

El usuario que recibe y acepta este mensaje, debe pinchar en el enlace para descargar el archivo, que es el gusano propiamente dicho. El nombre de este archivo suele ser OMG.PIF.

Después de ejecutarse, este componente intenta descargar otro archivo desde un sitio remoto. Actualmente este archivo no está disponible.

También intenta enviar un mensaje similar al ya visto, con el propio gusano como archivo adjunto, a otros contactos en línea.

Las propiedades del archivo OMG.PIF muestran las siguientes características:

Descripción: Windows Messenger API
Copyright: © Microsoft Corporation. All rights reserved.

Propiedades:

Comentarios: Windows Messenger API
Idioma: Inglés (Estados Unidos)
Nombre del producto: MessengerAPI
Nombre interno: MessengerAPI
Nombre original del archivo: MessengerAPI.exe
Organización: Microsoft Corporation
Versión del archivo: 6.02.0137
Versión del producto: 6.02.0137


Reparación manual

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 10/03/2005, 02:22   #39
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Primer virus para celulares que utiliza mensajes MMS

Se ha detectado un nuevo virus para teléfonos móviles, que al contrario de sus antecesores, que utilizaban tecnologías con muchas limitaciones como Bluetooth (Cabir y otros), se vale de los mensajes multimedia (MMS) enviados por estos teléfonos a otros usuarios.

Este tipo de mensajes suele ser muy empleado hoy día para el envío de las imágenes y videos obtenidos mediante las cámaras que los nuevos modelos de celulares incorporan.

Este gusano, denominado "CommWarrior" por F-Secure, podría de ese modo llegar a distribuirse de manera global con la misma velocidad que los clásicos gusanos de Internet vía correo electrónico.

El nuevo gusano, como los anteriores capaces de infectar celulares, se ejecuta bajo el sistema operativo Symbian.

Cabir, considerado el primer gusano de teléfonos móviles, se propaga utilizando servicios Bluetooth, también bajo Symbian. Sin embargo las limitaciones de Bluetooth no lo hacen un gran riesgo para los usuarios.

Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles y otros dispositivos, y no está habilitada por defecto, siendo además su rango de transmisión de muy pocos metros.

A pesar de ello, Cabir ha sido reportado en más de 17 países, aunque en una escala muy reducida.

CommWarrior, en cambio, además de poder propagarse por Bluetooth, también lo puede hacer a través de mensajes MMS. Esto amplía enormemente la posibilidad de propagación, ya que este tipo de comunicación, consistente en una simple llamada de teléfono a teléfono, es mucho más común.

El gusano aparenta ser de origen ruso, y las primeras versiones fueron detectadas en un archivo .SIS con el siguiente texto "Norton AntiVirus. Released now for mobile, install it!", entre otros posibles.

El gusano afecta a teléfonos móviles que utilicen el sistema operativo Symbian (EPOC) 6.1 o superior. La extensión .SIS es utilizada por este sistema operativo para las instalaciones.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 10/03/2005, 02:25   #40
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
SymbOS/Commwarrior.B. Se propaga por celulares

Nombre: SymbOS/Commwarrior.B
Tipo: Gusano
Alias: Commwarrior.B, Symb/Comwar-B, SymbOS.Commwarrior.B, SymbOS/Commwarrior.b, SymbOS/Commwarrior.B, SYMBOS_COMWAR.B
Fecha: 7/mar/05
Plataforma: Symbian OS Series 60
Tamaño: 32,768 bytes

Este gusano puede infectar celulares que ejecuten el sistema operativo Symbian OS.

Puede ser descargado de diferentes sitios de Internet, con el nombre de COMMWARRIOR.ZIP, el cuál contiene el installador COMMWARRIOR.SIS (la extensión .SIS es utilizada por este sistema operativo para las instalaciones de programas y aplicaciones).

Se propaga por Bluetooth, utilizando nombres de archivos al azar. Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles y otros dispositivos.

También intenta enviarse mediante mensajes multimedia (MMS, Multimedia Messaging Service). Este tipo de mensaje permite el envío de texto, imagen y/o video a los teléfonos de otros usuarios. Esta rutina parece no funcionar correctamente.

El gusano afecta a teléfonos móviles que se ejecutan bajo el sistema operativo Symbian OS Series 60, como los siguientes:

Nokia 3650, 3600
Nokia 3660, 3620
Nokia 6600
Nokia 6620
Nokia 7610
Nokia 7650
Nokia N-Gage
Panasonic X700
Sendo X
Siemens SX1

Cuando el gusano llegue, el sistema puede mostrar el siguiente mensaje:

Receive
message via
Bluetooth from
7610-rd?
[ Yes ] [ No ]

Cuando se intente ejecutar el archivo .SIS enviado, el sistema mostrará el siguiente mensaje que advierte sobre la posible peligrosidad del archivo a instalar:

Application is
untrusted and
may have problems.
Install only if you
trust provider.
[ Yes ] [ No ]

Si sea acepta la instalación, el gusano crea la carpeta "CommWarrior" en "C:\system\apps\", con los siguientes archivos en su interior:

C:\system\apps\CommWarrior\commwarrior.exe
C:\system\apps\CommWarrior\commrec.mdl

El gusano es visualizado en la lista de aplicaciones como "CommWarrior".

También intenta propagarse vía mensajes MMS, siendo el primer gusano con esta capacidad.

Luego, intenta crear un mensaje MMS conteniendo alguno de los siguientes mensajes:
*FREE* CheckDisk for SymbianOS released!MobiComm
3DGame
3DGame from me. It is FREE !
3DNow!
3DNow!(tm) mobile emulator for *GAMES*.
Audio driver
CheckDisk
Desktop manager
Display driver
Dr.Web
Free *SEX* software for you!
Free SEX!
Happy Birthday!
Happy Birthday! It is present for you!
Helps to *CRACK* WWW sites like hotmail.com
Internet Accelerator
Internet Cracker
Internet accelerator, SSL security update #7.
It is *EASY* to *CRACK* provider accounts!
Live3D driver with polyphonic virtual speakers!
MS-DOS
MS-DOS emulator for SymbvianOS.
Nokia series 60 only. Try it!
Matrix has you. Remove matrix!
MatrixRemover
MobiComm, Mobile communications inspector. Try it!
New Dr.Web antivirus for Symbian OS. Try it!
Nokia RingtoneManager for all models.
Nokia ringtoner
Norton AntiVirus
OS service pack #1 from Symbian inc.
Official Symbian desctop manager.
PocketPC *REAL* emulator for Symbvian OS! Nokia only.
PocketPCemu
Porno images
Porno images collection with nice viewer!
PowerSave Inspector
Real True Color mobile display driver!
Released now for mobile, install it!
Save you battery and *MONEY*!
Security update #12
See security news at [url]www.symbian.com[/url]
Significant security update. See [url]www.symbian.com[/url]
Symbian security update
SymbianOS update
Virtual SEX
Virtual SEX mobile engine from Russian hackers!
WWW Cracker

Esta rutina de envío de mensajes MMS parece fallar al intentar propagarse.

El gusano contiene las siguientes cadenas en su código:

BAFL[10003a0f].DLL
BLUETOOTH.DLL
EFSRV[100039e4].DLL
ESOCK[10003d3f].DLL
EUSER[100039e5].DLL
IROBEX[10003d57].DLL
MSGS[10004e66].DLL
PBKENG[101f4cce].DLL
PLPVARIANT[10009b13].DLL
SDPAGENT[10009222].DLL
SDPDATABASE[10009220].DLL

El código también contiene el siguiente mensaje del probable autor del mismo:

ommWarrior v1.0 (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.
OTMOP03KAM HET!


Eliminación manual

Para eliminar el gusano de un dispositivo infectado, siga estos pasos:

1. Seleccione la opción "CommWarrior" de la lista de aplicaciones.

2. Seleccione "Cancel" (Exit CommWarrior?) y confirme con "Yes".

3. Borre la carpeta "CommWarrior" utilizando el manejador de archivos (file manager):

C:\system\apps\CommWarrior\

Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos.

Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Publicidad: Conoce las ofertas de ANUNCIATE
Tema cerrado


Usuarios viendo actualmente este tema: 1 (0 usuarios registrados y 1 visitantes)
 

Permisos para publicar mensajes
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los BB code están Activado
Los Emoticones están Activado
El código [IMG] está Activado
El Código HTML está Desactivado

Ir al foro


!! ADVERTENCIAS !!: Las informaciones aquí publicadas NO CONTIENEN KEYS para la decodificación de ningún sistema: NO SON OPERATIVOS en sistemas SAT que precisen de su correspondiente suscripción.

ESTA TOTALMENTE PROHIBIDO EL USO DE ESTAS INFORMACIONES PARA LA MODIFICACIÓN O  DEFRAUDACIÓN DE SISTEMAS DE ACCESO CONDICIONAL.

ESTOS FOROS SON MODERADOS Y NO SE PERMITE LA PUBLICACIÓN DE INFORMACIONES ILEGALES POR PARTE DE LOS USUARIOS. EN CASO DE DETECTARSE ESTE TIPO DE INFORMACIONES, LOS USUARIOS SERÁN EXCLUIDOS DE ESTAS PÁGINAS.

USO DE COOKIES: Utilizamos COOKIES y de terceros para mejorar nuestros servicios y navegación por la web. Si continua navegando, consideramos que acepta su uso.  


La franja horaria es GMT +2. Ahora son las 20:01.


-------------------------------------------------------------------- --------------------------------------------------------------------

Powered por vBulletin™ Version 3.8.10
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.
Traducido por vBsoporte - vBulletin en español
Hispaservicios - J.G.C - 29112549T - Rio Cinca, 2, 30 (50180) SPAIN.
Todos los derechos reservados. Prohibida cualquier reproducion total o parcial.


Foros Patrocinados por anunciantes.