ALGUNOS VIRUS ACTUALES
|
VIRUS MATCHER | ||||
| "Matcher": nuevo y
tentador gusano de correo electrónico escrito en visual basic
que puede difundirse de forma rápida en las próximas horas, ya que se
trata de un virus que se reenvía de forma masiva a sí mismo. De hecho, ya
se tienen noticias de infección muy extendida en Sudáfrica. El gusano llega acompañando a un correo electrónico como un archivo adjunto denominado "Matcher.exe", siendo el cuepo del mensaje el siguiente: "Want to find your love mates!!! Try this is cool... Looks and Attitude Matching your opposite sex", una invitación que nos sugiere que podemos buscar a nuestra pareja perfecta gracias al contenido del archivo. "Matcher" es un PE ejecutable de 29 kb de tamaño y no está encriptado; su rutina es muy semejante a la del famoso "Melissa", por lo que se sospecha que su escritor puede haberse basado en el popular virus para crear una réplica que se difunda de igual modo. Al ejecutar el archivo adjunto éste se copia a sí mismo en el \Windows\System\Folder y modifica la llave de registro, para reiniciarse de nuevo cada vez que se abre Windows. Una vez ha infectado el sistema, el virus se reenvía a sí mismo a la agenda de dirceciones de correo electrónico de Outlook, por lo que puede saturar los servidores de correo electrónico si se difunde de forma masiva.
|
||||
|
VIRUS BADTRANS | ||||
| Nuevo virus
multi-componente: "Badtrans". Un nuevo gusano de Internet
denominado "Badtrans" de naturaleza multi-componente, ya que es la suma de
un gusano de correo electrónico y un troyano que trabajan de forma
independiente. El gusano conforma la parte principal del virus, siendo el
componente troyano el que posibilita el robo de información del equipo
infectado por parte de un atacante externo. Esta apropiación indebida de datos por parte de un asaltante no autorizado y remoto permitiría al intruso hacerse con información confidencial sobre claves y contraseñas, que serían enviadas por el troyano al atacante. Además, el nuevo virus cuenta con otra peligrosa carga, ya que es capaz de colapsar las vías de intercambio de información, al autoenviarse como respuesta a cada e-mail no abierto que se encuentre en la bandeja de entrada del equipo infectado en la siguiente ocasión que se reinicia Windows. "Badtrans" infecta equipos bajo el sistema operativo Windows 95/98/ME/NT/2000 y que utilicen Microssoft Outlook y Outlook Express y llega a través del correo electrónico con un archivo adjunto y el mensaje: "Take a look to the attachment", siendo su nombre elegido de forma aleatoria entre una lista de diferentes denominaciones. Cuando el archivo es ejecutado, aparece el siguiente mensaje en la pantalla: "File data corrupt probably due to bad data transmission or bad disk acces". El gusano se copia a sí mismo seguidamente en el directorio de Windows con el nombre INETD.EXE. |
||||
|
VIRUS 32LINDOSE | ||||
| Aunque "W32Lindose" no es dañino, puede inaugurar una nueva
tendencia en cuanto a virus se refiere. F-Secure, proveedor de soluciones de seguridad y fabricante anti-virus, ha alertado sobre la aparición de "W32Lindose". No es peligroso para los internautas y no se está distribuyendo de forma masiva: su peculiaridad radica en que es el primero que afecta a plataformas bajo Windows y Linux, abriendo una nueva línea de desarrollo que podría dar lugar a nuevos virus más peligrosos. Está escrito en assembly languaje o ensamblador, un lenguaje informático muy primitivo que le da la ambivalencia que le hace tan sigular. Hasta el momento, las firmas anti-virus de relevancia no han recibido ninguna muestra de él y F-Secure ha señalado que el mismo escritor del código malicioso podría haberlo distribuido. F-Secure Anti-Virus, distribuido en exclusiva en España e Iberoamérica por Economic Data, actualizado con las nuevas versiones disponibles, detecta archivos infectados con este virus con el uso del escáner heurístico. Puede infectar todos los programas que funcionan bajo el sistema operativo de código abierto Linux y las plataformas Windows 95, 98, Me, NT y 2000, aunque no es dañino y viaja como adjunto a un e-amil que provoca la infección al ser abierto en aplicaciones Windows o Linux de al menos 100 Kb. No se reenvía por correo electrónico y sólo se desarrolla en equipos con procesadores Intel Pentium, por lo que no afecta a servidores Sun Microsystems bajo Linux. El virus recibe varios nombres, como "W32Lindose", "ELF/Lindose", "W32/Winux" y "Win32.peelf", fue detectado0 la semana pasada por la firma anti-virus Central Command, que recibió el aviso por medio de un e-mail anónimo llegado de la República Checa . Todo apunta hacia que el escritor del virus puede ser un programador llamado Benny, que formaría parte del grupo hacker "29A". Aunque la carga del virus no es dañina, Economic Data recomienda a los usuarios informáticos y en concreto a los del software F-Secure Anti-Virus, actualizar sus sistemas de protección anti-virus.
|
||||
|
GUSANO INJUSTICE | ||||
| Nuevo gusano en la Red
con fines políticos. F- Secure, firma líder en seguridad y anti-virus, alerta de la aparición de "Injustice", que pese a sus altas capacidades de difusión no presenta una amenaza para los sistemas El conflicto palestino-israelí es la motivación por la que ha sido creado este nuevo gusano de correo electrónico y con la intención de diseminar propaganda pro-palestina por toda la Red. Se trata de "Injustice" o "VBS/Staple.A", escrito por activistas políticos pro-palestinos, para llamar la atención sobre la tensión que se vive en la Franja de Gaza. No es un gusano dañino, no destruye archivos ni daña los sistemas pero la peor consecuencia de su ataque podría ser la de saturar el tráfico de la red de trabajo. El virus llega al PC en forma de correo electrónico con el asunto: "RE: Injustice" y cuerpo de mensaje: "Dear (nombre del receptor), Did you send the attached message, I was not expecting this from you!". El archivo adjunto se denomina "INJUSTICE.TXT.VBS" y es al ejecutarlo es cuando el virus crea una copia de sí mismo en el directorio C:\Windows\System, seguidamente se envía a cincuenta direcciones de la agenda de direcciones de Outlook del equipo escogidas al azar. Además el gusano prosigue enviándose a diferentes sites israelíes de caracter gubernamental. Luego el virus hace aparecer un mensaje en la pantalla que comienza con disculpas por las molestias causadas para después explicar la reciente muerte de un niño palestino durante el conflicto y pedir el final del conficto, además de mostrar su apoyo a la causa palestina. Por último el gusano conecta con diferentes direcciones de sites pro-palestinos. El código del virus oculta un texto que especifica que es un gusano inofensivo y no afecta a los sistemas, remarcando su intención política. Economic Data recomienda a los usuarios informáticos, en especial a los del software F-Secure Anti-Virus, actualizar sus sistemas de protección para no sufrir ningún tipo de molestias por el ataque de este virus. |
||||
| F- Secure Anti-Virus
detecta este peligroso virus polimórfico, capaz de sobrescribir discos
duros, borrar la CMOS y la flash BIOS del PC F-Secure, proveedor de soluciones de seguridad y fabricante anti-virus, ha alertado sobre la aparicición de un nuevo y altamente peligroso virus, "W32.Magistr", gusano polimórfico muy destructivo capaz de sobrescribir discos duros, borrar la CMOS y la flash BIOS del PC, al igual que el famoso "CIH". La empresa de seguridad finlandesa ha destacado la extrema peligrosidad del gusano, por lo que se recomienda una gran precaución a la hora de abrir cualquier correo electrónico. Aunque el número de infecciones por el momento no es relevante, es posible que en las últimas horas aumenten. El gusano llega en un archivo infectado que se incluye dentro de un mensaje de correo electrónico y lo problemático es que el asunto y el cuerpo del mensaje son aleatorios, cambiando en cada ataque, ya que el gusano los genera copiando parte del texto de un archivo del disco duro, por lo que la identificación del virus es más difícil, aunque hay que recelar de cualquier mensaje extraño o sin sentido. F-Secure Anti-Virus, distribuido en exclusiva en España e Iberoamérica por Economic Data, detecta este peligroso polimórfico. El virus, que al parecer procede de Suecia, busca las direcciones de correo electrónico en la agenda del equipo infectado para reenviarse y a medida que va infectando, el virus guarda dentro de su código un histórico de todas aquellas direcciones a las que se ha enviado. Dentro del código del virus se puede leer textos en diferentes idiomas referentes a temas jurídicos, además de insultos a los jueces. Infecta cualquier archivo de Windows que se encuentre en el disco duro en formato PE (EXE, DLL, OCX, SCR, CPL, etc.) y sus capacidades polimórficas dificultan su detección y desinfección. Además, utiliza técnicas "anti-debug", comprobando si está siendo traceado en un Windows 95 o si se encuentra activo algún otro programa de "debug", tipo Softice, y si es así, provoca una interrupción INT 13. Economic Data recomienda a los usuarios informáticos, y en concreto a los del software F-Secure Anti-Virus, actualizar sus sistemas de protección.
|
||||
|
NUEVO Y DESTRUCTIVO GUSANO DE CORREO ELECTRÓNICO:"NAKEDWIFE"" | ||||
F-Secure Corporation, líder en soluciones de seguridad y fabricante anti-virus, alerta sobre la difusión de un nuevo virus denominado "NakedWife", nombre del mensaje que llega por correo electrónico prometiendo la visión de una foto de una mujer desnuda. Se trata de un cebo muy similar al que hizo extenderse de forma rápida al "Kournikova" tan sólo hace unos días, pero de igual modo, no se obtiene la visión de una guapa señorita. Al hacer "click" en el adjunto denominado "NakedWife.exe" se desancadena la infección y aparece un dibujo con un corto mensaje insultante, firmado por "Bill Gates Killer" o "Asesino de Bill Gates", en alusión a que el gusano afecta al sistema Windows de Microsoft. "NakedWife", que al parecer procede de Brasil, borra los archivos del sistema del equipo infectado con las extensiones ".bmp", ".com", ".dll", ".ini" y ."exe" en los directorios de Windows y Windows Systems. "NakedWife" se reenvía a sí mismo por medio de la agenda de direcciones de correo electrónico de Outlook, por lo que su difusión puede ser muy rápida en las próximas horas. El virus necesita copiarse en el directorio temporal de Windows para enviarse por correo electrónico, pero esta operación sólo se podrá realizar si el nombre del archivo desde el que se está ejecutando es "NakedWife.EXE", en caso contrario, el gusano no consigue copiarse en el directorio temporal y, pese a que puede enviar mensajes por correo, no incluirán ningún archivo. Economic Data aconseja a los usuarios que pongan al día sus sistemas anti-virus con sus versiones más recientes e informa de que F-Secure Anti-Virus, del que es distribuidor en exclusiva en España e Iberoamérica, detecta el nuevo y destructivo gusano. Pero sobre todo, el remedio contra el virus, es no ejecutar el archivo que promete la foto. |
||||
|
DOS NUEVOS VIRUS EN LA RED: "MYBABYPIC" Y "GNUTELLA MANDRAGORE" | ||||
| F-Secure, la avanzada
solución anti-virus que distribuye en exclusiva Economic Data en España y
Sudamérica ya detecta y elimina los dos nuevos virus
informáticos. La amenaza de "LoveLetter" resurge de la mano de una nueva variante con el nombre "Myba" o "MyBabyPic", adaptado al lenguaje VisualBasic y "Mandragore" afecta a los usuarios de la red Gnutella, inaugurando las infecciones a través de redes "peer-to-peer". Aunque ha sido calificado por los expertos de F-Secure como de bajo riesgo, conviene estar alerta ante la posibilidad de que se difunda de forma rápida en las próximas horas, ya que los principales laboratorios anti-virus ya tienen noticia de varias incidencias. "Mybabypic" llega al equipo como un archivo adjunto a un e-mail con el nombre: MYBABYPIC.EXE, que al ser ejecutado realiza el reenvío de sí mismo a todas las direcciones de la agenda Outlook. El gusano contiene una importante carga peligrosa, ya que puede destruir datos; dependiendo del día en curso el virus pueden encender y apagar las teclas NumLock, CapLock y ScrollLock. El virus además corrompe archivos con las extensiones VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, JPG, JPEG, MP2, MP3, etc. El segundo de los virus que circula desde esta semana por la Red es el troyano "Gnutella Mandragore", que, como su nombre indica afecta a los usuarios de la red de intercambio de archivos musicales Gnutella. Su peligro radica en que puede abrir redes "peer-to-peer" como una vía de contagio y al igual que "Hybris" y "Happy99", vigila las direcciones de la agenda de correo electrónico y busca las conexiones de red del equipo. Así, cuando el internauta se conecta a la red de Gnutella, el gusano busca los archivos solicitados y se pega a ellos. El gusano cambia de forma constantemente pero se le puede identificar por su tamaño: 8.192 bytes. También se tienen ya noticias de diversas infecciones producidas por el "Gnutella Mandragore". En el caso de los dos virus, aunque la calificación es de bajo riesgo, el potencial dañino es serio.
|
||||
|
VIRUS MELISSA.W | ||||
| Sobrecarga los servidores
de e-mail con un enorme tráfico de documentos. F-Secure, líder desarrollador de software anti-virus cuyos productos distribuye Economic Data en exclusiva en Latinoamérica y España, ha informado de la aparición de una nueva versión del virus Melissa.A, el más ampliamente difundido a través de la Red en la historia: Melissa.W. El archivo infectado está hecho en Microsoft Word 2001 y llega generalmente con el nombre Anniv.doc con formato Macintosh junto con cualquier archivo enviado al correo elctrónico. Ese archivo adjunto -attachment- puede abrirse tanto desde un PC como desde un equipo Macintosh que contenga la versión correspondiente de Microsoft Office; el problema estriba en que no existe un anti-virus capaz de filtrar el archivo infectado en ambos entornos. La nueva versión de Melissa puede identificarse mediante el Asunto del archivo que lo contiene: "Important message from USERNAME" Melissa.W no disminuye la seguridad respecto a las macros de Word 2000. El gusano se reenvía como un e-mail adjunto a las 50 primeras direcciones de la libreta de direcciones de Microsoft Outlook. El attachment infectado puede contener igualmente información confidencial de los PCs infectados. Del mismo modo, modifica los parámetros de Word e infecta los documentos y las plantillas que de Word tenga guardadas el usuarios en su PC. Según Mikko Hyppönen, Director de Investigación Anti-Virus de F-Secure, "el peor efecto de este gusano es el mismo que el de la versión normal de Melissa: la sobrecarga de los servidores de e-mail con un tráfico de correo muy intenso y, a veces, enviar archivos confidenciales realizados en Word a una amplia audiencia en la Red". En realidad, para que el gusano se cuele en nuestro PC no es necesario que tengamos instalado el gestor de correo Microsoft Outlook; lo que sí es cierto es que, si el gestor es éste, el gusano sí se podrá reenviar desde nuestro PC a otros equipos conectados a Internet. Melissa.W, que también ha sido detectado como Melissa.X, puede infectar a usuarios de Windows 95, 98, Me, NT y 2000, así como de Macintosh.
|
||||
|
VIRUS RAMEN | ||||
| Ramen se cuela en los
servidores de Linux. Nuevo gusano que afecta al software Red Hat
Linux. Ramen es un nuevo gusano creado especialmente para infectar los servidores de Internet que están basados en Red Hat 6.2 o 7.0 de Linux. Busca en Internet servidores basados en Red Hat para colarse en aquellos que contenídos "exploits"; así se hace con el acceso a sus servicios y recursos. Una vez ganado el acceso a los servidores, Ramen instala un "root kit", el que verdaderamente realiza los agujeros de seguridad, instalando un programa especial para reemplazar las funciones genéricas del sistema. Además, Ramen reemplaza la página principal de la web de los servidores con un archivo HTML, denominado ramen.tgz, con el siguiente texto: "RameN Crew--Hackers looooooooooooove noodles. This site powered by Top Ramen". Por último, Ramen envía un mensaje a través de correo electrónico a dos cuentas basadas en la web del servidor afectado, lo reinicia y comienza nuevamente el escaneo en Internet. Este nuevo gusano, detectado por F-Secure (cuyos productos distribuye en exclusiva Economic Data en España y Latinoamérica), ha sido descubierto a principios de esta semana. Lance Spitzner, coordinador del Proyecto Honeynet -grupo de conocidos expertos en seguridad-, asegura que Ramen "no es un gusano muy peligroso; es fácil de encontrar y no hace nada realmente destructivo". Spitzner dice que detectaron la presencia de este gusano al observar ciertas irregularidades en el incremento de escaneos de las vulnerabilidades RPC.statd y wu-FTP que plagan las instalaciones por defecto de la mayoría de los servidores Linux. "Una vez que el escaneo comienza, Ramen consume una gran cantidad del ancho de banda" según asegura el programador que ha atendido en primera instancia a Linux para solucionar el problema, Mihai Moldovanu; Moldovanu dice que el nuevo gusano "se está propagando muy rápidamente; es capaz de escanear cerca de 130.000 direcciones de Internet en menos de 15 minutos".
|
||||
|
VIRUS W32.NAVIDAD.B | ||||
| Una mutación del gusano
Navidad W32.Navidad.B está empezando a causar estragos entre los usuarios
del correo electrónico. El motivo por el que ahora infecta los PCs: la
modificación del attachment "Navidad.exe", que ha sido substituido por
"Emmanuel.exe". Al ejecutarse el attachment, aparece el mensaje "Error"; si el usuario oprime el "OK", el gusano se copia en el directorio C:\Windows\System con el nombre WINTASK.VXD y modifica el registro. Si se presiona el icono del virus que aparece en la barra de tareas de Windows, aparece el mensaje "NUNCA PRESIONAR ESTE BOTÓN". En los sistemas infectados no se pueden ejecutar los archivos con extensión ".exe". F-Secure Anti-Virus, distribuido en exclusiva por Economic Data en Latinoamérica y España, ya detecta este peligroso gusano.
|
||||
|
VIRUS KRIZ | ||||
| ALERTA VIRUS KRIZ ANTE
LA PROXIMIDAD DEL DÍA DE NAVIDAD. Los efectos del devastador programa son comparables a los de CIH y Melissa: puede llegar a destruir el PC. El virus Kriz amenaza la seguridad de nuestros PCs el día de Navidad; el próximo 25 de diciembre, una mutación del mencionado virus puede colarse en PCs y redes de área local vía e-mail, acoplándose en los mensajes que circulan por la Red y consiguiendo infectar e inutilizar el PC, así como todos los equipos conectados a él. Expertos Anti-virus han dado la voz de alarma al detectar mutaciones del virus Kriz, que ya hizo de las suyas las pasadas navidades. En concreto, este programa dañino borra el disco duro del usuario y deja inoperativo el equipo; una vez dentro del sistema, Kriz infecta todos los programas cargados en el PC, así como el resto de máquinas conectadas si se trata de una red local. El día de Navidad, destruye la Bios del PC, el chip que le permite arrancar y que controla el resto del hardware. Los efectos devastadores de este virus son equiparables a los que causaron años atrás los virus CIH Spacefiller y Melissa. Los expertos nos recuerdan también las pérdidas que supuso la aparición en escena del gusano ILOVEYOU, 75 billones de dólares, según la compañía de seguros Lloyds. La potente solución Anti-Virus F-Secure, distribuida en exclusiva en España y Sudamérica por Economic Data, ya detecta y elimina este peligroso virus.
|
||||
|
TROYANO SHOCKWAWE.A (CREATIVE) | ||||
| Las destacadas empresas de seguridad
informática, F-Secure y Trend Micro, han informado de un nuevo troyano
circulando por la Red. Se trata de un programa infeccioso con apariencia
de animación Flash que, bajo el nombre de TROJ_SHOCKWAVE.A, se replica a
través del correo electrónico sin dañar, en esencia, el disco duro del PC
infectado. El troyano se copia en la carpeta de inicio de Windows de forma que se ejecuta cada vez que se reinicializa el PC, a la par que todos los archivos con extensión .ZIP y .JPG se renombran y pasan al directorio raíz (C:\). Shockwave.A, con un tamaño de 36,864 bytes, se identifica fácilmente; en el "Asunto" del mensaje, el texto que se puede leer es "A great Shcokwave flash movie" y su adjunto es el archivo ejecutable CREATIVE.EXE. Trend Micro ha puesto a disposición de los internautas un anti-virus de libre acceso en su página www.antivirus.com con el nombre 811 para eliminar este troyano. El autor de Scockwave.A, que también se conoce como W32/Proli@mm y TROJ_PROLIN, ha programado el troyano de forma que envía un nuevo mensaje en el que informa de que el "trabajo está completado", junto con el texto "Got yet another idiot".
|
||||
|
VIRUS BLEBLA | ||||
| Nuevo gusano de origen
polaco.
Verona o Blebla como también se le denomina, es un simple
mensaje de correo electrónico que adjunta dos ficheros HTML: MYJULIET.CHM
y MYROMEO.EXE y que se extiende rápidamente a todas las direcciones de la
agenda de correo.
|
||||
|
VIRUS QAZ | ||||
| QAZ tiene una
extensión aproximada de 120K y esta escrito en MS Visual
C++. Es un gusano con capacidades de Troyano "backdoor". Llega generalmente atachado a un e-mail. El gusano busca el archivo NOTEPAD.EXE y la renombra a NOTE.COM y después se nombra a si mismo con el nombre NOTEPAD.EXE. Si el usuario intenta utilizar el NOTEPAD, QAZ se ocupa de
"lanzar" el archivo original (NOTE.COM) para evitar las sospechas del
usuario. Además el gusano modifica el registro de Windows e introduce en
la sección de auto-start el siguiente comando: El gusano permanece en la memoria del sistema y comienza a ejecutar 2 procesos: - Infección. La rutina de backdoor es sencilla y soporta básicamente los comandos RUN,QUIT y UPLOAD, lo cuales le permiten ayudar al "hacker" a instalar otros software o troyanos mas potentes. Además, QAZ envía una notificación al remitente original. Este mensaje contiene la dirección IP de la máquina infectada.
|
||||
|
VIRUS CYBERNET | ||||
| EL VIRUS 'CYBERNET'
SE ACTIVARÁ HOY JUEVES 17 F-Secure ofrece protección anti-virus completa contra este peligroso código. El día de hoy está marcado como fecha de activación del peligroso virus 'Cybernet', considerado de alto riesgo por su capacidad para formatear toda la información del disco duro del sistema infectado. Se trasmite a través del correo Outlook, enviándose a las primeras 50 direcciones de la agenda. El próximo 25 de diciembre también es una fecha señalada para la activación del virus. En los citados días, el virus modifica el archivo
"autoexec.bat" de los sistemas infectados, para que la próxima vez que el
usuario reinicie el equipo, aparezca en pantalla un mensaje haciendo
alusión a la infección. Mientras el usuario lee este mensaje, el virus
procede al formateo del disco duro, con la consiguientes pérdida de
datos. [ |
||||
|
VIRUS IRC/STAGES.WORM | ||||
|
Utiliza un extraño formato de archivo y despliega un
mensaje humorístico. No obstante, otros posibles 'subjects' pueden ser
'life_stages', 'jokes' u otro texto. 17 Sex. Age. Ideal date.
|
||||
|
VIRUS SERBIAN BADMAN | ||||
| Grave riesgo de nuevo ataque
masivo DoS 9 de junio de 2000. ECONOMIC DATA informa que la solución Anti-Virus F-secure ya detecta y elimina el nuevo troyano. NetSec (Network Security Technologies), empresa norteamericana líder en seguridad informática, ha emitido hoy un comunicado tanto al Gobierno de los Estados Unidos como a varias compañías privadas, alertando de la existencia de una importante red 'underground' de PC's, desde la cual un grupo de 'hackers' planea lanzar un ataque masivo Denial of Service (DoS). Según estimaciones, ya existen unos 2.000 equipos con el peligroso troyano instalado. El grupo de hackers está utilizando técnicas “Backdoor” para intoducir el virus en los Pc´s. Disfrazado aparentemente como un archivo de vídeo, el nuevo troyano SERBIAN BADMAN da el control completo del PC infectado a los 'hackers', es decir, convierte cada Pc en un 'sistema zombie'. De esta forma, los intrusos pueden usar el equipo infectado como un gateway permanente, para acceder a los archivos personales o corporativos, o para lanzar ataques DoS a sitios web. En caso de ataque, los 'sistemas zombies' pueden mandar miles de respuestas repetidas que colapsarían las webs. NetSec afirmó que durante los dos últimos días, sus expertos pudieron comprobar cómo los 'hackers' planeaban sus ataques; incluso interceptaron un ataque real en la noche de ayer, lanzado por un 'hacker' canadiense denominado 'Serbian' contra uno de los propios equipos de NetSec, ataque que alertó a los sistemas de seguridad del Departamento de Justicia norteamericano. NetSec cree que los atacantes comenzaron enviando un e-mail con el troyano comprimido atachado. Para los usuarios de muchos programas de correo, el archivo parecía un “.avi”, no un ejecutable (.exe). El archivo ocuparía aproximadamente 373 K, con un nombre de siete letras en tipos capitulares. Si el usuario afectado pulsaba el icono, se ejecutaba el ya conocido como "Serbian Badman Trojan". Según Jerry Harold, presidente de NetSec, "debido a que se trata de un plan de ataque a gran escala, los 'hackers' pueden valerse con facilidad de las máquinas que infecten para lanzar un ataque masivo DoS, como el que en febrero de este año afectó a la web de noticias de la CNN, al directorio de Internet de Yahoo y a Amazon.com". Esta noticia añade un argumento más al debate abierto sobre la precaria seguridad en Internet.
|
||||
|
VIRUS VBS/TIMOFÓNICA | ||||
|
VBS/Timofónica se difunde vía email y activa los
teléfonos vía GSM. “informa que Telefónica te está engañando” Se han recibido varios casos de infección, solo en España. Además, aparentemente el gateway SMS solo enviará los mensajes a teléfonos GSM en castellano, limitando el peligro a los hispanohablantes. Cuando se abre el archivo TIMOFINICA.TXT.vbs, modifca el
registro marcándolo para que no se ejecute más de una vez. También cambia
los parámetros de Outlook 9.0 de modo que los emails enviados no se
guarden en la bandeja de elementos enviados y así, el usuario no será
consciente de lo que ha hecho.
|
||||
|
VIRUS MELISSA.BG | ||||
|
Melissa.BG es un nuevo virus que se difunde por email
adjuntándose al mensaje de correo. El email aparenta ser un curriculum y
va dirigido a los directores comerciales y de marketing de las compañías.
Archivo adjunto: Explorer.doc
|
||||
|
VIRUS VBS/NEWLOVE | ||||
| Es una nueva versión del virus
ILoveYou, igualmente peligroso Se llama VBS/NewLove.A se propaga a través de correo electrónico vía Outlook de Microsoft. El mensaje tiene la siguiente estructura: Desde: Nombre_del_usuario_infectado Para: Nombre_aleatorio_de_la_agenda_de Outlook Asunto: FW (Nombre_de_archivo_aleatorio.ext) Archivo adjunto : (Nombre_de_archivo_aleatorio.ext) El archivo adjunto que lleva incorporado el email tiene un nombre elegido al azar al que añade la extensión ".vbs". Por ejemplo," "REPORT.DOC.vbs" o "Information on Jacks Birthday.txt.vbs". VBS/NewLove toma el nombre aleatoriamente de la carpeta de archivos abiertos recientemente. Si no hay archivos en ese directorio el gusano genera el nombre. Es decir, nunca coincide el asunto ni el nombre del archivo adjunto infectado que envía. La única forma de advertir que se ha recibido este virus es que el nombre del asunto y del archivo adjunto son el mismo. El gusano se envía a sí mismo a cada una de las direcciones de la agenda de OutLook del mismo modo que lo hacía VBS/LoveLetter. VBS/NewLove. A se copia en el Sistema de Windows y en el directorio Windows con un nombre aleatorio y se añade al registro con una clave al azar: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\ A continuación, el gusano recorrerá todas las unidades y todos los subdirectorios. Para cada archivo, el gusano crea otro nuevo utilizando el mismo nombre con la extensión adicional".vbs" y borra el archivo original.
|
||||
|
VIRUS FRIENDMESS | ||||
|
Se trata de una nueva versión de este tipo de virus. El
virus se copia a sí mismo en el directorio del sistema Windows con el
nombre "FRIEND_MESSAGE.TXT.vbs" y después construye las siguientes cadenas
en c:\autoexec.bat: Nótese que c:\windows aquí es un simple ejemplo. El path
se construye de forma dinámica.
|
||||
|
VIRUS SOUTHPARK | ||||
| SouthPark es un virus que se
difunde a través de una cadena de e-mails. Se envía a sí mismo a todas las
direcciones de la agenda de Outlook de Microsoft. Puesto que no tiene un
límite en cuanto al número de direcciones a las que se envía, puede
colapsar los servidores de correo electrónico en poco tiempo. El mensaje que envía está escrito en alemán y tiene el siguiente formato: Desde: nombre_del_usuario_infectado A: nombre_aleatorio_de_la_agenda_de_Outlook Asunto: Servus Alter! Hier ist das Spiel, das du unbedingt wolltest!;-) Archivo adjunto: South Park.exe Este virus puede provocar el mismo daño que el ya famoso virus ILoveYou.
|
||||
|
MOTHER’S DAY: NUEVA VERSIÓN DEL MALIGNO VIRUS LOVELETTER | ||||
| Esta nueva variante envía emails
que parecen ser una confirmación de una orden de compra electrónica del
Diamante Especial del Día de la Madre y el archivo que adjunta,
mothersday.vbs tiene el aspecto de una factura. Cuando un usuario recibe
este email, asume que es un error y abre el archivo infectando
automáticamente el PC. F-SECURE ANTIVIRUS DETECTA Y DESINFECTA ESTA NUEVA AMENAZA CON EL ÚLTIMO UPDATE DISPONIBLE EN www.edata.es. A mediodía (hora de Europa central) del viernes 5 de mayo, ya se habían encontrado cinco versiones diferentes de VBS/LoveLetter. Se espera que durante el fin de semana aparezcan más. El sistema Windows no muestra por defecto las extensiones .vbs. Si el receptor tiene Microsoft Outlook, al abrir el archivo adjunto, automáticamente enviará un mensaje a todas las direcciones incluidas en la agenda. El mensaje tiene este aspecto: De: Nombre_del_usuario_infectado Para: Nombre_aleatorio_de_la_agenda Asunto: Mother Day Order Confirmation We have proceeded to charge your credit card for the amount of $362.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place. Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com Attachment: mothersday.vbs Como la agenda de Outlook suele tener grupos de direcciones dentro de la propia empresa, el resultado es que el primer infectado envía mensajes al resto de la empresa. Después de esto, otros usuarios dentro de la empresa envían de nuevo el mensaje al resto de la empresa por lo que el servidor de correo electrónico se colapsará rápidamente. Además, este nuevo virus borra todos los archivos INI y BAT tanto de las unidades locales como de los directorios. Esto provocará que los equipos no puedan ser arrancados de nuevo y originará daños muy graves en los archivos de red. F-Secure Anti-Virus detecta esta variante como VBS/LoveLetter.E. Las otras variantes del virus son: Variante A: Es el virus LoveLetter original. Variante B: El asunto del email está escrito en lituano. Variante C: El asunto del email es “fwd: Joke” y el mensaje adjunto es “Very Funny.vbs”. Variante D: Es prácticamente idéntico a la variante A.
|
||||
|
GUSANO I LOVE YOU | ||||
|
ECONOMIC DATA ADVIERTE: LA AMENAZA DE LOVE LETTER PUEDE
EXCEDER LA SEVERIDAD DE MELISSA
|
||||
|
GUSANO FIRKIN | ||||
|
¡¡¡NUEVO ATAQUE DENIAL OF SERVICE!!!
|
||||
|
GUSANOS IROK Y KAK | ||||
| ECONOMIC DATA anuncia la
reciente detección de dos nuevos gusanos de correo electrónico que se
están expandiendo rápidamente desde diversos lugares del mundo mediante
Outlook de Microsoft: IROK Y KAK. Irok llega en un archivo atachado llamado IROK.EXE, mientras Kak llega como un correo electrónico normal, aparentemente sin ningún attachment. El gusano Irok se difunde como un programa de 10001 bytes de tamaño llamado IROK.EXE. Funciona bajo Windows 95, 98, NT y Windows 2000 de Microsoft. Se replica vía e-mail con OutLook de Microsoft. No funciona con Outlook Express. Cuando se activa IROK.EXE, el gusano modifica el sistema de manera que al reinicializar el equipo, envía un mensaje de correo electrónico a 60 direcciones e-mail robadas de OutLook, direcciones particulares o grupos de direcciones (tales como listas de mailings). El mensaje que el gunano emite es el siguiente: From: Nombre del usuario infectado To (dirección de e-mil al azar del libro de direcciones) Subject: I thought you might like to see this Texto : I thought you might like to see this. I go it from paramount pictures website. It’s a startrek screen saver. Attachment: IROK.EXE El virus incluso intenta localizar el cliente chat mirc y modificarlo para propagar el virus mas allá de la vía de los canales chat, e infectará los ficheros COM y EXE localizados en el disco duro local. Finalmente, el virus mostrará un largo mensaje en la pantalla e intentará sobreescribir los ficheros del disco duro. El virus Kak se activa el primer día de cada mes si la máquina es reiniciada después de las 5 p.m. Utiliza el conocido agujero en la seguridad OutLook Express para ejecutarse automáticamente cuando se visualiza un e-mail. El gusano Kak está escrito en lenguaje Java. Funciona bajo las versiones de Windows 95/98 en Ingles y Francés; no funciona bajo Windows NT o Windows 2000. Kak se replica vía e-mail sólo si está instalado OutLook Express 5.0 - no funciona con el OutLook normal de Microsoft. Una vez que el usuario recibe un mensaje infectado, y abre o visualiza el mensaje en la pantalla, el gusano modifica el sistema de tal forma que la próxima vez que se inicializa el equipo, la firma standar del e-mail del usuario es reemplazada con un fichero infectado HTML del virus. Después de esto, cada mensaje de correo eléctronico enviado desde el Pc infectado contendrá el virus, e infectará cada equipo receptor tan pronto como sea abierto en OutLook Expres. En ese momento el virus mostrará el mensaje: Kagou-Anit-Kro$oft say not today1 Y a continuación cerrará la sesión Windows. El agujero de seguridad de Outlook Express explotado por el gusano puede ser cerrado utilizando “Active Scripting” en Outlook Express Preferences. Microsoft [NASDAQ dispone de una actualización para solucionar este problema desde Agosto de 1.999.
|
||||
|
GUSANO W32/PRETTY.WORM.UNP | ||||
| Nombre:
W32/Pretty.worm.unp Tipo: Troyano Se trata de una edición no empaquetada del virus "W32/Pretty.worm". Es un virus de Internet que se instala a sí mismo en los sistemas Windows 9x/NT. Los usuarios se infectan al recibir un email infectado procedente de otro usuario a su vez infectado. Muestra un icono de un personaje de la serie animada "Southpark". Método de infección Cuando se ejecuta este virus, se copia a sí mismo en FILES32.VXD en WINDOWS\SYSTEM. A continuación, modifica el valor del registro siguiente: KHEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open Cambia el valor "%1" %* por FILES32.VXD "%1" %*. De este modo, el archivo FILES32.VXD se ejecutará cada vez que se ejecute cualquier archivo .exe. El virus tratará de enviarse a sí mismo por correo electrónico cada 30 minutos a todas las direcciones de la agenda del programa de correo electrónico. Por otro lado, el virus tratará de entrar en un canal IRC específico. Mientras esté conectado, enviará información al servidor IRC y tratará de recuperar órdenes del canal IRC. Mientras, el autor de este virus conseguirá conectarse como un troyano de acceso remoto para obtener información sobre el PC: nombre del ordenador, propietario registrado, compañía registrada, información del sistema, .... Instrucciones de limpieza El proceso de limpieza es un poco complicado, por lo que en caso de infección, es conveniente ponerse en contacto con nuestro departamento técnico.
|
||||
|
DENIAL OF SERVICE VIRUS TRIN00 | ||||
|
Conocido como Virus Trin00, TFN, TFN2000,
Stacheldraht, este programa no es un virus en realidad, sino una
herramienta DoS.
|
||||
|
VIRUS PLAGE 2000 | ||||
|
Alias: Plage 2000, P2000, I-Worm.Plage.
Worm.P2000
Cuando el receptor del mensaje hace click sobre el archivo
adjunto, el virus también infecta su sistema. El virus primero muestra una
ventana de diálogo como la de los archivos autoextraíbles WinZip. Si el
usuario hace click en el botón Unzip o en Run WinZip, el virus muestra el
siguiente mensaje y se instala: © 2003 Javier de Lucas |
||||