ANTIVIRUS, TROYANOS Y OTRAS LINDEZAS    

Alerta sobre la nueva variante Bdel gusano Mydoom e información sobre virus camuflados como mensajes aparentemente informando de un error en la entrega de correo electrónico.

- Panda Software alerta sobre la nueva variante Bdel gusano Mydoom -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 28 de enero, 2004 - Cuando ni siquiera han comenzado a remitir las
incidencias causadas por el gusano Mydoom.A.worm, PandaLabs ha detectado la
aparición de la variante B de este gusano: Mydoom.B.worm.

La nueva variante es aún más peligrosa que la anterior, ya que está diseñada
para impedir que muchos programas antivirus puedan actualizarse
correctamente. Esto no afecta a los antivirus de Panda Software.

Al igual que su predecesor, Mydoom.B.worm afecta principalmente a redes
corporativas de cualquier tamaño, a las que puede llegar a colapsar. Para
ello, se reenvía -utilizando su propio motor SMTP- a todas las entradas de
la libreta de direcciones de Outlook y a todas las direcciones que se
encuentren en los archivos con extensiones .htm, .sht, .php, .asp, .dbx,
.tbb, .adb, .pl, .wab y .txt que estén almacenados en el equipo.
Adicionalmente, Mydoom.B.worm también puede propagarse a través de la
aplicación P2P KaZaA.

Además, Mydoom.B.worm sobrescribe el fichero de hosts de Windows. Así,
consigue redirigir determinadas direcciones de Internet -entre las que se
encuentran las de varias compañías antivirus- de forma que, cuando el
usuario intente acceder a ellas, el navegador mostrará el típico mensaje de
error indicando que la página no ha sido encontrada. Con ello, impide que
muchos antivirus puedan descargar las actualizaciones correspondientes.

Otra diferencia de la nueva variante en relación con Mydoom.A.worm es que,
presumiblemente, está diseñada para causar ataques de denegación de servicio
contra los servidores de la compañía Microsoft.

La multinacional ya ha puesto a disposición de sus clientes las
correspondientes actualizaciones de sus productos para la detección y
eliminación de Mydoom.B.worm, por lo que si no tienen su software
configurado para realizarlo de modo automático, pueden proceder a actualizar
sus antivirus desde http://www.pandasoftware.es 

Los usuarios que lo deseen pueden analizar de forma online sus ordenadores
con la solución antivirus gratuita Panda ActiveScan, que se encuentra
disponible en la página web de la compañía, en http://www.pandasoftware.es 

Por su parte, la epidemia provocada por Mydoom.A.worm sigue sin remitir. El
número de e-mails infectados que se encuentran en circulación sigue
aumentando progresivamente, por lo que la probabilidad de un encuentro con
el gusano sigue siendo muy elevada. Así, sigue provocando un número de
incidencias siete veces superior a las de Bugbear.B, segundo virus más
frecuentemente detectado por Panda ActiveScan.

Todos los indicios apuntan a que el autor o autores de ambos gusanos
pretenden poner en circulación el mayor número posible de copias de los
diferentes gusanos. De esta manera, cuando lleguen las fechas en las que se
han programado los ataques de denegación de servicio, las posibilidades de
que estos se produzcan de forma eficaz serán muy elevadas.

Puede consultarse información detallada sobre Mydoom.A.worm y Mydoom.B.worm
en la Enciclopedia de Virus de Panda Software, en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/ 

---------------

A lo largo de la mañana del 28.1.04 se han registrado varios envíos de mails con el virus MiMail.R

El virus se propaga con asuntos diversos del tipo: Hello, Hi, ... y distintas extensiones ejecutables entre ellas en formato zip.

Son estos mails que llegan en formato zip los que están llegando a nuestros equipos. Si recibimos estos mails debemos borrarlos de forma
inmediata sin ejecutar el fichero zip. 

Podéis encontrar más información en la siguiente dirección:
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_MIMAIL.R 
--------------

CUIDADO - NO ABRIR FICHEROS QUE DICEN SER ERRORES - SON VIRUS

Mucha atención:

Si recibís correos en inglés o castellano imitando uno de sistemas o de
Administrador diciendo que los mensajes no han

sido entregado, etc.
NO LO ABRAIS.
Hay varios los últimos dos días circulando, y son virus realmente.
Más información en
http://www.alerta-antivirus.es 
http://www.pandasoftware.es

Y recordad no enviar los ficheros en HTML, hacedlo sólo en texto plano.

ver más abajo....

El gusano Mimail.R / Mydoom / Novarg, variante del conocido gusano Mimail
comenzó a distribuirse masivamente por la Red desde las últimas horas del día 26 de Enero de 2004.
Se propaga mediante la red de intercambio de ficheros de KaZaA y el envío masivo de correo electrónico con campos de asunto, cuerpo, y nombre de adjunto aleatorios a direcciones obtenidas de ficheros de la máquina infectada. En ocasiones se hace pasar por un correo devuelto por problemas técnicos en el envío. Además utiliza un icono asociado a ficheros de texto en el ejecutable adjunto para parecer inocuo a los usuarios:


Este gusano sólo se ejecuta mediante la intervención del usuario. Se recomienda no ejecutar ese fichero anexo. 
Este gusano está programado para realizar ataques de denegación de servicio contra el sitio web de SCO/Caldera (www.sco.com) entre el 1 el 12 de Febrero mediante la saturación de su conexión a Internet. Además tiene capacidad de puerta trasera, que podría permitir a un usuario remoto controlar la máquina infectada.

Más información en
http://Worm-Backdoor.W32/Mimail.R@P2P+MM 

Nota: SCO/Caldera es la heredera de la antigua SCO (Santa Cruz Operations), una de las primeras empresas en desarrollar un sistema operativo basado en Unix para ordenadores con arquitectura PC. Recientemente, ha sido objeto de las represalias de simpatizantes exaltados de Linux por la demanda que presentó en Junio de 2003 contra IBM por violación de su propiedad intelectual. En esta demanda denuncian la copia de
fragmentos del código de su sistema operativo UnixWare en el kernel de Linux por programadores de IBM que tenían acceso al código de UnixWare, cedido bajo licencia.



INFORMACIÓN SOBRE EL VIRUS
Worm.W32/Beagle@MM . 20.1.04 -

Precaución: Worm.W32/Beagle@MM 
Se ha detectado en la Red la presencia del gusano Beagle / Bagle / Bbgle, del que ya se tiene constancia de numerosas incidencias a nivel mundial, aunque la incidencia en España es aún baja.
Su propagación se realiza a través del envío masivo de correo a direcciones electrónicas recopiladas en ficheros de la máquina infectada.

Las características del mensaje al que llega asociado son las siguientes:

Remitente: - variable -
Asunto: Hi
Cuerpo: Test =)
caracteres al azar
Test, yep..
Fichero Anexo: xyz.exe (15.872 bytes).
(siendo xyz entre 3 y 11 caracteres en minúsculas escogidos al azar).Utiliza el icono de la calculadora de Windows:


NO ejecute ese fichero anexo. Este gusano sólo se ejecuta mediante la intervencion del usuario. Recuerde que, en general, no es buena idea ejecutar anexos no solicitados.

Más información en Worm.W32/Beagle@MM.
Alias:W32.Beagle.A@mm (Symantec), I-Worm.Bagle (Kaspersky (viruslist.com)), WORM_BAGLE.A (Trend Micro), W32/Bagle-A (Sophos), Win32/Bagle.A (Enciclopedia Virus (Ontinent)), Win32.Bbgle.A@mm (Bit Defender), W32/Bagle.A.worm (Panda Software), W32/Bagle@mm (PerAntivirus), Bagle (F-Secure)
Nombre completo Worm.W32/Beagle@MM    
Plataforma: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP   Tamaño (bytes): 15872
Peligrosidad: 3 - Media   Difusión: Baja Fecha de Alta:19-01-2004
  Ultima Actualización:19-01-2004
Daño: Alto
Explicación de los criterios Dispersibilidad: Alto
Descripción
Gusano con fecha de caducidad programada para el día 28 de Enero, es decir, a partir de ese día deja de ser operativo.
Porta un componente de acceso remoto que le permite recibir comandos del autor a través del puerto TCP 6777 e intenta conectarse a varias direcciones URL.
Permanece residente en memoria, y se propaga a través del correo electrónico mediante un mensaje con asunto "Hi" al que añade un adjunto de nombre aleatorio y con extensión .EXE que está escrito en MS Visual C++ con 15.5 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables).
Se enviará a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada.
Detalles
Cuando es ejecutado el archivo adjunto, realizará las siguientes tareas:

Instalación y Autoarranque

 

  • Verifica que la fecha del sistema sea anterior al 29 de enero de 2004. Si no es menor, el gusano finalizará su ejecución.

     

  • Copia el fichero %system%\bbeagle.exe en la carpeta del sistema.

    Nota: %System% es una variable que representa la carpeta del sistema. Por defecto será C:\Windows\System para (Windows 95/98/Me), C:\Winnt\System32 para (Windows NT/2000), o C:\Windows\System32 para (Windows XP).

     

  • Crea las siguientes entradas en los registros indicados para facilitarse la ejecución junto al inicio de Windows.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 
    d3dupdate.exe = "%System%\bbeagle.exe" 
    
    HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run 
    d3dupdate.exe = "%System%\bbeagle.exe" 
    
  • También podrá crear las siguientes entradas para mantener en el sistema ciertas huellas de sus actividades:
    HKEY_USERS\%SystemInfo%\Software\Windows98
    Uid = 
    
    
    HKEY_USERS\%SystemInfo%\Software\Windows98
    Frun = %SystemInfo% 
    
    Nota: %SystemInfo% se refiere a variable que contienen información del sistema como "Class ID" o "Username".)

 

Propagación vía Correo.

 

  • Para propagarse, buscará y capturará direcciones de correo existentes en ficheros de los siguientes tipos:

     

    • WAB
    • TXT
    • HTM
    • HTML

     

  • Intentará evitar aquellas direcciones de correo que contengan las siguientes cadenas de texto:

     

    • @hotmail.com
    • @msn.com
    • @microsoft
    • @avp

     

  • A continuación enviará un mensaje a todas las direcciones de correo electrónico recopiladas, al que adjuntará una copia de si mismo.

    El mensaje enviado tiene las siguientes características:

      Asunto: Hi
      Texto del mensaje:
      
      

      Test =) [Caracteres al azar] Test, yep.

      Adjunto:xxx.exe (siendo xxx entre 3 y 11 caracteres en minúsculas escogidos al azar).

       

  • El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse.

 

Rutina de ocultación.

 

  • Si su ejecución no se realiza con el nombre de fichero %System%\BBEAGLE.EXE, ejecutará el fichero CALC.EXE (Calculadora de Windows). que posee el siguiente icono:


     

  • Mientras, el gusano está ejecutándose en un proceso diferido continuando sus actividades.

     

  • Si el usuario finaliza el proceso de Calculadora, el gusano continuará su ejecución como un proceso distinto.

     

  • En caso de ejecutarse directamente la Calculadora, el gusano fallará en su ejecución.

     

Otros detalles.

 

  • Intenta acceder a varias direcciones de Internet posiblemente para auto actualizarse.

     

    • http://www.elra[***]hop.de/1.php
    • http://www.it[***]msc.de/1.php
    • http://www.get[***]orfree.net/1.php
    • http://www.dm[***]sign.de/1.php
    • http://64.1[***].228.13/1.php
    • http://www.leonze[***]nitsky.com/1.php
    • http://216.98.[***]6.248/1.php
    • http://216.98.[***]4.247/1.php
    • http://www.cdrom[***]a.com/1.php
    • http://www.kunst[***]in-templin.de/1.php
    • http://vipwe[***].ru/1.php
    • http://antol[***]co.ru/1.php
    • http://www.bags[***]dostavka.mags.ru/1.php
    • http://www.5[***]12.ru/1.php
    • http://bose[***]audio.net/1.php
    • http://www.st[***]ngdata.de/1.php
    • http://wh9.tu[***]dresden.de/1.php
    • http://www.mi[***]onuke.net/1.php
    • http://www.sta[***]hagen.org/1.php
    • http://www.beasty[***]cars.de/1.php
    • http://www.polo[***]exe.de/1.php
    • http://www.bi[***]88.de/1.php
    • http://www.gref[***]athpaenz.de/1.php
    • http://www.bha[***]idy.de/1.php
    • http://www.mysti[***]vws.de/1.php
    • http://www.auto[***]hobby-essen.de/1.php
    • http://www.po[***]zicke.de/1.php
    • http://www.twr[***]music.de/1.php
    • http://www.sc[***]erbendorf.de/1.php
    • http://www.mont[***]ia.de/1.php
    • http://www.med[***]martin.de/1.php
    • http://vv[***]gn.de/1.php
    • http://www.ballon[***]oto.com/1.php
    • http://www.marder[***]gmbh.de/1.php
    • http://www.dvd[***]filme.com/1.php
    • http://www.s[***]eangol.com/1.php

      Nota:Las direcciones permanecen accesibles aunque el fichero 1.php no se encuentra disponible en ninguna de ellas.

     

  • El gusano intentará realizar un escaneo de puertos para conectarse con el sistema remoto.
Solución
  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

     

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

     

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

     

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine las siguientes entradas del registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 
    d3dupdate.exe = "%System%\bbeagle.exe" 
    
    HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run 
    d3dupdate.exe = "%System%\bbeagle.exe" 
    
    HKEY_USERS\%SystemInfo%\Software\Windows98
    Uid = 
    
    
    HKEY_USERS\%SystemInfo%\Software\Windows98
    Frun = %SystemInfo% 
    

     

  5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

     


Alternativamente, puede usar alguna de las herramientas de desinfección gratuitas disponibles:

Nombres de Ficheros Adjuntos (virus que llegan por correo)
  • - entre 3 y 11 caracteres en minúsculas escogidos al azar -.exe
Asunto del mensaje (virus que llegan por correo)
  • Hi
Más información acerca de este virus en:

Anarquismo - Antiglobalización  -  Antivirus  -  Archivo Sonoro  -  Argentina  -  Bibliografía/Citas  - Brasil - CGT - CCOO -   Ciencia - CineColombia -  Contactos / Foro - Convenios ColectivosConvocatorias  - Convocatorias defensa FERROCARRIL  -  Correo recibido  -  Chile  -  Cuba  -  Documentos -  Documentos militante -  Ecología -  Economía -  Empleo -  Enlaces -  EE.UU. -  EuropaFormación -  Fotografía - HumorHUELGA GENERAL  - Infancia - LegislaciónLiteratura  - Memoria HistóricaMéxico - Mujer-   Mundo Insurgente - Mundo del Trabajo -   No Fumar -  Organigrama -  Palestina -  Plan de trabajo -  Prensa -  Problema Español -  Profesionales y Comunistas -  Resoluciones  - Sáhara Occidental - Salud - SIDA - Sexualidad -   Software Libre -  Venezuela -  XVI Congreso Federal y  -  VI Congreso de Madrid - Yugoslavia
Volver a la página de inicio

Novedades


Sitio Web de la Agrupación de Profesionales y Técnic@s del Partido Comunista de Madrid - http://www.profesionalespcm.org 
Los comentarios son bienvenidos
(profpcm@profesionalespcm.org): Carta a profpcm@profesionalespcm.org
Teléfono: (+34) 91 539 20 05 Fax. 91 539 03 37
Domicilio Social: C/Fray Luis de León, 11 - Esc. 2-2º (28012) Madrid. 

Accesos a esta página desde el 25 de junio de 2002:
Envíanos tu aportación, o comentarios via formulario.
Recomendado reproducir material citando su procedencia..

Gracias por no fumar en los lugares comunes - http://tobacco.who.int GRACIAS POR NO FUMAR EN LUGARES COMUNES