Ver las NORMAS de estos Foros Web ZackYFileS Chat ZackYFileS Agregar a Favoritos Contactar con Administrador
 
 

TU PUBLICIDAD AQUÍ!!
Navegación
Retroceder   Foros ZackYFileS >
OTROS TEMAS DE INTERES - INTERNET:
> HARDWARE y SOFTWARE del PC
Nombre de usuario
Contraseña
Configuración de UsuarioAyuda (FAQs)Nuevos PostsBuscar


Tema cerrado
 
Herramientas
Antiguo 10/03/2005, 02:27   #41
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]W32/Sumom.B. Se propaga a través del MSN Messenger[/B]

Nombre: W32/Sumom.B
Tipo: Gusano de Internet
Alias: Sumom.B, Win32/Sumom.B, WORM_FATSO.B
Fecha: 8/mar/05
Plataforma: Windows 32-bit
Tamaño: 36,352 bytes (PESpin)

Este gusano se propaga a través de MSN Messenger.

Al ejecutarse, crea algunas de las siguientes copias de si mismo en los directorios C:\WINDOWS y C:\WINDOWS\SYSTEM del equipo infectado:

dsm.exe
msmpatch.exe
svosm.exe
sysup.exe

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

El gusano también crea copias de si mismo en el directorio raíz de la unidad C: con alguno de los siguientes nombres:

Crazy Japanese man kicks crazy frog!.pif
Crazy.Html
dsm.exe
Dumb Looking Goth Chick.pif
Funny Hitler parody!.pif
HillBilly Chick lol.pif
Hot Blonde!.pif
Me drunk at The Sea!.pif
Me Love You Long Time.pif
Me pic.pif
Modelling Her New Bikini.pif
My birthday pic!.pif
One Eye Granny pic!.pif
Punk Lives! lol.pif

Los atributos de todos los archivos copiados, pueden estar como ocultos (+H), no siendo visibles para un usuario con la configuración de Windows para ver archivos por defecto.

Modifica las siguientes entradas para ejecutarse en cada reinicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[Valor al azar] = [archivo]

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\Run
[Valor al azar] = [archivo]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[Valor al azar] = [archivo]

HKLM\Software\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run
[Valor al azar] = [archivo]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[Valor al azar] = [archivo]

Donde [Valor al azar] puede ser alguno de los siguientes:

AvSer
DsmSer
rollbk

Y [archivo], puede tener uno de los siguientes nombres:

dsm.exe
msmpatch.exe
svosm.exe
sysup.exe

El gusano libera un documento HTML en el directorio raíz de la unidad C:, el cuál es visualizado utilizando el navegador por defecto del equipo infectado:

c:\crazy.html

Cuando ello ocurre, se intenta una conexión a Internet para actualizar un contador de la cantidad de infecciones, descargándose una imagen en formato JPG del siguiente servidor remoto:

[url]http://www.tur????orce3d.com/bilder[/url]
/annoying/annoying_desktop_2_1024x768.jpg

Donde "annoying_desktop_2_1024x768.jpg" es la siguiente imagen:



Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde la máquina infectada:

avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
grisoft .com
kaspersky .com
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
sandbox .norman .no
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
uk .trendmicro-europe .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .grisoft .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .pandasoftware .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com

El gusano cambia el nivel de seguridad de Windows, modificando las siguientes entradas del registro para deshabilitar las opciones que permiten restaurar el sistema automáticamente:

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = "0"

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableSR = "0"
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 10/03/2005, 02:28   #42
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Intenta finalizar los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos:

apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
cmd.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
msconfig.exe
msdev.exe
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
ollydbg.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
peid.exe
petools.exe
regedit.exe
reshacker.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
taskmgr.exe
Update.exe
updaterui.exe
vpupd.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
w32dasm.exe
winhex.exe
wscript.exe

El gusano también cierra cualquier ventana, cuyo título incluya alguna de las siguientes cadenas:

Adware
Alerts
Autostarted
Benign
Blocker
Bullguard
Buster
Center
-Cillin
Cleaner
Command
Destroy
Detection
Doctor
Earthlink
Editor
Eliminate
Fight
Filter
Firewall
Fixing
Hunter
Kerio
Liveupdate
Malware
Malwhere
Mcafee
Netcop
Nod32
Norton
Panda
Process!A
Prompt
Protector
Registry
Removal
Restore
Sandbox
Secure
Security
Sophos
Spybot
Spyware
Stopper
Sweeper
Trend
Update
Vcatch
Virus
Watch

El gusano se propaga por MSN Messenger enviando un mensaje a todos los contactos que se encuentren en línea con alguno de los siguientes archivos (una copia del propio gusano):

Crazy Japanese Man Kicks Crazy Frog!.pif
Dumb Looking Goth Chick.pif
Funny Hitler Parody!.pif
Funny Hitler Parody.pif
Hillbilly Chick Lol.pif
Hot Blonde!.pif
Me Drunk At The Sea!.pif
Me Love You Long Time.pif
Me Pic.pif
Modelling Her New Bikini.pif
My Birthday Pic!.pif
One Eye Granny Pic!.pif
Punk Lives! Lol.pif

Si el usuario hace clic en el archivo enviado, se produce la ejecución del gusano.


Reparación manual

Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes:

AvSer
DsmSer
rollbk

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes:

AvSer
DsmSer
rollbk

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes:

AvSer
DsmSer
rollbk

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\policies
\Explorer
\Run

9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes:

AvSer
DsmSer
rollbk

10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes:

AvSer
DsmSer
rollbk

12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Policies
\Microsoft
\Windows NT
\SystemRestore

13. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DisableConfig = 0

14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Policies
\Microsoft
\Windows NT
\SystemRestore

15. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DisableSR = 0

16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

4. Acepte guardar los cambios al salir del bloc de notas.

5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 01/04/2005, 22:28   #43
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]Descubiertas nuevas vulnerabilidades críticas en Internet Explorer y Outlook[/B]

Unas vulnerabilidades altamente críticas han sido descubiertas en el navegador de Microsoft Internet Explorer y Outlook, según la compañía eEye Digital Security.

Las vulnerabilidades permiten ejecutar código remoto sin que el usuario se entere, dijo eEye. Afortunadamente, las vulnerabilidades descubiertas no permiten que se propague para infiltrar en otro sistema.

"Si un usuario es engañado a visitar una página con código dañino, puede ser infectado sólo por navegar a través de un anuncio," dijo el ingeniero de seguridad de eEye.

eEye ha notificado a Microsoft las vulnerabilidades hace dias atrás, y está dando tiempo al gigante del software para lanzar un parche lo antes posible, antes de hacer públicas que versiones de los programas están afectadas.

Todavía, por suerte, no se ha detectado que se esté aprovechando de ésta vulnerabilidad.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 23/05/2005, 20:55   #44
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
El Sober prepara su nuevo ataque

El lunes puede ser un mal día, aseguran algunos expertos. Y ello se debe a la acción de una de las últimas variantes del gusano Sober, que tiene planeada para ese día la descarga y ejecución de un nuevo código, aún desconocido.

Sober es un gusano que se propaga en mensajes electrónicos generalmente en alemán o en inglés. La versión "P" (Q para otros fabricantes), poseía una carga maliciosa oculta; la de descargar y ejecutar un componente troyano, que le permitió al autor tomar el control de todas las máquinas infectadas y utilizarlas como lanzaderas de spam (correo basura).

El resultado, ha sido una semana con un notorio aumento de correo no solicitado llegando a los buzones de todo el mundo. Los mensajes no poseen carga maliciosa (ni adjuntos ni troyanos ocultos), solo textos y enlaces de propaganda nazi.

Pero esta rutina se desactiva el 23 de mayo, momento en el cuál el propio gusano intentará ejecutar y descargar un nuevo archivo de sitios aún desconocidos.

Hasta el momento se ignora que clase de archivo o que tipo de acciones podría tomar el mismo. Podría ser otro troyano u otra variante del Sober. O podría ser usado para lanzar ataques de denegación de servicio a sitios de Internet, o llevar a cabo cualquier otra acción maliciosa.

Por la cantidad de spam monitoreado en los últimos días, es evidente que existe una gran cantidad de máquinas infectadas, las que actúan como zombis, creando lo que se denomina una "botnet", o sea una extensa red que actúa como un autómata ante las instrucciones de su creador.

Lo más preocupante por el momento, es la forma en que el autor del Sober ha ocultado la fuente del archivo que descargará el próximo lunes 23. Típicamente, los gusanos esconden en su código las direcciones IP a las que se conectan para descargar nuevos componentes, y los nombres de éstos. Normalmente es solo cuestión de tiempo para los investigadores descifrar este código y tomar las medidas para clausurar los sitios involucrados o hacer borrar los archivos, de común acuerdo con los proveedores de Internet.

Sin embargo, Sober.P utiliza un algoritmo mucho más sofisticado, de tal manera que la dirección final, estará formada a partir de valores generados casi al azar.

Cada 60 minutos, una especie de firma creada por la hora, minutos, segundos y fecha actual, sirve de base para crear otros valores de forma randómica. Como el autor del gusano conoce muy bien este algoritmo, puede utilizar los datos creados para finalmente generar una URL determinada en uno de cinco diferentes servicios de hosting que operan en Alemania y Austria. Él podría ya haber registrado esta URL en una o varias compañías de hospedaje, para luego subir al nuevo sitio el código que sería descargado y ejecutado este lunes por las máquinas ya infectadas.

El cambio cada una hora de los valores generados para identificar la dirección de descarga, hace que el ataque que pueda producirse este lunes tenga casi una completa impunidad. Aunque algunos lo han mencionado, podría decirse que es prácticamente imposible que los cinco servidores involucrados dejen de aceptar nuevos registros o de activar nuevos sitios en estos días.

El mayor problema aquí, es la cantidad de usuarios ya infectados que existen. Estos usuarios no utilizan antivirus o no los actualizan. Sober.P, como todos las otras variantes del gusano, fue identificada desde el comienzo por la heurística avanzada de NOD32. La detección proactiva de este antivirus, ha protegido siempre a sus usuarios aún antes de haberse creado la firma que lo identifica.

Este tipo de protección es hoy día algo fundamental para detener esta clase de amenazas, debido a que las mismas pueden variar de forma y contenido en cuestión de segundos, y el tiempo necesario para que un fabricante genere la actualización y la distribuya, aún cuando hablemos de minutos, es demasiado grande teniendo en cuenta la velocidad de propagación de un gusano.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 23/05/2005, 20:59   #45
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
W32/Niya.A. Infecta archivos, borra inicio disco duro

Nombre: W32/Niya.A
Nombre NOD32: Win32/Niya.A
Tipo: Virus
Alias: Niya, Niya.A, PE_YAMI.A, Virus.Win32.Niya.a, W32.Yami.A, W32/NGVCK.d, Win32.Yang.A, Win32/Niya.A
Fecha: 21/may/05
Plataforma: Windows XP
[b]Tamaño: 3,029 bytes (los archivos infectados no varían su tamaño)[/b]

Virus que infecta archivos del tipo Windows Portable Executable (PE) en Windows XP. Los archivos infectados pueden quedar corruptos.

También sobrescribe los primeros 63 sectores del disco duro, haciendo que el disco no pueda iniciarse.

Se inyecta a si mismo en la memoria kernel de Windows y monitoriza toda actividad relacionada con la apertura de archivos.

El virus no aumenta el tamaño de los archivos infectados, ya que utiliza espacios no ocupados dentro del ejecutable.

Cuando se ejecuta, verifica que el sistema instalado sea Windows XP. Si es cualquier otra versión de Windows, incluidos Windows XP SP1 o Windows XP SP2, el virus no realiza ninguna acción.

Si es Windows XP, se instala y ejecuta en modo kernel, de modo de engancharse al servicio del sistema y monitorear toda apertura de archivos.

Si el archivo abierto es un .EXE intenta infectarlo. No infecta archivos dentro de la carpeta del sistema de Windows XP (System32). Tampoco aquellos .EXE más chicos de 18 Kb o mayores de 4 gigas.

Inserta como marca de infección las letras "YM" antes del cabezal del archivo infectado. No infecta archivos que ya tengan dicha marca.

También examina la memoria CMOS en busca de ciertos valores a los efectos de ejecutar o no su rutina de sobrescribir los primeros sectores del disco duro con el texto YM KILL YOU. Si esto ocurre, el disco no podrá bootear en el próximo reinicio del equipo.

El virus no se propaga por si mismo, pero puede llegar a nuestro PC al ser copiado un archivo infectado en el sistema. Estos archivos pueden ser descargados intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.


Reparación manual

IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los sectores sobrescritos del disco duro, dependerá del daño causado por el virus desde el momento de ocurrida la infección, hasta el momento de su detección. En ese caso se recomienda acudir a un servicio técnico especializado a los efectos de recuperar el sistema.

Tenga en cuenta que los usuarios que tengan instalado un antivirus como NOD32 estarán protegidos ya que el mismo bloqueará el primer intento de ejecución del virus, evitando los daños posteriores.


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos.

[COLOR=Red]NOTA: Si el virus ha borrado los primeros sectores del disco duro, esta acción no será posible, y deberá ocurrir a un servicio técnico especializado a los efectos de recuperar el sistema.[/COLOR]2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Repare los archivos detectados como infectados por el virus.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema".
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 03/06/2005, 01:36   #46
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]Los 10 virus más detectados por Virus Radar en Mayo del 2005[/B]

El phishing mantuvo el primer puesto en el ranking del servicio de estadísticas sobre amenazas informáticos de la empresa Eset, el cual muestra los virus de mayor propagación del último mes.

El HTML/Phishing.gen mantuvo el primer puesto del ranking de las diez amenazas informáticas de mayor propagación del mes de mayo, según las detecciones realizadas por el servicio VirusRadar.com de la empresa Eset, proveedor global de protección antivirus de última generación.

El phishing demuestra que se encuentra en un crecimiento muy amplio, ya que se ubicó durante los últimos dos meses en la primera posición del Ranking, con la gran diferencia que durante mayo alcanzó una propagación apenas menor a los 4 millones de correos electrónicos, mientras que el mes pasado lo hizo en menos de 2 millones.

El phishing son mensajes de correo electrónico falsificados con la intención de engañar a usuarios crédulos, para que revelen sus números de tarjetas de crédito, den información de sus depósitos de cuentas bancarias y todo tipo de detalles personales. Por este motivo, los usuarios que caen en esta trampa pueden recibir daños muchos mayores a inconvenientes con el ordenador, como es la pérdida total o parcial de su dinero en la cuenta bancaria o la tarjeta de crédito.

Un detalle no menor con respecto al phishing, es que esta amenaza por si sola generó más detecciones que la suma del todo el resto del malware procesado por el servicio.

VirusRadar.com es un servicio gratuito que brinda estadísticas detalladas sobre virus, basándose en las detecciones de su antivirus NOD32, el cual está instalado en distintos proveedores de Internet alrededor del mundo que participan del proyecto. Utilizando estas estadísticas es posible, entre otras cosas, conocer el crecimiento de las epidemias de nuevos virus, así como su ciclo de vida.

Todos los meses, VirusRadar.com publica un resumen de los diez virus más detectados del mes anterior, para poder observar cuales han sido las últimas amenazas que alcanzan un alto nivel de propagación.



En la segunda posición al igual que el mes pasado, se encuentra el Win32/Nestky.Q con casi 900 mil muestras detectadas. El Netsky.Q es un gusano capaz de reproducirse por correo electrónico. Además, puede utilizar aplicaciones de intercambio de archivos (P2P) y recursos compartidos del ordenador afectado.

En el tercer escalafón se encuentra el Win32/Sober.O, el cual surgió este mes y gracias a su mensaje en alemán e ingles que decía que regalaba entradas para el Mundial de Fútbol del 2006, consiguió un alto nivel de propagación en muy poco tiempo.

El conocido Virus del Mundial no sólo alcanzó grandes niveles de propagación, sino que también tuvo grandes repercusiones en la prensa mundial. Un detalle que marca el revuelo que generó este gusano, es que el Comité Organizador del Mundial de Fútbol de Alemania 2006 fue infectado por el virus y sufrió el bloqueo total de su sistema, según publicaron distintos medios en su momento.

La familia Netsky, como lo viene haciendo durante todo este año, es la dueña del ranking. No sólo la version .Q del gusano está dentro del Top 10, desde la cuarta posición hasta la séptima se encuentran las variantes D, Z, B y C del Netsky. Además, en la última plaza está ubicado el Netsky.N.

Los otros dos lugares del ranking se encuentran ocupados por el Win32/Zafi.B (el virus de mayor detección del 2004) y el Wind32/Mytob.D.

La familia de los Mytob no alcanza los más altos niveles de propagación en ninguna de sus variantes, pero ya se llevan detectadas más de 30 versiones durante el mes de mayo y más de 100 variantes en toda la familia.

El gran incremento del phishing es muy preocupante por el daño que le puede causar a los usuarios, por este motivo, siempre es recomendable no seguir los links dentro de los correos electrónicos y entrar a los sitios webs manualmente. Además, hay que tener en cuenta que nunca una institución financiara solicitará datos de ingreso o cualquier otro tipo de datos personales mediante un correo.

La forma de propagación más utilizada en la actualidad por los virus es el correo electrónico, confirmado esto por el hecho de que nueve de los diez ocupantes del ranking de VirusRadar son gusanos que se distribuyen de dicha manera.

Por esto es primordial que los usuarios se mantengan atentos a los mensajes de correo electrónico no solicitados que reciben, así como no abran sus archivos adjuntos y utilicen un antivirus actualizados con capacidades de detección heurística que le permitan contar con una mejor protección.

Acerca de Ontinet.com, S.L.

Ontinet.com, S.L. es distribuidor exclusivo para España de los productos de Eset, y cuenta con la mayoría de las versiones traducidas al castellano, incluyendo documentación y ayuda en línea, además de boletines informativos especiales y una completa enciclopedia de virus en español con información, alertas y noticias siempre actualizadas acerca del mundo de los virus: [url]http://www.enciclopediavirus.com[/url]

Para una mayor información acerca de los productos de NOD32 puede visitar nuestra página web en [url]http://www.nod32-es.com[/url]
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 05/06/2005, 18:24   #47
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Nuevo virus expandiendose aclamando que Bin Laden ha sido capturado

Los usuarios están siendo advertidos de que no deben abrir ningún correo en el que diga que Osama Bin Laden, el terrorista más buscado de todos los tiempos, ha sido capturado.

El correo dice contener imágenes del lider de Al-Qaeda detenido pero aquel que abra el correo será infectado por un virus.

Según las compañías de seguridad, no es el primer correo con virus sobre Bin Laden. Son muchos los hackers que se aprovechan de éste tipo de información para infectar con sus virus.

En todos éstos, dice que la CNN y la BBC lo anunciarán en cualquier momento. Siendo ésta información falsa.

Algunos asuntos de éste correo son:
God Bless America!
God Bless!
Captured
Captured! Finally!
Finally!
Finally! Captured!
He has been captured
God Bless the USA!
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 07/06/2005, 13:14   #48
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]Se podría estar gestando un supervirus informático[/B]

Expertos en seguridad alertan ante la posibilidad de que se esté desarrollando en red una potente versión de Mytob.

En concreto se sospecha que los creadores del virus Mytob podrían estar fabricando un dañino super virus mediante una red coordinada de desarrolladores.

Los recelos proceden de la incorporación a cada nueva variación del virus de un programa de instrucciones de su código destinado a marcar el camino a los desarrolladores, que podrían estar en varias partes del mundo.

"La única conclusión a la que podemos llegar es que están trabajando en un gran ataque", explica Carole Theriault, consultora de Sophos, una empresa especializada en seguridad informática.

Desde que se descubrió en febrero, el ataque en masa en forma de mails infestados de Mytob fue desarrollando docenas de variantes, cada una ligeramente diferente a la anterior.

Todas son capaces de anular los sistema de seguridad del ordenador infectado y bloquear el acceso del usuario a los sitios seguros. Así, la búsqueda de ayuda o asistencia contra el virus se vuelve más difícil.

De hecho, la empresa británica antivirus Tren Micro apunta a que el fin del gusano sea el dotarlo de un software espía que facilite datos para robar por Internet.

McAfee también reconoce sus extrañezas respecto a este virus informático, considerando que aunque el alcance de cada variante del virus es muy limitada (no llega a muchos usuarios) combina mucha actividad a su alrededor, lo que es sospechoso.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 24/06/2005, 19:19   #49
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Informe Semanal de Panda Software de Virus e Intrusos

El Informe Semanal de Panda Software abarca esta semana información sobre tres gusanos, W32.Semapi.A, W32.Codbot.AL, y W32.Mytob.GV.



W32.Codbot.AL es un gusano que ha registrado un importante número de detecciones desde su descubrimiento, situándose entre los cinco más activos durante la semana, según la herramienta de análisis online, Panda ActiveScan. Este malware utiliza para propagarse las conocidas vulnerabilidades de los procesos LSASS y RPC-DCOM, además de varias vulnerabilidades en SQL Server. Para instalarse en el equipo, se inscribe como un proceso del sistema, que se ejecuta a cada inicio del sistema, y que una vez en funcionamiento, se conecta a diversos servidores de IRC, a la espera de recibir órdenes. Estas órdenes pueden ser, desde obtención de información del equipo, activación de servicios de captura de pulsaciones de teclado (keylogger) o FTP, e incluso la descarga y ejecución de otro tipo de malware. Este gusano ha sido bloqueado sin conocerlo previamente por las Tecnologías TruPreventTM.

Por su parte, W32.Semapi.A es un gusano que se propaga por medio de correo electrónico, utilizando un mensaje de características variables, escrito en inglés, con asuntos y remitentes también variables, y que lleva adjunta una copia del gusano, utilizando diversas extensiones y nombres. Una vez instalado en el ordenador, copia varios archivos al disco duro y crea una serie de entradas en el registro para asegurarse su ejecución en cada inicio del sistema. Posteriormente, busca en el ordenador direcciones procedentes de archivos con extensiones que tiene predefinidas, y se reenvía a todas ellas. Es fácilmente reconocible, ya que al ejecutarse muestra un cuadro de diálogo que indica que no se encuentra el fichero ‘semapi.dll’.

El tercer gusano es un componente de la familia Mytob, concretamente la variante GV, con características backdoor y que se propaga, tanto por correo (a direcciones que consigue del ordenador afectado, falseando el remitente), como por medio de recursos compartidos protegidos por medio de contraseñas débiles. Además, finaliza diversos procesos, relacionados en gran medida con aplicaciones antivirus, y bloquea el acceso a sitios web de compañías de seguridad informática, por lo que deja el ordenador expuesto a infecciones de otro tipo de malware.

Para evitar la entrada de este malware o de cualquier otro código malicioso, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estas especies de malware.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 27/06/2005, 10:54   #50
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]Troj/Spy.Heles.C. Roba información del usuario[/B]

[b]Nombre:[/b] Troj/Spy.Heles.C
[b]Nombre NOD32:[/b] Win32/Spy.Heles.C
[b]Tipo:[/b] Caballo de Troya
[b]Alias:[/b] Spy.Heles.C, BehavesLike:Win32.ExplorerHijack, PWSteal.Trojan, Troj/Spy.Heles.C, Trojan.Spy.Small-3.dll, Trojan-Spy.Win32.Heles.c, Win32/Spy.Heles.C
[b]Fecha:[/b] 25/jun/05
[b]Plataforma:[/b] Windows 32-bit
[b]Tamaño:[/b] 6,073 bytes (FSG)

Caballo de Troya que puede llegar a nuestro PC liberado por otros malwares, o descargado de sitios Web maliciosos.

Cuando se ejecuta, es capaz de capturar todo lo tecleado, y enviarlo en un correo electrónico a un usuario remoto.

Aunque por sus características, el troyano podría ser enviado o descargado de Internet de muchas formas diferentes, la muestra recibida (detectada por la heurística de NOD32), fue reportado en un correo electrónico enviado como spam, con las siguientes características:

Asunto: Best PORN Collection here!!!

Texto del mensaje:

hi,

download 12 Gig Pon Movies for FREE!!!! New FTP PORN Server is open!

[url]www.eba??.info/PornFtp1.rar[/url]

drugs, sex and rocknroll !

Cuando se hace clic en el enlace, se descarga un archivo HTML que descarga a su vez el siguiente archivo:

http:://217.20.???.147//PornFtp1.rar

PORNFTP1.RAR contiene el troyano propiamente dicho con el siguiente nombre:

ftpGet1.01.exe (6,073 bytes)

Otros archivos creados por el troyano:

svcroot.exe
gorsys32.dll
delself.bat

GORSYS32.DLL es el encargado de capturar la salida del teclado.

Crea las siguientes entradas en el registro:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
load = [nombre del troyano]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
load = [nombre del troyano]

El troyano se registra dentro del proceso del EXPLORER.EXE, y se borra a si mismo luego de ejecutarse.

Las siguientes direcciones están contenidas en el código del troyano:

cyberpool @ arcor.de
keylogger @ rambler.ru


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows

3. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Windows

5. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).


Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 27/06/2005, 10:59   #51
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[B]Troj/Spy.Banker.NEV. Roba información bancaria[/B]

[b]Nombre:[/b] Troj/Spy.Banker.NEV
[b]Nombre NOD32:[/b] Win32/Spy.Banker.NEV
[b]Tipo:[/b] Caballo de Troya
[b]Alias:[/b] Banker.NEV, PSW.Banker.BDQ, Spy/Banker, TR.Spy.Bank.el.13.C, TR/Spy.Bank.el.13.C, Troj/Spy.Banker.NEV, Trojan.KeyLogger.189, Trojan-Spy.Win32.Banker.EL, Trojan-Spy.Win32.Banker.ud, Win32/Spy.Banker.NEV
[b]Fecha:[/b] 25/jun/05
[b]Plataforma:[/b] Windows 32-bit
[b]Tamaño:[/b] 37,888 bytes (ASPACK)

Se trata de un troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado.

Puede ser descargado por otros troyanos.

Cuando se ejecuta, examina si ya ha sido instalado en la máquina actual. Si no existe, crea uno o varios archivos en la siguiente ubicación:

c:\windows\system32\[nombre de archivo]

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[valor] = c:\windows\system32\[nombre de archivo]

Donde [valor] es un nombre al azar.

El troyano permanece en memoria y monitorea las ventanas del navegador abiertas por el usuario. Cuando éste accede a determinadas páginas, pertenecientes a instituciones bancarias, captura la salida del teclado, capturando datos críticos, como por ejemplo nombre de usuario, datos de tarjetas de créditos, números de cuentas bancarias, y todo lo que el usuario ingrese en cualquier formulario dentro de varios sitios.

La información capturada es almacenada en un archivo que luego será enviado a una dirección electrónica predeterminada.

El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.

Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.


Reparación manual

Deshabilitar cualquier conexión a Internet o una red

Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.

5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 27/06/2005, 11:03   #52
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
W32/Bagle.BI. Elimina antivirus y descarga archivos

Nombre: W32/Bagle.BI
Nombre NOD32: Win32/Bagle.BI
Tipo: Caballo de Troya y gusano de Internet
Alias: Bagle.BI, Email-Worm.Win32.Bagle.bq, Email-Worm.Win32.Bagle.BQ, Troj/BagleDl-R, TROJ_BAGLE.BB, W32/_newstuff.2, W32/Bagle.BI, W32/Bagle.BQ-mm, W32/Bagle.gen, Win32.Bagle.BQ@mm, Win32/Bagle.BI, Worm.Bagle.3, Worm.Bagle.BB-gen, Worm.Beagle.AV, Worm/Bagle.Gen
Fecha: 26/jun/05
Plataforma: Windows NT, 2000, XP
[b]Tamaño:[/b] 36,864 bytes

Gusano que es descargado de Internet por otro troyano. Cuando se ejecuta, para intentar engañar al usuario, abre el Microsoft Paint (mspaint.exe), y se copia a si mismo en la siguiente ubicación:

c:\windows\system32\WINSHOST.EXE

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "winshost.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "winshost.exe"

También crea las siguientes claves del registro como marca de infección:

HKEY_CURRENT_USER\Software\FirstRun
FirstRunRR = "dword:00000001"

HKEY_USERS\.DEFAULT\Software\FirstRun
FirstRunRR = "dword:00000001"

Y modifica las siguientes entradas

HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start = "dword:00000004"

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000004"

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "dword:00000004"

Luego, el troyano libera el siguiente archivo:

c:\windows\system32\WIWSHOST.EXE

WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link Library), que se intentará inyectar en el proceso del Explorer.exe utilizando la función "CreateRemoteThread". Esta función existe solo en Windows con tecnología NT (NT, 2000, XP). La misma, crea un hilo nuevo en cualquier proceso y ejecuta su código.

Luego de la inyección de código, WINSHOST.EXE finaliza su ejecución, y el proceso malicioso llamado WIWSHOST permanece ejecutándose encubierto dentro de la tarea del propio Explorer.

Sobrescribe el archivo HOSTS en "c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en Windows NT, 2000 y XP), con la siguiente información (esto deja el archivo HOSTS con su configuración por defecto):

127.0.0.1 localhost

El troyano también es capaz de finalizar numerosos programas de seguridad (antivirus y cortafuegos). Para ello, intentará deshabilitar cualquier servicio en ejecución con los siguientes nombres:

a5v.dll
AUPD1ATE.EXE
AUPDATE.EXE
AUPDATE.EXE
av.dll
av.dll
Av1synmgr.exe
Avc1onsol.exe
Avconsol.exe
Avconsol.exe
avg23emc.exe
avgc3c.exe
avgcc.exe
avgcc.exe
avgemc.exe
avgemc.exe
Avsynmgr.exe
Avsynmgr.exe
C1CSETMGR.EXE
c6a5fix.exe
cafix.exe
cafix.exe
CC1EVTMGR.EXE
cc1l30.dll
ccA1pp.exe
ccApp.exe
ccApp.exe
CCEVTMGR.EXE
CCEVTMGR.EXE
ccl30.dll
ccl30.dll
CCSETMGR.EXE
CCSETMGR.EXE
ccv1rtrst.dll
ccvrtrst.dll
ccvrtrst.dll
CM1Grdian.exe
CMGrdian.exe
CMGrdian.exe
is5a6fe.exe
isafe.exe
isafe.exe
K2A2V.exe
KAV.exe
KAV.exe
kav12mm.exe
kavmm.exe
kavmm.exe
LUAL1L.EXE
LUALL.EXE
LUALL.EXE
LUI1NSDLL.DLL
LUINSDLL.DLL
LUINSDLL.DLL
Luup1date.exe
Luupdate.exe
Luupdate.exe
Mcsh1ield.exe
Mcshield.exe
Mcshield.exe
mysuperprog.exe
NAV1APSVC.EXE
NAVAPSVC.EXE
NAVAPSVC.EXE
NPFM1NTOR.EXE
NPFMNTOR.EXE
NPFMNTOR.EXE
outp1ost.exe
outpost.exe
outpost.exe
RuLa1unch.exe
RuLaunch.exe
RuLaunch.exe
s1ymlcsvc.exe
SND1Srvc.exe
SNDSrvc.exe
SNDSrvc.exe
SP1BBCSvc.exe
SPBBCSvc.exe
SPBBCSvc.exe
symlcsvc.exe
symlcsvc.exe
Up222Date.exe
Up2Date.exe
Up2Date.exe
ve6tre5dir.dll
vetredir.dll
vetredir.dll
Vs1Stat.exe
vs6va5ult.dll
Vshw1in32.exe
Vshwin32.exe
Vshwin32.exe
VsStat.exe
VsStat.exe
vsvault.dll
vsvault.dll
zatu6tor.exe
zatutor.exe
zatutor.exe
zatutor.exe
zl5avscan.dll
zlavscan.dll
zlavscan.dll
zlavscan.dll
zlcli6ent.exe
zlclient.exe
zlclient.exe
zo3nealarm.exe
zonealarm.exe
zonealarm.exe
zonealarm.exe

Intentará descargar y ejecutar otros archivos desde numerosos servidores de Internet:

http:://www.21e????build.com/osa3.gif
http:://www.5????1.net/osa3.gif
http:://www.acs????ohio.com/osa3.gif
http:://www.ag????ria.hu/osa3.gif
http:://www.an????di.com.vn/osa3.gif
http:://www.ang????ham.de/osa3.gif
http:://www.ascol????fibras.com/osa3.gif
http:://www.autom????obilonline.de/osa3.gif
http:://www.ban????gyan.cn/osa3.gif
http:://www.bea????ll-cpa.com/osa3.gif
http:://www.bo????lz.at/osa3.gif
http:://www.bs-sec????urity.de/osa3.gif
http:://www.centr????ovestecasa.it/osa3.gif
http:://www.check????onemedia.nl/osa3.gif
http:://www.conte????ntproject.com/osa3.gif
http:://www.cz-wa????njia.com/osa3.gif
http:://www.czwan????qing.com/osa3.gif
http:://www.cz????zm.com/osa3.gif
http:://www.dat????anet.huwww.datanet.hu/osa3.gif
http:://www.desig????ngong.org/osa3.gif
http:://www.dg????y.com.cn/osa3.gif
http:://www.die-fli????esen.de/osa3.gif
http:://www.discote????ka-funfactory.com/osa3.gif
http:://www.dom-inv????est.com.pl/osa3.gif
http:://www.eag????le.com.cn/osa3.gif
http:://www.eagle????club.com.cn/osa3.gif
http:://www.eh????c.hu/osa3.gif
http:://www.elvis-pr????esley.ch/osa3.gif
http:://www.engel????hardtgmbh.de/osa3.gif
http:://www.exte????rnet.hu/osa3.gif
http:://www.fahrs????chule-herb.de/osa3.gif
http:://www.fahrs????chule-lesser.de/osa3.gif
http:://www.ferme????garoy.com/osa3.gif
http:://www.festivalteat????rooccidente.com/osa3.gif
http:://www.form????holz.at/osa3.gif
http:://www.foto????max.fi/osa3.gif
http:://www.gemt????rox.com.tw/osa3.gif
http:://www.gepe????ters.org/osa3.gif
http:://www.gimex????-messzeuge.de/osa3.gif
http:://www.gomy????home.com.tw/osa3.gif
http:://www.gym????zn.cz/osa3.gif
http:://www.honde????nservice.be/osa3.gif
http:://www.id????af.de/osa3.gif
http:://www.id????cs.be/osa3.gif
http:://www.id????er.cl/osa3.gif
http:://www.insid????e-tgweb.de/osa3.gif
http:://www.iz????oli.sk/osa3.gif
http:://www.jcm-ame????rican.com/osa3.gif
http:://www.jeou????shinn.com/osa3.gif
http:://www.jing????juok.com/osa3.gif
http:://www.jue-????bo.com/osa3.gif
http:://www.king????sley.ch/osa3.gif
http:://www.mark????etvw.com/osa3.gif
http:://www.mega????serve.net/osa3.gif
http:://www.mi????ld.at/osa3.gif
http:://www.niko????gmbh.com/osa3.gif
http:://www.ni????ko.de/osa3.gif
http:://www.ol????va.com.pe/osa3.gif
http:://www.on????24.ee/osa3.gif
http:://www.on????link.net/osa3.gif
http:://www.ppm-al????liance.de/osa3.gif
http:://www.pres????ley.ch/osa3.gif
http:://www.rene????gaderc.com/osa3.gif
http:://www.repl????ayu.com/osa3.gif
http:://www.sach????senbuecher.de/osa3.gif
http:://www.sanji????nyuan.com/osa3.gif
http:://www.scva????nravenswaaij.nl/osa3.gif
http:://www.slo????vanet.sk/osa3.gif
http:://www.sns????photo.com/osa3.gif
http:://www.soc????ietaet.de/osa3.gif
http:://www.soe????co.org/osa3.gif
http:://www.sof????tmajor.ru/osa3.gif
http:://www.sol????t3.org/osa3.gif
http:://www.spac????ium.biz/osa3.gif
http:://www.spee????dcom.home.pl/osa3.gif
http:://www.spir????it-in-steel.at/osa3.gif
http:://www.spo????den.de/osa3.gif
http:://www.spo????rtnf.com/osa3.gif
http:://www.sp????y.az/osa3.gif
http:://www.sqnsol????utions.com/osa3.gif
http:://www.st-pau????lus-bonn.dehtdocs/osa3.gif
http:://www.st????bs.com.hk/osa3.gif
http:://www.steri????pharm.com/osa3.gif
http:://www.stude????nts.stir.ac.uk/osa3.gif
http:://www.subsp????lanet.com/osa3.gif
http:://www.sungo????dbio.com/osa3.gif
http:://www.super????betcs.com/osa3.gif
http:://www.sw????eb.cz/osa3.gif
http:://www.sydo????lo.com/osa3.gif
http:://www.szdi????heng.com/osa3.gif
http:://www.tcic????ampus.net/osa3.gif
http:://www.tech????ni.com.cn/osa3.gif
http:://www.tg-sand????hausen-basketball.de/osa3.gif
http:://www.th-m????utan.com/osa3.gif
http:://www.thai????fast.com/osa3.gif
http:://www.thaiv????enture.com/osa3.gif
http:://www.thef????unkiest.com/osa3.gif
http:://www.thenex????tstep.tv/osa3.gif
http:://www.thetexa????soutfitter.com/osa3.gif
http:://www.tmhcsd1????987.friko.pl/osa3.gif
http:://www.tous????sain.be/osa3.gif
http:://www.tra????go.com.pt/osa3.gif
http:://www.trave????lourway.com/osa3.gif
http:://www.trgd.do????brcz.pl/osa3.gif
http:://www.triap????ex.cz/osa3.gif
http:://www.trip????tonic.ch/osa3.gif
http:://www.tv-ma????rina.com/osa3.gif
http:://www.udc-cassi????nadepecchi.it/osa3.gif
http:://www.univ????erse.sk/osa3.gif
http:://www.uspow????erchair.com/osa3.gif
http:://www.u????w.hu/osa3.gif
http:://www.vercru????yssenelektro.be/osa3.gif
http:://www.vet????24h.com/osa3.gif
http:://www.vini????meloni.com/osa3.gif
http:://www.vn????n.vn/osa3.gif
http:://www.vnrv????jiet.ac.in/osa3.gif
http:://www.vote????2fateh.com/osa3.gif
http:://www.vw.pre????ss-bank.pl/osa3.gif
http:://www.wam????ba.asn.au/osa3.gif
http:://www.wd????p.co.za/osa3.gif
http:://www.welc????corp.com/osa3.gif
http:://www.wesar????tproductions.com/osa3.gif
http:://www.wilsons????country.com/osa3.gif
http:://www.win????dstar.pl/osa3.gif
http:://www.wise-indu????stries.com/osa3.gif
http:://www.wit????old.pl/osa3.gif
http:://www.wom????bband.com/osa3.gif
http:://www.x-t????reme.cz/osa3.gif
http:://www.xia????ntong.net/osa3.gif
http:://www.xmp????ie.com/osa3.gif
http:://www.xmt????d.com/osa3.gif
http:://www.xoj????c.com/osa3.gif
http:://www.yannic????k-spruyt.be/osa3.gif
http:://www.yayado????wnload.com/osa3.gif
http:://www.yester????days.co.za/osa3.gif
http:://www.ysh????kj.com/osa3.gif
http:://www.zak????azcd.dp.ua/osa3.gif
http:://www.zen????esoftware.com/osa3.gif
http:://www.zen????tek.co.za/osa3.gif
http:://www.zor????bas.az/osa3.gif
http:://www.zsb????ersala.edu.sk/osa3.gif

Este troyano fue detectado proactivamente por la heurística de NOD32, aún antes de ser agregado a su base de datos.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 27/06/2005, 11:05   #53
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Reparación manual

IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección.


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\winshost.exe
c:\windows\system32\wiwshost.exe

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_USERS
\.DEFAULT
\Software
\FirstRun

3. Haga clic en la carpeta "FirstRun" y bórrela.

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\FirstRun

5. Haga clic en la carpeta "FirstRun" y bórrela.

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

winshost.exe = "winshost.exe"

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

winshost.exe = "winshost.exe"

10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Alerter

11. Haga clic en la carpeta "Alerter" y cambie el valor de la entrada "Start" por el siguiente valor:

Start = "dword:00000004"

12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess

13. Haga clic en la carpeta "SharedAccess" y cambie el valor de la entrada "Start" por el siguiente valor:

Start = "dword:00000002"

14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\wuauserv

15. Haga clic en la carpeta "wuauserv" y cambie el valor de la entrada "Start" por el siguiente valor:

Start = "dword:00000002"

16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

4. Acepte guardar los cambios al salir del bloc de notas.

5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Antiguo 10/07/2005, 09:47   #54
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Correo con virus aprovecha la masacre de Londres

Según informa [url]www.spamfo.co.uk[/url], la empresa Messagelabs ha detectado la circulación de un correo que hace referencia a vídeos inéditos de los ataques terroristas de Londres, pero que no esconde más que un troyano destinado a tomar el control de sistemas Windows.

El correo en cuestión se presenta como un email oficial de la CNN, y promete vídeos inéditos tomados por transeúntes y que recogen nuevos puntos de vista de la tragedia vivida el 7 de julio en Londres. La dirección del remitente (falsa) es [email]breakingnews@cnnonline.com[/email] y el asunto: TERROR HITS LONDON. Al email lo acompaña un archivo adjunto que esconde el virus.

El virus que esconde utiliza las técnicas habituales para intentar ejecutarse cada vez que la máquina es encendida, e instala pequeños motores SMTP que permiten enviar correo basura desde el ordenador infectado.

El número de infectados no deja de ser anecdótico comparado con otros virus recientes, aunque el número de emails cargados con el virus supuso un pico importante de tráfico durante la misma mañana de los atentados.

Lo interesante de este virus es su forma de intentar ser ejecutado e infectar los sistemas. Por un lado aprovecha una circunstancia trágica de la que se ha ofrecido poca información gráfica en los medios. Aprovecha así la morbosa curiosidad de muchas personas que buscan en internet lo que no le encuentra en la prensa escrita o audiovisual tradicional. Sorprende la rapidez con la que se idea, prepara y pone en circulación el virus, sólo horas después de los atentados.

Además, el nombre del fichero adjunto que debe ejecutar el usuario para infectarse, contiene una típica doble extensión (simula ser un video en formato AVI, pero en realidad es un ejecutable) muy bien camuflada. Así, se observa que en el propio nombre del archivo, se han insertado gran cantidad de espacios para que el usuario desvincule mentalmente los dos "trozos" de nombre, y el fichero se presente finalmente como un video AVI que ha sido comprobado por el antivirus Norton:

"London Terror Moovie.avi <124 espacios> Checked By Norton Antivirus.exe"

cuando en realidad, este archivo no es más que un ejecutable con extensión EXE y nombre inusualmente largo que infectará al incauto cuando se ejecute bajo el sistema operativo Microsoft Windows.

Afortunadamente, la mayoría de servidores de correo filtra directamente las extensiones ejecutables, impidiendo que lleguen a los clientes de correo de los usuarios, o son profusamente analizadas por los antivirus, a los que les basta con observar la doble extensión para calificar al fichero de, como mínimo, sospechoso.


Más información y referencias:

New Email Virus Poses As London Terrorist Attack News Footage
[url]http://www.spamfo.co.uk/component/option,com_content/task,view/id,347/Itemid,2/[/url]
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir
Publicidad: Conoce las ofertas de ANUNCIATE
Tema cerrado


Usuarios viendo actualmente este tema: 1 (0 usuarios registrados y 1 visitantes)
 
Herramientas

Permisos para publicar mensajes
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los BB code están Activado
Los Emoticones están Activado
El código [IMG] está Activado
El Código HTML está Desactivado

Ir al foro


!! ADVERTENCIAS !!: Las informaciones aquí publicadas NO CONTIENEN KEYS para la decodificación de ningún sistema: NO SON OPERATIVOS en sistemas SAT que precisen de su correspondiente suscripción.

ESTA TOTALMENTE PROHIBIDO EL USO DE ESTAS INFORMACIONES PARA LA MODIFICACIÓN O  DEFRAUDACIÓN DE SISTEMAS DE ACCESO CONDICIONAL.

ESTOS FOROS SON MODERADOS Y NO SE PERMITE LA PUBLICACIÓN DE INFORMACIONES ILEGALES POR PARTE DE LOS USUARIOS. EN CASO DE DETECTARSE ESTE TIPO DE INFORMACIONES, LOS USUARIOS SERÁN EXCLUIDOS DE ESTAS PÁGINAS.

USO DE COOKIES: Utilizamos COOKIES y de terceros para mejorar nuestros servicios y navegación por la web. Si continua navegando, consideramos que acepta su uso.  


La franja horaria es GMT +2. Ahora son las 19:37.


-------------------------------------------------------------------- --------------------------------------------------------------------

Powered por vBulletin™ Version 3.8.10
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.
Traducido por vBsoporte - vBulletin en español
Hispaservicios - J.G.C - 29112549T - Rio Cinca, 2, 30 (50180) SPAIN.
Todos los derechos reservados. Prohibida cualquier reproducion total o parcial.


Foros Patrocinados por anunciantes.