ÚLTIMAS ALERTAS Y SUGERENCIAS

Tasin.C

Tasin.C esta nueva versión de este gusano se ha propagado con mucha rapidez en las últimas horas a través del correo electrónico en un mensaje con características diferentes en idioma castellano.

Este virus contiene un código que intenta borrar todos los archivos con alguna de las siguientes extensiones: ASM, ASP, BDSPROJ, BMP, CPP, CS, CSPROJ, CSS, DOC, DPR, FRM, GIF, HTM, HTML, JPEG, JPG, MDB, MP3, NFM, NRG, PAS, PCX, PDF, PHP, PPT, RC, RC2, REG, RESX, RPT, SLN, TXT, VB, VBP, VBPROJ, WAV y XLS.

El Tasin.C es muy fácil de reconocer, ya que al ejecutarse abre el Internet Explorer mostrando la fotografía de una mujer desnuda.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Sober.I

Esta nueva variación del dañino Sober, el Worm.W32/Sober.I@MM, se distribuye a través del correo electrónico con diferentes características, además puede estar escrito en inglés o en alemán.

Este gusano llega a tu computadora como consecuencia de la emisión de correos a las direcciones almacenadas en el equipo infectado.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Bagle.AT

Esta nueva variación del ya famoso virus Bagle, es un gusano cuya propagación se realiza a través del envío de correo electrónico y por redes de intercambio de archivos (P2P).

Su objetivo es detener la ejecución de varios procesos, entre ellos algunos asociados a herramientas de seguridad informática (antivirus, cortafuegos, actualizaciones). Además intenta acceder a varios sitios de Internet, abrir puertas puerta traseras en el puerto TCP 81, para permitir el acceso remoto no autorizado al equipo infectado.

Bagle.AT intenta descargar un archivo llamado “g.jpg” de los siguientes sitios web:

• http://www.24-7-transportation.com
• http://www.adhdtests.com
• http://www.aegee.org
• http://www.aimcenter.net
• http://www.alupass.lu
• http://www.amanit.ru
• http://www.andara.com
• http://www.angelartsanctuary.com
• http://www.anthonyflanagan.com
• http://www.approved1stmortgage.com
• http://www.argontech.net
• http://www.asianfestival.nl
• http://www.atlantisteste.hpg.com.br
• Entre muchos otros...

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Bagle.AW

Bagle.AW es una nueva versión del conocido Bagle.A; un gusano cuya función es finalizar todos los procesos pertenecientes a los diferentes programas de actualización de antivirus, entre otras aplicaciones.

Este virus se propaga a través del correo electrónico, en un mensaje escrito en inglés con un archivo adjunto que tiene nombre variable y extensión ZIP. Dicho archivo contiene un archivo HTML, junto con un archivo EXE oculto.

Este archivo ejecutable es lanzado cuando el usuario abre el archivo HTML. Una vez ha afectado el computador, Bagle.AW intenta descargar un falso archivo JPG desde diversos sitios web. Si lo consigue, Bagle.AW empezará su propagación desde su computador.

Los usuarios deben estar alertas a la llegada de un correo conlectrónico con las siguientes características:

• Asunto: foto
• Contenido: foto
• Archivo adjunto: FOTO.ZIP, FOTO1.ZIP (Este archivo ZIP contiene un archivo HTML y un archivo EXE oculto).

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Worm.W32/Fremmy@M

Este nuevo gusano que habita en la memoria, se propaga a través de los recursos de intercambio, como lo son los correos electrónicos y su propio motor SMTP.

Cuando es ejecutado, crea los siguientes archivos en la carpeta del sistema de Windows (los tres primeros son copias del propio gusano, y el último es un componente necesario para su funcionamiento). Dichos archivos son:

c:\windows\systewm32\componentrhkbsdf.exe
c:\windows\systewm32\folderrsdwewv.dll
c:\windows\systewm32\trhkbsdf.exe
c:\windows\systewm32\wormherweqr.exe

Este ruta "c:\windows\system32" puede variar de acuerdo al sistema operativo que tengas en la computadora (Windows XP y Windows Server 2003). Así como “c:\winnt\system32" (Windows NT y 2000) y "c:\windows\system" (Windows 9x y ME).

El virus crea una entrada para autoejecutarse en cada reinicio del sistema. Además, el código del gusano contiene algunos errores que pueden causar fallos en su intento de propagarse.

Para el envío de correo, el gusano establece un nombre aleatorio para nombrar al archivo adjunto que acompañara en un mensaje con el siguiente texto:

Please inform that our server has been changed so any email you have received will be attached as email attachment.
This is only a temporary problem.
Our service will be smooth within a couple days.
Notice: Because of our services is not configured properly, your email message has been converted to attachment.
In order to read the message, please download the attachment.
Dear User, Due to the server problem you message has been converted to an attachment.
To view it please download the file.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Backdoor.W32/Jinmoze.H

Este nuevo virus es un troyano con capacidad para actuar como puerta trasera (backdoor) y permitir el acceso de un usuario remoto no autorizado al equipo infectado. El atacante puede entre otras cosas, finalizar procesos, capturar pulsaciones de teclado y cerrar servidores. Muestra por pantalla una interfaz gráfica con botones de acceso a programas conocidos.

Normalmente este troyano es instalado en el sistema por el usuario y deposita una copia de si mismo en el directorio de instalación de Windows con alguno de los siguientes nombres: SYSRATY.EXE, SYSRTAY.EXE.

El usuario remoto, es decir, el atacante se puede conectar con la máquina infectada a través de un puerto TCP. Una vez conectado, el usuario remoto puede realizar las siguientes acciones en la máquina infectada:

• Abrir/cerrar las unidades de CDROM.
• Ejecutar un CD de audio.
• Monitorear el estado de las unidades de CDROM.
• Capturar las pulsaciones realizadas sobre el teclado.
• Finalizar procesos.
• Ver un listado de las unidades disponibles.
• Cerrar un servidor.
• Crear carpetas.
• Cambiar el fondo de pantalla.
• Abrir un puerto.
• Abrir una conexión a Internet.
• Ejecutar archivos Real Media.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Dabber.A

Dabber.A es un gusano que se propaga a computadoras afectadas por el virus Sasser y todas sus variantes.

Dabber.A instala un backdoor que permite acceder remotamente al computador afectado con el objetivo de realizar acciones que comprometen la confidencialidad del usuario o le dificultan su trabajo.

También actúa como servidor TFTP, mediante el cual se podrán descargar archivos al computador. Adicionalmente, Dabber.A intenta eliminar las entradas del Registro de Windows correspondientes a otros gusanos.

Dabber.A se propaga a través de Internet. Para ello, realiza el siguiente proceso:

• Genera direcciones IP consecutivas.
• Comprueba si alguna de las variantes de Sasser se encuentran activas en el computador remoto.
• En caso afirmativo, realiza una copia de si mismo en el computador remoto.
• El computador quedará afectado la próxima vez que el usuario inicie Windows.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Sasser.B

Sasser.B es un gusano que se propaga a través de Internet, explotando la vulnerabilidad LSASS en computadores remotos. Este virus provoca el reinicio del computador de forma automática cuando intenta afectar el sistema utilizando dicha vulnerabilidad. A diferencia de otros gusanos, Sasser.B no se propaga por mensajes de correo electrónico, sino que se introduce en los computadores cuando se conectan a Internet. Además, se propaga rápidamente a través de las redes LAN de empresas.
Si su computador tiene como sistema operativo Windows 2003/XP/2000/NT, es recomendable descargar el parche de seguridad para la vulnerabilidad LSASS desde la página de Microsoft.

Síntomas Visibles

Sasser.B es fácil de reconocer, ya que provoca el reinicio del computador cuando intenta afectar al computador, explotando la vulnerabilidad LSASS. Cuando se lleva a cabo esta acción, Sasser.B muestra el siguiente mensaje en pantalla: se esta apagando el sistema, guarde todo.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Worm.W32/Beagle.W@MM

Este nuevo virus se transmite por correo electrónico y el primer síntoma que muestra Beagle es una ventana emergente con el siguiente texto: "Can't find a viewer associated with the file".

Worm.W32/Beagle.W@MM, una vez que infecta el computador, abre el puerto TCP 2535 y permanece a la escucha, lo que permite acceso no autorizado al computador infectado.

Además, este virus busca las direcciones de correo electrónico en archivos del computador y envía correos con direcciones falsas.

El virus llega en un mensaje de correo electrónico con alguna de estas características:

• Hi, It's me, Ready to accept a new friend? For details see the attach.
• Con un archivo adjunto, titulo y remitente aleatorio.
• Además, en el mail viene una imagen de una mujer.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

W32.Netsky.P@mm
25 de marzo de 2004

Este gusano utiliza una antigua vulnerabilidad de Internet Explorer, llamada MIME header vulnerability, en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa.

Cuando Worm.W32/Netsky.P@P2P+MM es ejecutado, realiza las siguientes acciones:

• Crea el mutex para asegurarse de no ser ejecutado varias veces al mismo tiempo.
Se copia a sí mismo bajo el nombre: %Windir%\FVProtect.exe. Esta denominación es variable, ya que este troyano localiza el directorio de instalación de Windows y se replica en esa ubicación.

• Deposita y ejecuta en el sistema, el archivo %Windir%\userconfig9x.dll, que tiene unos 26.624 bytes.

• Crea los siguientes archivos en ese mismo directorio:

1. %Windir%: base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)
2. zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882 bytes)
3. zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894 bytes)
4. zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886 bytes)
5. zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes)

Para ejecutarse automáticamente cada vez que el sistema sea reiniciado, el gusano intenta añadir el valor indicado en una clave del registro de Windows. Además, utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones electrónicas encontradas.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Sober.D
9 de marzo de 2004

Se ha detectado una nueva variante del gusano Sober.D, también conocido con el nombre de “Roca”. Es de fácil detección, ya que se distribuye a través del correo electrónico bajo el asunto: “Microsoft Alert: Please Read!", que simula ser
un parche de Microsoft contra una variante del gusano "Mydoom".

Hay preocupación entre los usuarios, pero no existe evidencia de su propagación masiva, específicamente en España. Sin embargo, está la probabilidad que en países anglosajones el gusano esté consiguiendo un mayor número de infecciones, ya que algunas casas antivirus con sedes en EE.UU., como NAi o symantec, lo han situado
en un nivel de alerta media.

Sober.D se propaga a través del correo electrónico en un archivo
adjunto con extensión .EXE o .ZIP. Los textos del mensaje pueden ser
en inglés o alemán, idioma éste último que solo utiliza si la
dirección del destinatario incluye la cadena "@gmx" o finaliza en
.de, .ch, .at o .li.

Fuentes Consultadas: http://digital.telepolis.com

SUBIR ^

Netsky.C
27 de febrero de 2004

Se ha detectado la aparición de la nueva variante C del gusano Netsky (W32/Netsky.C.worm). Se trata virus muy similar a su predecesor, Netsky.B, el cual aún está provocando un elevado número de incidencias en todo el mundo. Así, desde hace varios días.

Netsky.C llega al equipo en un mensaje de correo electrónico cuyo asunto, cuerpo y archivo adjunto son escogidos a partir de una extensa lista de opciones.
En caso de que el archivo adjunto sea ejecutado, Netsky.C genera copias de sí mismo con el nombre WINLOGON.EXE en todas las unidades del equipo.

Para propagarse se envía por correo electrónico a todas las direcciones que encuentre en archivos con extensiones .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, y .dhtm que se encuentren almacenados en el equipo. Para ello, utiliza su propio motor SMTP.
Por otra parte, el gusano se copia, utilizando una gran variedad de nombres distintos en todas las carpetas que existan en el computador que contengan la secuencia de letras "shar". De esta manera, puede propagarse utilizando aplicaciones para compartir archivos como KaZaA.

Por último, el gusano introduce varias entradas en el registro de Windows con el objetivo de asegurar su ejecución cada vez que se reinicie el equipo. Al mismo tiempo, borra las que puedan existir como consecuencia de la infección por virus como, por ejemplo, Mydoom.A y Mimail.T.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

MyDoom.F
26 de febrero 2004

Expertos en seguridad emitieron alertas ante una nueva versión del gusano de Internet MyDoom que borra archivos y está actuando con gran ferocidad.

Mydoom.F es un gusano con efectos destructivos que se propaga a través del correo electrónico en un mensaje escrito en inglés con características variables. Este gusano borra todos los archivos que tengan alguna de las siguientes extensiones: AVI, BMP, DOC, JPG, MDB, SAV y XLS.

Mydoom.F instala una librería de enlace dinámico (DLL) que contiene un backdoor. Esta DLL también permite finalizar procesos correspondientes a programas antivirus, lo que deja al computador afectado vulnerable frente al ataque de otros malwares.

El virus está programado para infectar computadoras personales y utilizarlas para desencadenar un dañino ataque digital, conocido como de denegación de servicio, contra sitios de Internet pertenecientes a Microsoft y la Asociación de la Industria Discográfica de Estados Unidos (RIAA, por sus siglas en inglés).

La RIAA ha causado indignación entre los usuarios de computadoras desde que empezó el año pasado a demandar a usuarios particulares que intercambiaban canciones por Internet.

Aunque no se estaba propagando tan rápido como sus predecesores ni como el brote de la semana pasada del Netsky.B, MyDoom.F está considerado como un peligro creciente porque borra archivos aleatorios de Microsoft Word y Excel, además de fotos y películas almacenadas en una computadora.

Los virus informáticos raramente destruyen archivos en la actualidad. En su lugar, han evolucionado a lo largo de los años para convertir a las computadoras en máquinas "zombis" capaces de ejecutar las órdenes del creador del virus.

El primer gusano MyDoom surgió en enero de 2004 y está considerado como la epidemia más virulenta registrada hasta ahora. Ha infectado a millones de computadoras en todo el mundo.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Netsky.B
25 de febrero 2004

El nuevo gusano Netsky.B puede llegar al computador a través de descargas de archivos desde Internet, o bien en un mensaje de correo electrónico cuyo asunto, cuerpo y archivo adjunto son escogidos a partir de una lista de opciones.

La mayoría de las compañías de seguridad informática clasificó al gusano como una amenaza de nivel mediano, al describirlo más como una molestia que como un virus maligno que destruye archivos o hace a las computadoras vulnerables a ataques.

El gusano, una vez activado, se envía por sí mismo a direcciones de correo electrónico encontradas en el disco duro de una computadora infectada.
Netsky.B, por lo general, llega a los buzones de correo electrónico como un e-mail de una persona conocida con un archivo adjunto que parece ser un documento de Microsoft Word con las palabras "léalo inmediatamente" o "algo para usted", haciéndolo difícil de identificar.

El proveedor de software antivirus y servicios Network Associates dijo que la actividad del gusano parecía estar concentrada en Europa, particularmente en Holanda.

El gusano que se instala en la memoria se propaga a través de un envío masivo de correo electrónico utilizando el protocolo SMTP (protocolo de correo simple) y además pasa al sistema como un archivo ejecutable con doble extensión usando un icono de MS World.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Mydoom/Novarg
28 de enero de 2004

Una nueva epidemia electrónica, descubierta el lunes 26 de enero de 2004, se propaga rápidamente gracias a un virus que ha sido bautizado por McAfee, Symantec y TrendMicro como Mydoom, Novarg o Mimail, respectivamente.

Se trata de un gusano que se propaga principalmente a través de mensajes de correo electrónico donde viaja como archivo adjunto de extensión .bat, .cmd, .exe, .pif, .scr, o incluso .zip. La infección tiene lugar al abrir dicho archivo, la cual no sólo activa los procesos relacionados con el gusano, sino que además abre una puerta trasera que permite el acceso remoto y programa un ataque del tipo DOS contra www.sco.com, a partir del próximo 1° de febrero.

Adicionalmente, el gusano puede reproducirse entre los usuarios de KaZaa ya que en la carpeta donde se almacenan los archivos a compartir, se coloca a sí mismo con alguno de los siguientes nombres: nuke2004, office_crack, rootkitXP, strip-girl-2.0bdcom_patches, activation_crack, icq2004-final, winamp. Un usuario cualquiera, podría conectarse a un PC infectado, bajar uno de esos archivos a su computador, ejecutarlo y contagiarse con Mydoom/Novarg.

McAfee compara la peligrosidad de Mydoom/Novarg a la de los virus Melissa, Loveletter, Anna y Nimda asignándole el más alto nivel de riesgo (High-Outbreak), mientras que Symantec considera que es una amenaza Categoría 4 y Panda sube a Nivel Rojo su alerta.

Las características del mensaje de correo incluyen:

• Proviene de un remitente cualquiera.
• El subject: Error, Status, Server Report, Mail Transaction Failed, Mail Delivery System, hello o hi.
• Cuerpo del mensaje: Mail transaction failed. Partial message is available; The message contains Unicode characters and has been sent as a binary attachment o The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• Archivo anexo: doc.bat, document.zip, message.zip, readme.zip, text.pif, hello.cmd, body.scr, test.htm.pif, data.txt.exe o file.scr.
• El principal síntoma es la ejecución del programa Bloc de notas o Notepad, donde aparece información ilegible.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Bagle.A
22 de enero de 2004

Este nuevo virus está diseñado para provocar el colapso de redes informáticas, sin que se hayan reportado mayores daños.
Este gusano, Bagle.A (W32/Bagle.A.worm), viaja rápidamente a través del correo electrónico, bajo el asunto “hi”, en el cuerpo del mensaje aparece el texto: Test =), (una serie de caracteres aleatorios). Además, dentro del correo encontrarás un archivo adjunto llamado “Test, yep”; este ejecutable contiene el código del gusano, que está compuesto de números distribuidos de forma aleatoria.
Su finalidad es propagarse rápidamente creando copias de si mismo.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Mimail.C
25 de noviembre de 2003

Mimail.J se difunde a través de un correo electrónico, cuyo asunto es "IMPORTANT" e incluye un archivo adjunto llamado www.paypal.com.pif. Como sucedía con la variante I de Mimail, que recurre a técnicas de Ingeniería Social, debido a que el correo enviado alude al sistema de pago PAYPAL. Su objetivo es engañar a los usuarios y difundirse al mayor número de equipos como sea posible.

Cuando se ejecuta, Mimail.J muestra en pantalla una imagen que simula ser la plantilla de entrada a una entidad bancaria. Después recoge, en un archivo que el gusano crea, la información introducida por el usuario y la manda en un correo. En computadoras con Windows Me/98/95 se ejecuta como un servicio para no aparecer en la lista del Administrador de tareas.

En todos los archivos del computador al que afecta, y cuya extensión no sea: COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG y BMP-, Mimail.J busca direcciones de correo, y las guarda en el archivo el388.tmp. A su vez, este gusano se envía a todas las direcciones que encuentra, utilizando su propio motor SMTP, y se conecta a la dirección IP 212.5.86.163, que corresponde a un servidor de correo ruso.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Lohack.E
25 de noviembre de 2003

Lohack.E es un gusano que se propaga bajo las mismas características que el anterior, así como en redes de computadoras y el programa de intercambio de archivos punto a punto (P2P) KaZaA. Para conseguirlo, utiliza correos de contenido muy variable aluden a la implantación de la Ley de Servicios de la Sociedad de la Información y el Correo Electrónico para atraer la atención de los usuarios. El mensaje también simula proceder de organizaciones fiables, como el Ministerio de Ciencia y Tecnología español o Panda Antivirus.

Este gusano, se activa automáticamente con tan sólo ver el mensaje en el que se manda, a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad, conocida como Exploit/Iframe, que afecta a las versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática de los archivos adjuntos a los mensajes de correo.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Banbra.B
25 de noviembre de 2003

Banbra.B, es un virus troyano que obtiene los números de cuentas y contraseñas que el usuario utiliza para acceder a Internet Banking Caixa, Bradesco Internet Banking y Banco do Brazil. Igualmente, monitorea las Páginas Web visitadas. En concreto, cuando se visita el Web Site de cualquiera de las entidades bancarias mencionas anteriormente, este código malicioso muestra una interfaz falsa, para así intentar que el usuario introduzca su información confidencial. Tras lograr dichos datos, Banbra.B los envía a su creador a través de FTP.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Lohack.C
28 de octubre de 2003

Se ha detectado un nuevo gusano denominado Lohack.C, el cual esta propagándose rápidamente. Con el objetivo de engañar a los usuarios, Lohack.C envía un mensaje que simula proceder de Panda Software o del Ministerio de Ciencia y Tecnología español; además alude a la Ley de Servicios de la Información y del Comercio Electrónico (LSSI), o al antídoto contra un virus.

Lohack.C se envía a todos los contactos que encuentra en la libreta de direcciones de Windows del equipo al que afecta. Además, intenta obtener los contactos de Messenger para propagarse y está programado para lanzar búsquedas de dominios en Google para hallar direcciones a las que pueda enviarse. Asimismo, está preparado para distribuirse por unidades compartidas de red. Los e-mail que Lohack.C envía suelen estar en formato html y, dependiendo del asunto que incluya, aprovecha una dirección URL en la que hay imágenes.

Lohack.C se activa automáticamente con sólo ver el mensaje en el que se envía, a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad -conocida como Exploit/Iframe- que afecta a las versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática de los ficheros adjuntos a los mensajes de correo.

Tras ser ejecutado, Lohack.C lleva a cabo, entre otras, las siguientes acciones:
* Mueve el ratón dificultando su desplazamiento.
* Copia en el sistema varios archivos y muestra un texto relativo a la LSSI.
* Intenta buscar servidores Web en la red para modificar la página de inicio.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

ETrj/Hatoy.A
04 de octubre de 2003

Este nuevo troyano está diseñado para cambiar la configuración TCP/IP de las computadoras, de manera que apunten a un servidor de DNS diferente al que tengan configurado. Básicamente, los servidores de DNS se encargan dirigir al usuario a la página Web correspondiente a la dirección que tecleó en su navegador.

Por esta razón, la consecuencia inmediata del Hatoy es que, cuando el usuario trata de conectarse a alguna página Web, es redirigido hacia otra distinta, elegida por el creador del virus.

El Hatoy es incapaz de propagarse, por lo que, para que un equipo quede afectado, es necesario que el internauta visite páginas Web construidas para aprovechar la debilidad del Object Type que afecta al navegador Microsoft Internet Explorer. Esta brecha en la seguridad posibilita la ejecución automática de archivos que estén contenidos en páginas que hagan uso de la mencionada vulnerabilidad.

En el caso de que un usuario visite una página diseñada para descargar y ejecutar el Hatoy, tu equipo quedará infectado inmediatamente. Una vez ejecutado en tu computador, el virus modifica el registro de Windows y genera una serie de archivos.

Dada su manera de propagación, se sospecha que alguna dirección apuntando hacia un sitio Web apto para distribuir al Hatoy haya sido incluida en correos electrónicos enviados como spam.

Te recomendamos mantener actualizado tu antivirus.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Worm.W32/Pandem.C
05 de septiembre de 2003

Este gusano se propaga mediante el correo electrónico, aplicaciones P2P y por ICQ. Al ser ejecutado, extrae de la carpeta de sistema de Windows (System) el archivo Zlib.dll. y se copia en el directorio C:\Windows\System32 utilizando el nombre videomgr.exe.Lo agrega como valor en la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run para poder ejecutarse en cada incio de Windows.

Para verificar la existencia de una conexión a Internet busca el sitio www.google.com, y si es encontrado intenta enviar a toda la libreta de direcciones el siguiente mensaje:

De: support@microsoft.com
Asunto: Microsoft Security Bulletin
Cuerpo:"Important Security and Privacy Information"

Your privacy and security may be compromised

Some web sites use unauthorized browser windows, Javascript, cookies, even malicious file downloads - without your permission. Through these vulnerabilities, your computer may be exposed to harmful internet threats, and your web
browsing can be tracked by unauthorized third parties.

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,NT,ME,XP should apply the attached update.

Archivo adjunto: update.zip o update.exe

Luego, es enviado un mensaje al autor del virus con el asunto Another Victim Of Social Engineering.

Para propagarse a traves de aplicaciones P2P se copia como:

* Cracks Collections.exe
* ICQ Platinum v2.exe
* Cracker Game.exe
* Matrix.scr
* ICQ Hack.exe
* Windows NT_2000_XP Nuker.exe
* Connection Booster.exe
* Serials Collections.exe
* Hotmail Hack.exe
* Norton keygen-All vers.exe
* Hacker.exe
* South Park.scr
* Cracks Collections.exe
* Popup Blocker.exe
* Trojan Remover.exe
* ICQ Platinum v2.exe
* Cracker Game.exe
* Matrix.scr

Solución

1. Eliminar el valor
   "Video Manager"="C:\Windows\System32\videomgr.exe" de la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
2. Reiniciar el equipo.
3. Con un antivirus actualizado realizar un escaneo completo en busca de virus y eliminar todos los archivos que sean detectados como infectados.
   

SUBIR ^

Blaster/Lovesan
13 de agosto de 2003

Millones de computadoras atacadas en todo el mundo por el virus "Lovesan"

WASHINGTON, Ago 12 (AFP) - Millones de computadoras con sistema Windows sufrieron en todo el mundo este martes el masivo ataque de un virus de rápida propagación, según advirtieron expertos y funcionarios de seguridad de Estados Unidos.

Decenas de miles de compañías, dependencias de gobiernos y computadoras caseras de usuarios en América, Europa y Asia fueron afectadas por el virus "Lovesan", que usa los nombres "MS Blast", "Blaster" "Lovsan" o "Lovesan", dijeron los expertos.

Además de hacer colapsar los sistemas, el virus tiene un mensaje para Bill Gates, el fundador y directivo de Microsoft, fabricante del sistema Windows. El mensaje dice: "Bill Gates, ¿por qué haces que esto sea posible? ¡¡Deja de ganar dinero y repara tu software!!".

El virus ataca a los sistemas Windows y Microsoft dijo que los programas versiones Windows 2000, Windows XP, Windows NT y Windows Server 2003 eran los más vulnerables.

Estos programas son empleados por millones de usuarios en el mundo. "Se trata de los sistemas operativos de la mayoría de las computadoras domésticas y de la mayor parte de las corporaciones", explicó David Wray, portavoz del departamento de Seguridad Interior que monitorea el sector de la información tecnológica como parte de su tarea de vigilancia de la seguridad doméstica.

"Comenzamos a ver esto ayer (lunes)", dijo Wray, al recomendar descargar de la página de Microsoft en Internet la herramienta necesaria para prevenirse.

"Estamos pidiendo a los usuarios que actualicen sus sistemas operativos Microsoft para evitar la vulnerabilidad que este virus explota", afirmó Wray. "Eso va a evitar que sus sistemas queden expuestos y ayudará a minimizar el contagio".

El virus no borra archivos y tampoco conlleva otros daños más que el de duplicarse a través del correo electrónico a través de la libreta de direcciones del usuario.

Pero las autoridades temen que piratas informáticos puedan aprovechar el virus para ocasionar daños mayores si no es detenido a tiempo.

Según Symantec, líder del mercado de anti-virus, en menos de 24 horas "Lovsan" habría doblado su número de víctimas en Estados Unidos.

Más de 127.000 redes informáticas estaban afectadas la tarde del martes contra 57.000 reportadas en un primer sondeo poco después del descubrimiento del virus el lunes cerca de las 18H30 GMT.

Entre sus víctimas, el servicios de minas de Maryland (este) se vio forzado a cerrar sus oficinas desde las 12H00 locales (16H00 GMT) debido a la infección que bloqueó todo sus sistema informático.

También la Reserva Federal de Atlanta se vio afectada. "Anoche (se) determinó que un cantidad de nuestros sistemas estaban afectados por el virus: MSBlast.exe", dijo el portavoz del banco, Pierce Nelson.

Por ahora, el virus "no parece haber afectado a otros distritos de la Reserva Federal", dijo el portavoz de la FED en Washington, David Skidmore.

Fuente: AFP

SUBIR ^

W32/Mimail
04 de agosto de 2003

Este nuevo virus es capaz de propagarse con rapidez a través de correo electrónico, aprovechándose de dos vulnerabilidades de Internet Explorer resueltas hace tiempo por Microsoft.

El correo infectado tiene las siguientes características:

Remitente:
admin@"dominio" (donde el "dominio" es el perteneciente al usuario que recibe el mensaje)

Asunto:
Your account "xxxxxxxx" (donde "xxxxxxxx" son caracteres aleatorios)

Texto:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
Best regards,
Administrator

Archivo adjunto:
message.zip

El archivo adjunto contiene un archivo con extension "HTML". Cuando este último se abre crea un archivo con extension "EXE" y lo ejecuta automáticamente, provocando que W32/Mimail infecte el equipo. Además, crea en el directorio de Windows los archivos: VIDEODRV.EXE EXE.TMP, ZIP.TMP y EMl.TMP, y genera en el Registro de Windows la siguiente clave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run VideoDriver = %windir%\videodrv.exe

SUBIR ^

Trojan.W32/Visages
23 de julio de 2003

Este troyano, escrito en Visual Basic, causa únicamente actividad continua en el disco A:\

Cuando Visages es ejecutado lleva a cabo las siguintes acciones:

1. Muestra el mensaje Welcome to W32.2faced cuando se ejecuta por primera vez

2. Hace llamadas continuas a la unidad A:, de forma que esta continuamente girando.

3. Añade el valor: "Microsoft Corporation"="[ruta del nombre de archivo del troyano]"

a la clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. Carga al inicio como un icono en la bandeja de entrada que un aspecto similar al icono del 'Auto-Protect' de Norton Antivirus. Si se hace doble click en el icono, muestra el mensaje " Are you Ready for when Jesus comes?". Al pulsar en "OK" muestra el mensaje: "I Am"

SUBIR ^

Lohack.B
17 de julio de 2003

Este virus aparenta que procede de remitentes fiables como el Ministerio de Ciencia y Tecnologia español o Panda Software. Además, aprovecha una vulnerabilidad del Explorer para autoejecutarse con la vista previa del mensaje.

Llega en un e-mail con las siguientes caracteristicas:

Remitente(s):
- Ministerio de Ciencia y Tecnologia [info@myct.es]
- Panda Antivirus [info@myct.es]

Asunto(s):
- Informacion sobre la LSSICE
- Informacion sobre la LSSICE y sus consecuencias
- Nuestras libertades en internet en peligro
- FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece en internet
- FW:CAMPAÑA de informacion sobre la LSSICE

Cuerpo(s):

AVISO URGENTE

PandaSoftware Antivirus acaba de publicar su última herramienta para remover el gusano hop.a Esta herramienta no sólo remueve de su sistema el gusano/virus si es encontrado, sino que le protege de posibles infecciones futuras.

Archivo adjunto:
S iempre tiene extension .exe o .scr.

SUBIR ^

Sobig.D
20 de junio de 2003

Este virus se envía por correo electrónico a direcciones de correo obtenidas de archivos con extensiones .TXT, .EML, .HTM*, .DBX y .WAB. Utliza su propio motor SMTP para no dejar rastro de sus acciones. El asunto, el cuerpo del texto y el mensaje adjunto son variables. A continuación una lista de las posibilidades:

Asunto:
Application Ref: 456003
Re: Accepted
Re: App. 00347545-002
Re: Documents
Re: Movies
Re: Screensaver
Re: Your application
Re: Your Application (Ref: 003844)
Your Application

Contenido del mensaje:
See the attached file for details

Archivo adjunto:
ACCEPTED.PIF
APP003475.PIF
APPLICATION.PIF
APPLICATION844.PIF
APPLICATIONS.PIF
DOCUMENT.PIF
MOVIES.PIF
REF_456.PIF
SCREENSAVER.SCR

Además, Sobig.D puede propagarse a través de redes locales. Para ello, se copia en los directorios de los equipos de red conectados a la máquina afectada que corresponden a los directorio de inicio de Windows.

Por ultimo, Sobig.D crea varias entradas en el registro de Windows con el objetivo de asegurar su ejecución cada vez que se inicie el equipo.

SUBIR ^

Trile (W32/Trile)
12 de junio de 2003

Trile llega al equipo en un e-mail cuyo asunto, cuerpo, y nombre del archivo adjunto son muy variables:

Asunto:
• Your News Alert!!
• New Reading
• Membership Confirmation
• Cows

Cuerpo:
• Attached one Gift for u..
• More details attached!
• Hi
• Check the attachment..

Nombre del archivo adjunto:
• screensaver
• urfriend
• screensaverforu
• screensaver4u

Además, los archivos adjuntos siempre tienen doble extensión, siendo .bat o .pif una de ellas mientras que la otra puede ser cualquiera de las siguientes: .gif, .mpg, .mp3, .wav, .dat, .jpg, .htm, .xls, .txt, .mdb, .bmp o .doc.

Si el archivo es ejecutado, Trile se reenvía a todas las entradas de la libreta de direcciones de Outlook. Además, crea -en caso de que no exista en el equipo-, el directorio C:/My Downloads. Dentro de este último, el gusano genera un gran número de copias de sí mismo en archivos con nombres muy atractivos para el usuario, tales como: Civilization 3 Full Downloader.exe, Need For Speed 5, Porsche Unleashed Patch.exe o Star Wars Starfighter ISO - Full Downloader.exe, entre otros.

Por otra parte, Trile infecta archivos de tipo EXE. Finalmente, introduce una serie de entradas en el registro de Windows relacionadas con las acciones que el gusano ha llevado a cabo en el equipo, y que indican, por ejemplo, el número de mensajes de correo que ha enviado.

SUBIR ^

Bugbear.B
06 de junio de 2003

Este gusano se propaga de forma masiva a través de un correo electrónico cuyo asunto y nombre del archivo adjunto son variables. Se trata de un virus extremadamente peligroso, ya que, además de tener la capacidad de infectar un gran número de archivos, inutiliza un gran número de programas antivirus y de seguridad que pueden encontrarse instalados en el equipo.

Bugbear.B tambien es capaz de aprovechar una conocida vulnerabilidad -detectada por los antivirus como Exploit/Iframe- del navegador Internet Explorer para ejecutarse automáticamente simplemente con la vista previa del mensaje de correo electrónico en el que llega incluido.

Además de todo lo anterior, el gusano abre el puerto de comunicaciones 36794, con el fin de permitir a un hacker acceder, de manera remota, a los recursos del computador afectado.

Por otra parte, Bugbear.B captura las pulsaciones de teclado que realiza el usuario del equipo, recopilandolas en un archivo. De este modo, si el hacker consigue acceder a ese archivo, podrá conocer datos confidenciales tales como contraseñas, números de cuentas bancarias y tarjetas de crédito, etc.

SUBIR ^

Sobig.C
03 de junio de 2003

Este gusano, sin efectos destructivos, se propaga a través del correo electrónico y de redes. El asunto siempre es el mismo: Please, see the attached file.

Una vez en el equipo, Sobig busca direcciones de correo electrónico en todos los ficheros que encuentre en el sistema con extensión TXT, EML, HTM, HTML, DBX y WAB y les manda a las direcciones encontradas una copia de sí mismo.

El archivo adjunto será uno de los siguientes:

SCREENSAVER.SCR
MOVIE.PIF
SUBMITED.PIF
45443.PIF
APPROVED.PIF
APPLICATION.PIF
DOCUMENT.PIF
DOCUMENTS.PIF

SUBIR ^

Anacon.B
28 de mayo de 2003

Este gusano, con capacidades de troyano, genera direcciones falsas que luego enviará a todos los contactos de la libreta de direccones del Outlook. El correo que se distribuye tiene las siguientes características:

Posibles Asuntos:
What New in TechTV!
Do you happy?
Great News! Check it out now!
Just for Laught!
TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
FoxNews Reporter: Hello! SARS Issue!
Get Free XXX Web Porn!
Oh, my girl!
Crack - Download Accerelator Plus 5.3.9
Do you remember me?
The ScreenSaver: Wireless Keyboard
VBCode: Prevent Your Application From Crack
Re: are you married?(1)
Download WinZip 9.0 Beta
Young and Dangerous 7
Alert! W32.Anacon.B@mm Worm Has been detected!
Run for your life!
Update: Microsoft Visual Studio .Net
Your Password: jad8aadf08
Tired to Search Anonymous SMTP Server?

Posibles cuerpos:
Hello dear,
I'm gonna missed you babe, hope we can see again!
In Love,
Rekcahlem ~<>~ Anacon

Posibles archivos adjuntos:
AGAINST.EXE
BGII.exe
FORCE.EXE
HANGUP.EXE
HUNGRY.EXE
RUNTIME.EXE
SCAN.EXE
WARS.EXE

SUBIR ^

W32/Palyh
19 de mayo de 2003

Palyh se propaga a través del correo electrónico a todas las direcciones que recoge de los archivos con extensiones .TXT, .EML, .HTM*, .DBX, y .WAB, que se encuentren en el equipo afectado.

El e-mail en el que el gusano llega al equipo, muestra como remitente a: support@microsoft.com. El asunto del mensaje es variable, siendo escogido a partir de una lista de opciones predeterminadas, entre las que se encuentran: Re: My application; Re: Movie; Cool screensaver; o Screensaver. En el cuerpo del mensaje aparece el texto: All information is in the attached file.

Finalmente, el nombre del archivo adjunto que contiene a Palyh es también variable, pudiendo ser entre otros: your_details.pif; ref-394755.pif; approved.pif; o password.pif. Sin embargo, debido a un error en el diseño del gusano, existe la posibilidad de que el archivo que se reciba muestre la extensión .PI en lugar de .PIF.

Palyh también puede propagarse a través de redes, copiándose en los directorios de inicio de Windows de los computadores conectados al pc infectado. Por otra parte, el gusano ha sido diseñado para propagarse unicamente hasta el 31 de mayo.

SUBIR ^

Fizzer
13 de mayo de 2003

Fizzer apareció el 8 de mayo y se propaga, principalmente, a través del correo electrónico. Tras afectar a un computador, envía a todos los contactos que encuentra en la libreta de direcciones de Windows un e-mail que contiene una copia de sí mismo, utilizando para ello su propio motor SMTP. Además, este gusano captura las pulsaciones del teclado que realiza el usuario y finaliza procesos activos, lo que conlleva a que algunos programas -principalmente los antivirus- dejen de funcionar.

SUBIR ^

Optix.Pro (Bck/Optix.Pro.13)
06 de mayo de 2003

Es un peligroso troyano que abre el puerto de comunicaciones 3410, permitiendo que un hacker gane acceso, de manera remota, a los recursos del computador afectado. Además, instala y ejecuta otro troyano de tipo backdoor (detectado por Panda antivirus como Bck/Sub7.22), deshabilita programas antivirus y termina procesos relacionados con firewalls.

Optix.Pro no utiliza ningún método específico para difundirse. Puede utilizar cualquiera de los habitualmente empleados por los virus.

SUBIR ^

Nolor (W32/Nolor)
06 de mayo de 2003

Es un gusano que se propaga con rapidez a través del correo electrónico. Una vez que infecta el equipo, envía una copia de sí mismo a todos los contactos que encuentran en la libreta de direcciones, utilizando su propio motor SMTP. El mensaje de correo a través del cual se propaga Nolor tiene características muy variables, aunque normalmente simula contener fotos de Bin Laden, tarjetas de felicitaciones o contraseñas de acceso a ciertos programas.

En cualquier caso, es sencillo reconocer a Nolor ya que llega en un mensaje de correo que siempre tendra uno de los siguientes archivos adjuntos: LOVE_LORN.KIS.OK.EXE, LOVELORN.KIS.OK.EXE, THUYQUYEN.KIS.OK.EXE, LOVE_LORN.HTM, LOVELORN.HTM o THUYQUYEN.HTM.

SUBIR ^

Aurity (W97M/Aurity)
06 de mayo de 2003

Es un virus de macro perteneciente al grupo W97M que infecta documentos de Microsoft Word 97 y a la plantilla global de dicho programa.

Aurity produce los siguientes efectos:

• Desactiva la protección antivirus en las macros de Word. Esto significa que al abrir un documento, Word no solicita confirmación para activar o desactivar las macros incluidas en el mismo.
• Infecta los documentos de Word (archivos con extensión .DOC)
• Infecta la plantilla global de Word (normal.dot) que a su vez se encarga de infectar todos los documentos de Word que se utilicen.

SUBIR ^

VBS_LISA.A
1° de abril de 2003

Este gusano desarrollado en Visual Basic (VBScript) infecta archivos con extensiones de VBS y de VBE. Se propaga vía Microsoft Outlook, Kazaa, y mIRC como mensaje HTML. Sus características son las siguientes:

• Asunto (subject): Click YES and vote against war!
• No tiene archivo adjunto ya que está dentro del código delñ mensaje.
• Se envía a todos los contactos de la libreta de direcciones de Outlook del PC infectado.

Este gusano también elimina archivos .DOC y algunos archivos críticos del sistema tales como WIN.COM y REGEDIT.EXE. Además, crea hasta 5.000 carpetas y archivos del texto, comprometiendo el rendimiento de los computadores. También oculta los iconos del escritorio de aquellos computadores que utilicen los sistemas operativos Windows 98 o ME.

SUBIR ^

Rolark (Trj/Rolark)
28 de marzo de 2003

Este virus ha sido diseñado para aprovechar una vulnerabilidad existente en la versión 5 de Microsoft Internet Information Server, que fue descubierta el pasado 17 de marzo. Dicha vulnerabilidad permitiría a un atacante obtener el control total sobre el sistema.

Rolark no es un troyano típico, ya que para realizar sus acciones no necesita instalarse en el equipo, ni crear o modificar archivo alguno. Sin embargo, también podría ser introducido en el sistema para ser ejecutado de forma remota y poder realizar un ataque sobre un tercer computador. De esta forma, la identidad de la máquina desde la que se inició la agresión quedaría oculta.

Se recomienda aplicar el parche que la compañía Microsoft ha publicado para la corrección de la vulnerabilidad de la que hace uso Rolark.

SUBIR ^

VBS/Redlof.B
20 de enero de 2003

Redlof.A es un gusano sin efectos destructivos cuyo único objetivo es infectar a otros computadores. Para lograrlo, copia su código en los archivos de tipo HTT, que son utilizados para visualizar las carpetas del sistema con formato de páginas Web. A partir de ese momento, cuando el usuario afectado abre una carpeta, ejecuta sin saberlo el virus. Este virus tambien es capaz de infectar archivos que tengan la extensión HTML.

Su propagación es rápida ya que se transmite por correo electroónico. Para ello, oculta su código dentro del diseño de fondo de todos los mensajes que envía el usuario mediante el programa de correo Outlook.

Redlof.A se aprovecha de la vulnerabilidad del componente VM ActiveX, mediante la cual se permite la ejecución del virus con la simple visualización de una página HTML que contenga el código vírico.

SUBIR ^

WORM_NETAV.A
06 de enero de 2003

Se propaga enviándose a sí mismo en un archivo adjunto a un correo electrónico a los contactos encontrados en la libreta de direcciones y en los documentos HTML que se encuentren en el equipo infectado. El virus crea una entrada del registro para ejecutarse cada vez que el equipo se reinicie. Una vez ejecutado, arroja el siguiente mensaje en una ventana de error:

Setup.This file does not work on this system

El mensaje infectado tiene las siguientes caracteristicas
Cualquiera de los siguientes asuntos:
Hello
For you
Try it
Re:

Texto del mensaje: (Cualquiera de los siguientes)
Hi. Here is what you asked, bye.
Hello. Maybe you could help me with this, bye.
Hello. Now you can try it, bye.

Archivo Adjunto: (Cualquiera de los siguientes)
Setup.exe
Hgame.exe
Mininet.exe
Netav.exe

SUBIR ^

Opaserv.M
30 de diciembre de 2002

Se considera muy peligroso porque borra la información relacionada con la BIOS del computador, es decir, la CMOS y el contenido del disco duro. Se propaga a través de redes y recursos compartidos. Afecta a los computadores o recursos que se encuentran conectados entre sí. Una vez producida la infección, Opaserv.M reinicia el computador y muestra un mensaje en pantalla que trata de simular un aviso sobre la versión del Sistema Operativo Windows instalada en el computador afectado.

Tras mostrar el mensaje, se borra el contenido de la CMOS (BIOS) y del disco duro.

SUBIR ^

W32/Lioten
18 de diciembre de 2002

Este nuevo gusano, diseñado para colapsar redes informáticas, afecta a equipos que funcionen bajo los sistemas operativos Windows NT, 2000 y XP. Posee una gran capacidad de reproducción y propagación. Se transmite a través de Internet y cuando se introduce en el equipo remoto se copia en el directorio de sistema de Windows bajo el nombre "Iraq_oil.exe". Hecho esto, comienza a generar direcciones IP de manera aleatoria tratando de abrir conexiones entre los diferentes equipos de la Red. Además, el código de Lioten contiene varios passwords almacenados -tales como"admin.", "server" o "root"- que pueden ser empleados para llevar a cabo las mencionadas conexiones.

SUBIR ^

CIH.1106 (variante del CIH)
30 de noviembre de 2002

Este virus formatea el disco duro de los equipos y se aloja en la memoria del sistema. En las computadoras con Windows 95, 98 o ME se activa cuando se ejecuta un archivo con extension "EXE". En los sistemas operativos Windows 2000, NT y XP sólo permanece residente. Se activa el día 2 de cada mes, y lleva a cabo las siguientes acciones:

- Sobrescribe la FAT (File Allocation Table) del disco duro.
- Borra el contenido de la memoria BIOS, en los computadores que tienen en su placa base un chipset 430TX de Intel, impidiendo que el computador pueda arrancar.

CIH.1106 se propaga por cualquiera de los medios empleados normalmente por otros virus (correo electrónico, redes de computadoras, transferencias de archivos a traves de FTP, CD-ROM, disquetes, etc.).

SUBIR ^

Winevar
30 de noviembre de 2002

Este gusano que llega en mensajes con diferentes asuntos, textos y nombres del documento adjunto, es capaz de desactivar diferentes programas antivirus de sistema. Se reenvía por correo electrónico y se instala en el directorio del sistema de Windows con un nombre aleatorio WIN <caracteres variados>.PIF, desde donde ejecuta el virus W32.FunLove.4099, que es el que finalmente infecta a la máquina. Este virus modifica los archivos de arranque de Windows para activarse en el momento que se reinicia el sistema y empezar a extraer direcciones de correo electrónico del disco duro y reenviar una copia.

SUBIR ^

WORM_BRAID.B
22 de noviembre de 2002

Este gusano deja copias de sí mismo en el escritorio de Windows; y las envía a todas las direcciones de correo que encuentre en el disco duro de la máquina infectada. Debido a errores de programación, este gusano no puede funcionar en Windows NT y 2000.

El correo con el virus tiene las siguientes caracteristicas:

De: <Registered Windows Owner>
Asunto : <Registered Owner Organization>
Texto del Mensaje:Hello,
My name is donkey-virus.
I wish you a merry Christmas and happy new year.
Thank you.
Archivo Adjunto: README.EXE (90,111 Bytes)

SUBIR ^

WORM_SPONGE.A
31 de octubre de 2002

Este es un gusano destructivo que se propaga como un archivo adjunto a través de la lista de correos del MS Outlook. Este virus sobreescribe los archivos con extensión SCR y PIF e infecta los documentos de Word sobreescribiendo la plantilla NORMAL.DOT. Su formato es el siguiente:

Asunto: SpongeBob Wallpaper
Texto del mensaje: Send this to your friends and make them laugh…
Archivo adjunto: Spongy.exe

SUBIR ^

WORM_DUKSTEN.B
25 de octubre de 2002

Este virus se propaga enviando una copia de sí mismo a todos los contactos de Outlook. Llega en un mensaje simulando ser una herramienta antivirus con el siguiente formato:

De: Alerta_RaPida <boletin@viralert.net>
Asunto: ProTeccion TOTAL contra W32/Bugbear (30dias)
Texto: <blank>
Archivo Adjunto: PROTECT.ZIP

SUBIR ^

GnutellaMandragore
25 de octubre de 2002

Este nuevo virus inteligente se propaga a través de las redes Gnutella que emplean programas como ToadNode y BearShare.

La peligrosidad del gusano reside en su manera de propagarse, ya que observa qué clase de archivos están buscando los usuarios para devolver una búsqueda con las caract6erísticas solicitadas.

Para evitar que su computadora contraiga este virus no descarge archivos EXE de la red de Gnutella.

SUBIR ^

Appix.B
18 de octubre de 2002

Este virus se propaga por correo electrónico y se ejecuta con la vista previa del mensaje. Appix.B hace uso de las denominadas técnicas de ingeniería social ya que el mensaje en el que llega incluido varía sus formatos.

El asunto del correo esta compuesto de dos partes, y el archivo adjunto puede denominarse 'PamAnderson.scr', 'Jolie.scr', 'AnnaKournikova.scr', 'XXX.scr', 'FreeSex.exe', 'TvTool.exe, 'FlashGet.exe', 'WarezBoardAccess.exe' o 'Undelivarablemail.exe'.

Si el archivo es ejecutado enviará el virus a todos los contactos de la libreta de direcciones del Outlook Express. Además, generará en el directorio de Window' el archivo APPBOOST.EXE que en realidad es una copia del gusano.

SUBIR ^

W32/Rodok.A
09 de octubre de 2002

Este es un gusano que se propaga a través de la aplicación de mensajería instantánea MSN Messenger, enviando el siguiente mensaje a otros usuarios conectados a esta aplicación:

Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does! http:// (-direccion Web-) / BR2002.exe <-- There you can download it! give me advices on what to upgrade please!!

En este mensaje se intenta convencer a los usuarios para que descarguen un programa, que en realidad descarga un virus.

W32/Rodok.A tiene un tamaño de 53.248 Bytes y está programado en Visual Basic 6.

SUBIR ^

Bugbear (W32/Bugbear)
30 de septiembre de 2002

Es un virus diseñado para enviarse como archivo adjunto a un mensaje de correo electrónico. Tanto el nombre del archivo como el asunto y cuerpo del e-mail son muy variables. Si el archivo adjunto es ejecutado, Bugbear crea varios archivos en el equipo. Si bien estos tienen un nombre escogido de manera aleatoria, algunos de ellos son copias del propio gusano, como %sysdir%\????.exe o %startup%\???.exe, en los que cada signo "?" corresponde a un caracter diferente.

Bugbear tiene la capacidad de abrir el puerto 36794 del computador al que ataca y al mismo tiempo detener aplicaciones tales como antivirus y firewalls personales. De esta forma, le permite al gusano abrir una puerta trasera que permitiría a un atacante acceder al computador o a una red de forma remota.

Por otra parte, el gusano introduce una entrada en el registro de Windows con el objetivo de ejecutarse cada vez que se reinicie el equipo.

SUBIR ^

Inwi
26 de septiembre de 2002

Inwi es un virus troyano diseñado para robar informacion de los sistemas en los que se instala. Los síntomas más evidentes del ataque de Inwi consisten en la inserción de nuevas entradas en el registro de Windows. De esta manera, consigue cambiar la configuración del navegador Microsoft Internet Explorer, incluyendo la página de inicio.

Por otra parte, Inwi tambien realiza los cambios necesarios en el sistema para ejecutarse cada vez que se abra un archivo con extensión .EXE o .TXT. Además, el troyano crea varios archivos en el equipo, incluyendo copias de sí mismo. Todas estas acciones tienen como objetivo conseguir datos del sistema en que se encuentra instalado para posteriormente enviarlos a una determinada dirección de correo electrónico.

Bitdefender ha creado una práctica aplicación para eliminar este molesto virus de su computador.

SUBIR ^

Variantes B y C del gusano Linux/Slapper
24 de septiembre de 2002

Estos nuevos gusanos denominados Linux/Slapper.B y Linux/Slapper.C son muy similares a su antecesor. Se diferencian en el número del puerto UDP que emplean para llevar a cabo su ataque y en las distribuciones de Linux que son vulnerables a sus efectos.

Los tres gusanos aprovechan una conocida vulnerabilidad de desbordamiento de buffer descubierta en el componente OpenSSL de servidores web Apache que funcionen bajo determinadas distribuciones de Linux, tales como algunas versiones de Mandrake, SuSe, Slackware, RedHat, Debian y Gentoo.

Linux/Slapper busca en Internet equipos vulnerables a sus ataques. Cuando los encuentra, el propio gusano actua como puerta trasera a traves de un puerto UDP. De esta forma puede ser provocado un ataque de denegacion de servicio distribuido. Dependiendo de la variante, el puerto objeto del ataque puede ser 2002 (Linux/Slapper), 1978 (Linux/Slapper.B) o 4156 (Linux/Slapper.C).

SUBIR ^

I-Worm.Gismor (Alias:W32.Gismor@mm, W32/Wauzy@MM)
17 de septiembre de 2002

Este es un virus gusano para windows que llega adunto en un mensaje de correo electrónico con las siguientes características:

De: MP3 Deluxe
A: My best friends
Asunto: Phenomenal
Archivo Adjunto: MP3Player.exe

SUBIR ^

Linux/Slapper
16 de septiembre de 2002

Este es un nuevo y potencialmente peligroso gusano para servidores web Apache que se encuentren instalados bajo sistemas operativos Linux.

Para su propagación utiliza una conocida vulnerabilidad de desbordamiento de buffer descubierta en el componente OpenSSL de servidores web Apache que funcionen bajo distribuciones Linux Mandrake, SuSe, Slackware, RedHat y Debian.

El nuevo gusano busca, a través de Internet, equipos susceptibles de ser atacados. Cuando los encuentra se encarga de crear una puerta trasera en el sistema para provocar un ataque de denegación de servicio distribuido. Una vez hecho esto, el código malicioso busca nuevos equipos.

SUBIR ^

VBS_EDNAV.C
10 de septiembre de 2002

Este virus gusano que también se propaga vía correo electrónico está escrito en Visual Basic y una vez ejecutado borra los archivos que están en el directorio "Mis Documentos". El correo tiene las siguientes características:

Asunto: "Network Problem"
Fichero Adjunto: %archivo VBS infectado%

SUBIR ^

Gaggle
5 de septiembre de 2002

Este virus, que se propaga a los contactos del Outlook, hacer creer que el contenido del correo es algo útil para el usuario (suscripciones, artículos). El asunto y el cuerpo del mensaje son variables. Un ejemplo común es el siguiente:

Asunto: "Revista virtual"
Cuerpo del mensaje: "Hola te envio el prospecto de subscripción..."
Archivo Adjunto: AngelDelMar.HTML.

Si el archivo es ejecutado, crea dos archivos en el directorio de Windows con los nombres Gaghiel.html y AngelDeMar.HTML. Además, borra los archivos Regedit.exe, Msconfig.exe y Systemsfc.exe, así como algunos archivos con extensiones .hlp, .chm y .cnt de la carpeta "Help" del drectorio de Windows. También busca todos los archivos que se encuentren en el equipo con extensión .HTM, añadiendo su código a cada uno de ellos.

SUBIR ^

BAT_HOTCAK.A
5 de septiembre de 2002

Este gusano se propaga por email a todos los contactos de Microsoft Outlook e IRC, y borra el archivo AUTOEXEC.BAT del inicio de su PC. El mensaje infectado tiene las siguientes características:

Asunto: "Patch your system now!!"
Cuerpo del mensaje: by me..patch against virus and hackers. download this now..
Archivo Adjunto: hotcakes.bat

SUBIR ^

WORM_HUNCH.A
28 de agosto de 2002

Este gusano destructivo que se propaga por Microsoft Outlook y llega en un archivo .EXE que se disfraza con un icono de archivo JPEG; elimina los archivos que estan en los siguientes directorios:
Windows y subdirectorios
Program File y subdirectorios
My Documents y subdirectorios

El mensaje infectado tiene las siguientes caracteristicas:
Asunto: <No tiene asunto>
Cuerpo: Mensaje importante para <Nombre de la computadora> en el archivo adjunto

SUBIR ^

BVBS_SEALUG.A
23 de agosto de 2002

Este virus gusano escrito en Visual Basic se propaga a través del Microsoft Outlook, en un correo con las siguientes características:

Asunto: En SevdiginMessage
Texto del mensaje: Hayat yasandigi kadardir. Ötesi ya hatiralarda bir iz, ya da hayallerde bir umuttur. Hüsrani ise bir tek yerde kabul edebilirim: O da yasamaya olanak varken yasayamamis olmaktir
Archivo adjunto: En_Sevdigin.vbs

SUBIR ^

BAT_MIGRATE.A
19 de agosto de 2002

Este virus gusano se propaga como archivo adjunto a mensajes de correo electrónico, vía IRC (Internet Relay Chat), y por el programa de intercambio de archivos KaZaa, con el siguiente formato:
Asunto: A Greeting Card For You
Texto del mensaje : Coz you're special to me... :)
Archivo adjunto: GREETING.CARD.BAT

SUBIR ^

WORM_HARAS.A
14 de agosto de 2002

Este gusano se propaga enviando una copia de sí a los contactos del Outlook Express y del MSN. Tiene una carga útil destructiva, elimina todos los archivos del directorio raíz y modifica ciertos archivos críticos, evitando que los sistemas afectados puedan reiniciar.

Formato del correo:
De: WinME
Asunto: SARAH SCREEN SAVER
Texto del mensaje: hi how are u? Look at sarah screen saver (;-) its very good.
Attachment: Sarah.scr

SUBIR ^

WORM_BIHUP.A
8 de agosto de 2002

Este gusano se propaga enviando una copia de sí a los contactos del Outlook Express. El asunto y mensaje del correo están escritos en coreano. El archivo adjunto puede ser cualquiera de los siguientes:

Heddink.exe
Go Korea.exe
RedDevil.exe
WorldCup.exe
2002.exe

SUBIR ^

WAVEHN.A
1° de agosto de 2002

Este es un virus destructivo que elimina todos los archivos con extensiones XLS, DOC, MDB, MP3, RPT y DWG y se propaga por Outlook o a todos los contactos encontrados en la lista de direcciones. Las características del mensaje son:

Asunto: ADMISION 2003
Texto del Mensaje: PROSPECTO DE ADMISION 2003
Archivo adj