LOS MAS RECIENTES

  

  .Bugbear.B@mm
BAT.Mumu.A.Worm
Sobig.C@mm
Naco.B@mm
HLLW.Redist@mm

 
 

VISITAR EL FINAL DE ESTA PAGINA,  EN DONDE ESTAN TODOS LOS VIRUS QUE SE VAN ACTIVANDO DIARIAMENTE DURANTE EL MES.

El último que nos ha afectado a nosotros el 19.4.2002 ha sido el W32.klez.H. Worm. Se nos ha introducido en todos los programas que hemos utilizado o abierto desde la última actualización y pase del antivirus ( 24 horas ). Total  28 archivos infectados en menos de un día, incluido  el propio antivirus..... que no lo detectó al no estar actualizado. Si no se elimina rápido afecta a las extensiones EXE habiendo de volver a cargar todos lo programas afectados. No es demasiado peligroso pero sí muy molesto por el tiempo que conlleva volver a poner en orden el ordenador. Como siempre entra por el correo. A nosotros con un mensaje de Panamá, que no detectó por aquello de la actualización. Es muy moderno y actual. Se detecta porque ralentiza los programas que se utilizan, incluido la conexión a Internet y da fallos de " Falta de memoria "......

Vamos a ocuparnos de W32/Yarner, de W32/Valcard y de W32/Maldal.I, tres gusanos que se propagan por correo electrónico.

A diferencia de otros gusanos, W32/Yarner no utiliza Outlook para difundirse, ya que se vale de su propio código para enviarse en un mensaje que tiene las siguientes características:

-Remitente: Trojaner-Infowebmaster@trojaner-info.de.
-Asunto: Trojaner-Info Newsletter %Fecha actual%
-Un fichero adjunto llamado: yawsetup.exe

W32/Yarner se manda a los contactos que obtiene en la libreta de direcciones
del equipo afectado y en los ficheros con extensión .php .htm, .shtm y .cgi.
Finalmente, procede a borrar todos los ficheros de la unidad C: que no estén
utilizándose.

EL DE MODA  EN FEBRERO...

VBS.VALENTINE
El VBS/Valentine, es un gusano que se transmite a través del correo electrónico y de los canales de IRC. 

Parte del gusano se encuentra en un página web determinada. Al conectarnos a esa página, se copiará en el disco rígido el archivo LOVEDAY14-A.HTA. Otra parte del mismo gusano, se encuentra en una página web determinada. Cuando nos conectemos a esta página, se descargará el archivo LOVEDAY14-B.HTA
El gusano se puede recibir por correo electrónico, como código HTML insertado en la autofirma del propio mensaje. Éste emplea el programa de correo electrónico Microsoft Outlook Express 5.0.

En primer lugar, VBS/Valentine comprueba si el idioma utilizado por el navegador de Internet es el español. En tal caso, podrá identificar la ruta del menú de Inicio.

A continuación, crea el archivo INDEX.HTML en el directorio C:\WINDOWS\SYSTEM. Este archivo contiene el código del virus y en él se puede leer el siguiente texto:

Loveday14 by One12 Melilla, España
Feliz san valentin davinia 

Una vez creado el archivo, el gusano muestra una ventana de DOS.

A continuación coloca en la autofirma correspondiente al programa de correo Outlook Express (versión 5), el archivo INDEX.HTML (el que anteriormente ha creado), para transmitirse con cada mensaje que se envíe. Adicionalmente, el gusano cambia la página de inicio del navegador, colocando por defecto la página http://www.terra.es/personal/acaymo. De esta forma, cuando se inicie el navegador de Internet, éste se conectará directamente a dicha página. En ese momento, desde la página en cuestión se descargará el archivo LOVEDAY14-B.HTA, en el directorio de inicio del sistema. 

Otra de las acciones del virus es comprobar la fecha del sistema. Si ésta corresponde al día es 8, 14, 23 o 29 de cualquier mes, VBS/Valentine crea determinadas carpetas en la unidad de disco rígido C:\. Éstas llevarán el mismo nombre que las ya existentes, pero les añadirá a sus nombres el texto "happysanvalentin". Entonces se elimina el contenido de las subcarpetas contenidas en los diferentes directorios de la unidad C:, pero no el de aquellas que se encuentran actualmente en uso.

El archivo LOVEDAY14-B.HTA consigue que se cree en el directorio C:\WINDOWS\SYSTEM otro archivo denominado MAIN.HTML. Este archivo contiene el código del virus y en él puede leerse el mismo texto referenciando al autor que en el archivo INDEX.HTML indicado anteriormente.

A continuación, el gusano se reenvía a todas las entradas que encuentra en la Libreta de Direcciones. La persona que recibe el mensaje no verá ningún asunto ni cuerpo en el mensaje. Sin embargo, el mensaje incluye el código del virus, colocado como código html. Además el gusano genera números aleatorios de 6 cifras, cuyo prefijo comience por 609, 619, 629, 630, 639, 646, 649 o 696, para enviar mensajes a teléfonos móviles. 
Este mensaje contiene el siguiente texto:

Asunto: Feliz san valentin
Cuerpo: Feliz san valentin. Por favor visita (Link a una página web determinada)

Si la persona que recibe el mensaje visita la citada página, se iniciará el ciclo descrito anteriormente.

El gusano busca en la unidad de disco rígido C: los archivos MIRC32.EXE y MLINK32.EXE. Si encuentra alguno de estos dos archivos, crea (en el subdirectorio del directorio en el que se encuentren), un archivo denominado SCRIPT.INI. Dicho archivo es el encargado de enviar el gusano a través de IRC. Cuando una persona se conecte a un determinado canal con la persona infectada, ésta recibirá un mensaje que contiene el archivo MAIN.HTML, creado anteriormente. Si el gusano no encuentra ninguno de los archivos, buscará los accesos directos a Internet existentes en el sistema (archivos .URL) y sustituirá su contenido convirtiéndolos en un acceso directo que apunta a la dirección de la página web

Los días 8, 14, 23 y 29 de cada mes, el gusano ejecuta su payload. Este consiste en sustituir el contenido de todos los archivos de la unidad de disco rígido C:\, por el siguiente texto y agregándole la extensión .txt:

Hola, me llamo Onel2 y voy a utilizar tus archivos para declararle mi amor
a Davinia, la chica mas guapa del mundo.
Feliz san Valentin Davinia. Eres la mas bonita y la mas simpatica.
Todos los dias a todas horas pienso en ti y cada segundo que no te veo es un infierno.
Quieres salir conmigo?
En cuanto a ti usuario, debo decirte que tus ficheros no han sido contaminados por un virus,
sino sacralizados por el amor que siento por Davinia.

Una vez finalizada su acción, aparecerá por pantalla una ventana similar ala que se muestra al final.

Este worm usa las mismas vulnerabilidad de seguridad que el virus JS/Kak.A@m. 

COMO PODEIS COMPROBAR SU AUTOR ESTA COMPLETAMENTE LOCO
-------------------------------------------------------------

JS/Coolsites.A@mm es un gusano escrito en Java Script que se aprovecha de
una vulnerabilidad existente en Microsoft VM (que afecta a las versiones 4.x
y 5.x SP1 de MS Internet Explorer). Se difunde a través del correo
electrónico en un mensaje que carece de fichero adjunto e invita al usuario
a visitar una dirección de Internet con contenido pornográfico. Al acceder a
la mencionada dirección se activa el código de JS/Coolsites.A@mm,
reenviándose el mensaje en el que se ha recibido a todos los destinatarios
de los e-mails que encuentre en la bandeja "Elementos enviados" de MS
Outlook. Después, JS/Coolsites.A@mm  borra todos los mensajes de la bandeja
mencionada, para así ocultar la actividad que ha realizado en el sistema al
que ha atacado.

Y ESTE TAMBIEN LO SUFRIMOS EN NUESTRO ORDENADOR.   ( 4.12.01)

W32/Goner.A@mm

W32/Goner.A@mm llega incluido en un fichero adjunto y, cuando es ejecutado,
se reenvía a todas las entradas de la libreta de direcciones de Outlook.
También intenta enviarse a través de las aplicaciones de mensajería y chat
ICQ y mIRC. Además está diseñado para borrar ficheros vitales para el
funcionamiento de algunas aplicaciones (como ZoneAlarm).

"  W32/BADTRANS B  "

Un gusano informático capaz de rastrear incluso contraseñas y detalles de tarjetas de crédito y que infecta los ordenadores y los deja vulnerables a futuras intromisiones al rastrear lo que se escribe en el teclado, se está propagando con rapidez según advierten las compañías de seguridad. 

El gusano informático, denominado "Badtrans" se propaga a través del Microsoft Corp. Outlook o los programas de correo electrónico Outlook Express y automáticamente se envía por sí mismo a e-mails no respondidos en las carpetas de mensajes recibidos.
El archivo adjunto, que contiene el programa maligno, puede ser ejecutado simplemente leyéndolo o viéndolo previamente y no necesita que se le haga doble click o se abra por separado, según expertos en seguridad informática.

El gusano mantiene un registro del movimiento del teclado que pueda ser usado para grabar lo que las personas escriben para obtener contraseñas y números de tarjetas de crédito, indicaron responsables de empresas de antivirus.

No daña los archivos, pero deja una conexión en la máquina que permitiría a un intruso cibernético regresar y tener acceso a información personal", dijo April Goostree, administradora de investigaciones de virus de McAfee.com.

Aunque los portales de correo electrónico corporativos están bloqueando el gusano, muchos usuarios de hogares y oficinas pequeñas que no han actualizado su software antivirus están siendo infectados, dijo la ejecutiva.

El gusano además se oculta y camufla ya que la línea del tema varía, lo mismo que el nombre del archivo adjunto, con sufijos que incluyen .doc, .pics y .news.

El gusano, una variante de uno descubierto en abril, ha hecho impacto en al menos 50 países, con la mayoría de las infecciones en Alemania, seguida por el Reino Unido y Estados Unidos, dijo MessageLabs, con sede en Gran Bretaña y que informó haber recibido 400 copias en una hora el pasado fin de semana.

Virus inteligentes
----------------------------------------------------------
La reciente aparición de este nuevo gusano informático representa probablemente un paso mas del espionaje en la red. La curiosa secuencia de aparición de nuevos virus inteligentes a partir especialmente de la segunda mitad de 2001 con habilidades de intromisón crecientes y en especial la de remover archivos de los ordenadores infectados y ponerlos en a circular en la red (Nimda) quizas sea algo mas que una casualidad.

-------------------------------------------------------------------------------------

          En el supuesto de haber recibido un E-Mail de un amigo o conocido en donde se le diga más o menos....Hola,  ya me dirás que te parece esto....y vaya acompañado de un archivo de texto o gráfico...

 ¡¡ NO LO ABRA !!

      O ya tendrá en su ordenador de lo más  reciente  en virus, conocido como " Sircam ",  que puede estar residente incluso varios meses antes de empezar su tarea destructiva,  pero mientras tanto copiará cualquier archivo de su ordenador y se lo remitirá en su nombre a todas las direcciones que encuentre en su correo electrónico...  y así sucesivamente.

     También puede ocurrir que al abrir el ordenador le de un mensaje referente al virus y lo paralice totalmente.....

     Si ello ocurre le recomendamos la siguiente solución:

     Busque por Internet o en un establecimiento especializado un buen antivirus. Una vez en su poder,  instálelo con la última actualización incluida, y deja que actue después de haber indicado que scannée todo el ordenador.

      Si tiene mucha prisa vaya directamente a Windows system y system 32 y ejecute el antivirus sobre estos dos archivos. Normalmente se instala en el Windows System 32.

     Si la máquina antes o después se le paraliza, haga un reset,  y con la tecla F8 vaya al punto tres del Sistema de fallos. Podrá entonces ejecutar todo lo que precise con el antivirus, incluso pasarlo en este momento.  Reinicie la computadora y " SE ACABO"

     Pero  ATENCION , le recomendamos un buen  antivirus  con su actualización correspondiente, ya que concretamente una empresa había pasado antivirus de distintas entidades y le daban negativo. Cuando realmente tenia instalados más de 36 virus distintos.

     Si tiene alguna duda no se  lo piense. Consúltenos directamente sin cargo alguno a nuestro teléfono 973.680.104 o puede también si lo desea, remitirnos un E-mail. Todo lo aquí expuesto se ha basado en nuestra experiencia. A nosotros también nos afectó en su día.  No se fíe.  Será muy destructivo cuando empiece su verdadera finalidad.

El virus se ha convertido en la estrella de la Red 

MAS INFORMACION TECNICA

Este virus, cuya primeras presencias en la Red fueron denunciadas el martes 17, ha infectado una importante cantidad de máquinas. El gusano responde al nombre de Sircam, y se reproduce a través del programa de correo Microsoft Outlook, luego que el usuario lo haya ejecutado en su PC. 

¿Cómo empieza la infección? Primero, tiene que llegarte un mail cuyo título es igual al nombre del archivo que trae attacheado. Por ejemplo, si el título del mail es ibiz el attach se llamará ibiz.doc.pif. Las terminaciones del archivo adjunto son .PIF, .BAT, .COM, .EXE o .LNK. Desde ya, si lo ejecutan, su sistema se infectará. Debido a que algunos usuarios tienen las terminaciones de archivo desactivadas por defecto, es posible que crean que se trata de un texto inofensivo, cuando es en realidad un ejecutable. 

El cuerpo del mail es mucho más reconocible, y viene en dos idiomas. En el caso de que el mensaje les llegue en español, la primera y la última línea son siempre iguales, y dicen .Hola como estás? y Nos vemos pronto, gracias. El que se modifica aleatoriamente,  es el texto del medio. Pueden ser cualquiera de las siguientes: .Te mando este archivo para que mes des tu punto de vista; Espero que puedas ayudarme con el archivo que te mando; Espero que te guste este archivo que te mando y Este es el archivo con la información que me pediste. Las versiones es inglés son muy similares. 

Si el usuario lo ejecuta, lo que hace el virus es tomar algún archivo alojado en la carpeta /Mis documentos y que tengan las extensiones .GIF, .JPG; .JPEG; .MPG; .MPEG; .MOV; .PDF y .PNG. Luego, lo reenvía a toda la libreta de direcciones del Outlook, renombrándolos con terminaciones ejecutables. El virus luego se aloja en la Papelera de reciclaje, que muchos antivirus no chequean. 

Esta capacidad de búsqueda del virus hace que todos los archivos que envía por mail tengan nombres diferentes. 

Al ejecutar el archivo, el usuario modifica el registro del sistema. Luego, el virus genera un listado con todos los archivos con las extensiones ya descriptas y los guarda en el directorio de sistema de Windows bajo el nombre SCD.DLL. Otra potencialidad del gusano Sircam es infectar todas las demás computadoras que estén conectadas en red con la nuestra. 

La solución más básica es limpiar el sistema utilizando un antivirus actualizado a una fecha posterior al 18 de julio. Ya hay actualizaciones disponibles para el Sircam para usuarios de McAfee, Norton, Panda y otros. Pero si quieren borrarlo manualmente y sentirse más seguros, los pasos a seguir son los siguientes: 

1) Renombrar el archivo REGEDIT.EXE como REGEDIT.COM. Luego ejecutarlo.
2) Editar la clave de registro HKCR\exefile\shell\open\command\Default, y restablecer el valor por default: "%1" %* (comillas- por ciento - uno- comillas  por ciento -asterisco).
3) Eliminar la entrada de registro de nombre Driver32 en la clave de registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.
4) Quitar la carpeta SirCam ubicada en la clave de registro HKLM\SOFTWARE.
5) Cerrar el archivo REGEDIT.COM y editar el archivo AUTOEXEC.BAT. Si existe, hay que eliminar la línea @win \recycled\sirc32.exe (si esta existiera, puede ser que no esté en tu sistema).
6) Borrar los archivos scmx32.exe y/o Microsoft Internet Office.exe en el directorio de inicio del sistema.
7) Reiniciar el equipo. 
8) Borrar los archivos \Recycled\SirC32.exe y \Windows\System\scam32.exe.
9) Si hay un archivo run32.exe en el directorio de Windows, borrar el archivo rundll32.exe de ese directorio. Renombrar el archivo run32.exe como rundll32.exe 

W32/HAPPY TIME  -  W32/NIMDA- A   y variantes

        Nimda, debido a su complejidad y facilidad de penetración en los equipos, amenaza con convertirse en una epidemia comparable a las últimas grandes infecciones que se han producido en los últimos dos meses.  

       Concretamente, su principal peligro radica en que se activa con la vista previa del mensaje que lo contiene.  Al elevado número de equipos que en todo el mundo han resultado infectados por Nimda, habría que añadir las decenas de miles de ordenadores que han experimentado algún tipo de encuentro con este gusano; es decir, los que, aun estando debidamente protegidos mediante la actualización correspondiente del antivirus, han recibido algún envío de este código malicioso.

        Por otro lado, el Departamento de Soporte Técnico de Panda Software España ha recibido un promedio de 60 incidencias por hora a través de sus líneas telefónicas, situación que se ha repetido en todos los países en los que la multinacional europea está representada. 

       Se recomienda a los usuarios adoptar las siguientes medidas para protegerse contra este virus: 

       Actualizar el antivirus antes de abrir el  correo electrónico. En estos momentos, varias empresas de antivirus disponen de la correspondiente vacuna para este virus con todas sus soluciones de seguridad. Una vez actualizado, se debe realizar un análisis de todos los sistemas de ficheros y mensajes. 

Y POR SI FUERA POCO AQUÍ TIENE UN TRISTE CUADRO DE LAS POSIBLES ENTRADAS  Y/O  ACTIVACION DE LOS VIRUS Y DIAS EN EL MES DE ENERO DEL 2.004

Domingo
1 8 15 22 29  
Trojan.INST98
I-Worm.MYPICS
W97M.OPEY
W97M.VALE
W97M.CHANGE.A
WM.CVCK1.A
WM.TRIBUTE.A;B
BADBOY.A-C
WM.THEATRE.A
W32.Naco.B@mm
 VBS.VALENTINE
WM.ERASER.H
WM.KOMPU.A
W95 o Win95.Taiwan
W32.Naco.B@mm
 VBS.Devolve.A
VBS.First
WM.TRIBUTE.A;B
WM.THEATRE.A
W97M.JACKAL.A
W32.Mineup.Worm
 WM.MDMA.A
 WM.MDMA.A
VBS.VALENTINE
  
Lunes
2 9 16 23 30  
I-Worm.MYPICS
WM.Helper.B
FLIP
WM.ALLIANCE.A
W32.PE.Begemot.A
 X97M.TRASHER.D
W97M.JACKAL.A
 WM.TRIBUTE.A;B
WM.ERASER.H
WM.CONCEPT.F,G,J
W32.Naco.B@mm
 X97M.TRASHER.D
VBS.VALENTINE
 W97M.AOS.A
WM.FHD.A
VBS.Devolve.A
W32.HLLW.Cydog.C@mm
  
Martes
3 10 17 24 31  
W32.PLAGE 2000
WM.Helper.B
WM.ERASER.H
W97M.MMKV
 W32.PLAGE 2000
WM.Helper.B
W97M.AOS.A
 W32.PLAGE 2000
W97M.JACKAL.A
 WM.CONCEPT.F,G,J
 W97M.CHANTAL
WM.TRIBUTE.A;B
WM.FHD.A
WM.CVCK1.A
W97M.CALIGULA.A
  
Miércoles
4 11 18 25    
W97M.Habir.A
WM.ERASER.H
I-Worm.3DStars
WM.Helper.B
W32.Naco.B@mm
W32.Mapson.C.Worm
 WM.JUNKFACE.A;B
W97M.ANTISOCIAL.E
WM.MERCY.B
WM.CVCK1.A
WM.ALLIANCE.A
 FORM
WM.ERASER.H
 W97M.AOS.A
    
Jueves
5 12 19 26    
W97M.JACKAL.A
W97M.AOS.A
Joshi
 WM.ALLIANCE.A
 WM.TRIBUTE.A;B
 WM.MDMA.A
WM.TAMAGO.A
VBS.SST@mm
W95 o Win95.CIH
    
Viernes
6 13 20 27    
WM.Helper.B
WM.KOMPU.A
W32.Klez.E@mm
 W97M.Twno.A
WM.BOOM.A;B
WM.CVCK1.A
BADBOY.A-C
W32.Diamond
W97M.Digma
W32.Klez.A@mm
 WM.GURRE.A
W97M.AOS.A
 W97M.JACKAL.A
    
Sábado
7 14 21 28    
WM.ALLIANCE.A
 W97M.CLASS
VBS.VALENTINE
 W97M.SURROUND.A
WM.MDMA.A
 WM.MDMA.A

               Si lo precisa y como gentileza a los amigos y visitantes del " Portal dels Pallars "  podemos remitirle el " CD " con el programa actualizado del mejor antivirus que hemos conocido, que hemos instalado en nuestros sistemas, y está dando un resultado sensacional. Y no es precisamente los que más nombre tienen en la actualidad,  contra-reembolso y por 
  SOLO  10  €*
  Nunca más tendrá problemas.   Se actualiza cada tres días por Internet gratis.   

* Los gastos son a cargo del destinatario. ( Aprox. 2´50  € )

PORTAL