ÚLTIMAS ALERTAS Y SUGERENCIAS

Tasin.C

Tasin.C esta nueva versión de este gusano se ha propagado con mucha rapidez en las últimas horas a través del correo electrónico en un mensaje con características diferentes en idioma castellano.

Este virus contiene un código que intenta borrar todos los archivos con alguna de las siguientes extensiones: ASM, ASP, BDSPROJ, BMP, CPP, CS, CSPROJ, CSS, DOC, DPR, FRM, GIF, HTM, HTML, JPEG, JPG, MDB, MP3, NFM, NRG, PAS, PCX, PDF, PHP, PPT, RC, RC2, REG, RESX, RPT, SLN, TXT, VB, VBP, VBPROJ, WAV y XLS.

El Tasin.C es muy fácil de reconocer, ya que al ejecutarse abre el Internet Explorer mostrando la fotografía de una mujer desnuda.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Sober.I

Esta nueva variación del dañino Sober, el Worm.W32/Sober.I@MM, se distribuye a través del correo electrónico con diferentes características, además puede estar escrito en inglés o en alemán.

Este gusano llega a tu computadora como consecuencia de la emisión de correos a las direcciones almacenadas en el equipo infectado.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Bagle.AT

Esta nueva variación del ya famoso virus Bagle, es un gusano cuya propagación se realiza a través del envío de correo electrónico y por redes de intercambio de archivos (P2P).

Su objetivo es detener la ejecución de varios procesos, entre ellos algunos asociados a herramientas de seguridad informática (antivirus, cortafuegos, actualizaciones). Además intenta acceder a varios sitios de Internet, abrir puertas puerta traseras en el puerto TCP 81, para permitir el acceso remoto no autorizado al equipo infectado.

Bagle.AT intenta descargar un archivo llamado “g.jpg” de los siguientes sitios web:

• http://www.24-7-transportation.com
• http://www.adhdtests.com
• http://www.aegee.org
• http://www.aimcenter.net
• http://www.alupass.lu
• http://www.amanit.ru
• http://www.andara.com
• http://www.angelartsanctuary.com
• http://www.anthonyflanagan.com
• http://www.approved1stmortgage.com
• http://www.argontech.net
• http://www.asianfestival.nl
• http://www.atlantisteste.hpg.com.br
• Entre muchos otros...

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Bagle.AW

Bagle.AW es una nueva versión del conocido Bagle.A; un gusano cuya función es finalizar todos los procesos pertenecientes a los diferentes programas de actualización de antivirus, entre otras aplicaciones.

Este virus se propaga a través del correo electrónico, en un mensaje escrito en inglés con un archivo adjunto que tiene nombre variable y extensión ZIP. Dicho archivo contiene un archivo HTML, junto con un archivo EXE oculto.

Este archivo ejecutable es lanzado cuando el usuario abre el archivo HTML. Una vez ha afectado el computador, Bagle.AW intenta descargar un falso archivo JPG desde diversos sitios web. Si lo consigue, Bagle.AW empezará su propagación desde su computador.

Los usuarios deben estar alertas a la llegada de un correo conlectrónico con las siguientes características:

• Asunto: foto
• Contenido: foto
• Archivo adjunto: FOTO.ZIP, FOTO1.ZIP (Este archivo ZIP contiene un archivo HTML y un archivo EXE oculto).

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Worm.W32/Fremmy@M

Este nuevo gusano que habita en la memoria, se propaga a través de los recursos de intercambio, como lo son los correos electrónicos y su propio motor SMTP.

Cuando es ejecutado, crea los siguientes archivos en la carpeta del sistema de Windows (los tres primeros son copias del propio gusano, y el último es un componente necesario para su funcionamiento). Dichos archivos son:

c:\windows\systewm32\componentrhkbsdf.exe
c:\windows\systewm32\folderrsdwewv.dll
c:\windows\systewm32\trhkbsdf.exe
c:\windows\systewm32\wormherweqr.exe

Este ruta "c:\windows\system32" puede variar de acuerdo al sistema operativo que tengas en la computadora (Windows XP y Windows Server 2003). Así como “c:\winnt\system32" (Windows NT y 2000) y "c:\windows\system" (Windows 9x y ME).

El virus crea una entrada para autoejecutarse en cada reinicio del sistema. Además, el código del gusano contiene algunos errores que pueden causar fallos en su intento de propagarse.

Para el envío de correo, el gusano establece un nombre aleatorio para nombrar al archivo adjunto que acompañara en un mensaje con el siguiente texto:

Please inform that our server has been changed so any email you have received will be attached as email attachment.
This is only a temporary problem.
Our service will be smooth within a couple days.
Notice: Because of our services is not configured properly, your email message has been converted to attachment.
In order to read the message, please download the attachment.
Dear User, Due to the server problem you message has been converted to an attachment.
To view it please download the file.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Backdoor.W32/Jinmoze.H

Este nuevo virus es un troyano con capacidad para actuar como puerta trasera (backdoor) y permitir el acceso de un usuario remoto no autorizado al equipo infectado. El atacante puede entre otras cosas, finalizar procesos, capturar pulsaciones de teclado y cerrar servidores. Muestra por pantalla una interfaz gráfica con botones de acceso a programas conocidos.

Normalmente este troyano es instalado en el sistema por el usuario y deposita una copia de si mismo en el directorio de instalación de Windows con alguno de los siguientes nombres: SYSRATY.EXE, SYSRTAY.EXE.

El usuario remoto, es decir, el atacante se puede conectar con la máquina infectada a través de un puerto TCP. Una vez conectado, el usuario remoto puede realizar las siguientes acciones en la máquina infectada:

• Abrir/cerrar las unidades de CDROM.
• Ejecutar un CD de audio.
• Monitorear el estado de las unidades de CDROM.
• Capturar las pulsaciones realizadas sobre el teclado.
• Finalizar procesos.
• Ver un listado de las unidades disponibles.
• Cerrar un servidor.
• Crear carpetas.
• Cambiar el fondo de pantalla.
• Abrir un puerto.
• Abrir una conexión a Internet.
• Ejecutar archivos Real Media.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Dabber.A

Dabber.A es un gusano que se propaga a computadoras afectadas por el virus Sasser y todas sus variantes.

Dabber.A instala un backdoor que permite acceder remotamente al computador afectado con el objetivo de realizar acciones que comprometen la confidencialidad del usuario o le dificultan su trabajo.

También actúa como servidor TFTP, mediante el cual se podrán descargar archivos al computador. Adicionalmente, Dabber.A intenta eliminar las entradas del Registro de Windows correspondientes a otros gusanos.

Dabber.A se propaga a través de Internet. Para ello, realiza el siguiente proceso:

• Genera direcciones IP consecutivas.
• Comprueba si alguna de las variantes de Sasser se encuentran activas en el computador remoto.
• En caso afirmativo, realiza una copia de si mismo en el computador remoto.
• El computador quedará afectado la próxima vez que el usuario inicie Windows.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Sasser.B

Sasser.B es un gusano que se propaga a través de Internet, explotando la vulnerabilidad LSASS en computadores remotos. Este virus provoca el reinicio del computador de forma automática cuando intenta afectar el sistema utilizando dicha vulnerabilidad. A diferencia de otros gusanos, Sasser.B no se propaga por mensajes de correo electrónico, sino que se introduce en los computadores cuando se conectan a Internet. Además, se propaga rápidamente a través de las redes LAN de empresas.
Si su computador tiene como sistema operativo Windows 2003/XP/2000/NT, es recomendable descargar el parche de seguridad para la vulnerabilidad LSASS desde la página de Microsoft.

Síntomas Visibles

Sasser.B es fácil de reconocer, ya que provoca el reinicio del computador cuando intenta afectar al computador, explotando la vulnerabilidad LSASS. Cuando se lleva a cabo esta acción, Sasser.B muestra el siguiente mensaje en pantalla: se esta apagando el sistema, guarde todo.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Worm.W32/Beagle.W@MM

Este nuevo virus se transmite por correo electrónico y el primer síntoma que muestra Beagle es una ventana emergente con el siguiente texto: "Can't find a viewer associated with the file".

Worm.W32/Beagle.W@MM, una vez que infecta el computador, abre el puerto TCP 2535 y permanece a la escucha, lo que permite acceso no autorizado al computador infectado.

Además, este virus busca las direcciones de correo electrónico en archivos del computador y envía correos con direcciones falsas.

El virus llega en un mensaje de correo electrónico con alguna de estas características:

• Hi, It's me, Ready to accept a new friend? For details see the attach.
• Con un archivo adjunto, titulo y remitente aleatorio.
• Además, en el mail viene una imagen de una mujer.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

W32.Netsky.P@mm
25 de marzo de 2004

Este gusano utiliza una antigua vulnerabilidad de Internet Explorer, llamada MIME header vulnerability, en versiones anteriores a la 6, que permite la ejecución del archivo adjunto con sólo solo leer el mensaje o visualizarlo en el panel de vista previa.

Cuando Worm.W32/Netsky.P@P2P+MM es ejecutado, realiza las siguientes acciones:

• Crea el mutex para asegurarse de no ser ejecutado varias veces al mismo tiempo.
Se copia a sí mismo bajo el nombre: %Windir%\FVProtect.exe. Esta denominación es variable, ya que este troyano localiza el directorio de instalación de Windows y se replica en esa ubicación.

• Deposita y ejecuta en el sistema, el archivo %Windir%\userconfig9x.dll, que tiene unos 26.624 bytes.

• Crea los siguientes archivos en ese mismo directorio:

1. %Windir%: base64.tmp: versión codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)
2. zip1.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.882 bytes)
3. zip2.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.894 bytes)
4. zip3.tmp: versión codificada en formato MIME del gusano en archivo ZIP (40.886 bytes)
5. zipped.tmp: el gusano en sí, en archivo ZIP (29.834 bytes)

Para ejecutarse automáticamente cada vez que el sistema sea reiniciado, el gusano intenta añadir el valor indicado en una clave del registro de Windows. Además, utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones electrónicas encontradas.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Sober.D
9 de marzo de 2004

Se ha detectado una nueva variante del gusano Sober.D, también conocido con el nombre de “Roca”. Es de fácil detección, ya que se distribuye a través del correo electrónico bajo el asunto: “Microsoft Alert: Please Read!", que simula ser
un parche de Microsoft contra una variante del gusano "Mydoom".

Hay preocupación entre los usuarios, pero no existe evidencia de su propagación masiva, específicamente en España. Sin embargo, está la probabilidad que en países anglosajones el gusano esté consiguiendo un mayor número de infecciones, ya que algunas casas antivirus con sedes en EE.UU., como NAi o symantec, lo han situado
en un nivel de alerta media.

Sober.D se propaga a través del correo electrónico en un archivo
adjunto con extensión .EXE o .ZIP. Los textos del mensaje pueden ser
en inglés o alemán, idioma éste último que solo utiliza si la
dirección del destinatario incluye la cadena "@gmx" o finaliza en
.de, .ch, .at o .li.

Fuentes Consultadas: http://digital.telepolis.com

SUBIR ^

Netsky.C
27 de febrero de 2004

Se ha detectado la aparición de la nueva variante C del gusano Netsky (W32/Netsky.C.worm). Se trata virus muy similar a su predecesor, Netsky.B, el cual aún está provocando un elevado número de incidencias en todo el mundo. Así, desde hace varios días.

Netsky.C llega al equipo en un mensaje de correo electrónico cuyo asunto, cuerpo y archivo adjunto son escogidos a partir de una extensa lista de opciones.
En caso de que el archivo adjunto sea ejecutado, Netsky.C genera copias de sí mismo con el nombre WINLOGON.EXE en todas las unidades del equipo.

Para propagarse se envía por correo electrónico a todas las direcciones que encuentre en archivos con extensiones .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, y .dhtm que se encuentren almacenados en el equipo. Para ello, utiliza su propio motor SMTP.
Por otra parte, el gusano se copia, utilizando una gran variedad de nombres distintos en todas las carpetas que existan en el computador que contengan la secuencia de letras "shar". De esta manera, puede propagarse utilizando aplicaciones para compartir archivos como KaZaA.

Por último, el gusano introduce varias entradas en el registro de Windows con el objetivo de asegurar su ejecución cada vez que se reinicie el equipo. Al mismo tiempo, borra las que puedan existir como consecuencia de la infección por virus como, por ejemplo, Mydoom.A y Mimail.T.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

MyDoom.F
26 de febrero 2004

Expertos en seguridad emitieron alertas ante una nueva versión del gusano de Internet MyDoom que borra archivos y está actuando con gran ferocidad.

Mydoom.F es un gusano con efectos destructivos que se propaga a través del correo electrónico en un mensaje escrito en inglés con características variables. Este gusano borra todos los archivos que tengan alguna de las siguientes extensiones: AVI, BMP, DOC, JPG, MDB, SAV y XLS.

Mydoom.F instala una librería de enlace dinámico (DLL) que contiene un backdoor. Esta DLL también permite finalizar procesos correspondientes a programas antivirus, lo que deja al computador afectado vulnerable frente al ataque de otros malwares.

El virus está programado para infectar computadoras personales y utilizarlas para desencadenar un dañino ataque digital, conocido como de denegación de servicio, contra sitios de Internet pertenecientes a Microsoft y la Asociación de la Industria Discográfica de Estados Unidos (RIAA, por sus siglas en inglés).

La RIAA ha causado indignación entre los usuarios de computadoras desde que empezó el año pasado a demandar a usuarios particulares que intercambiaban canciones por Internet.

Aunque no se estaba propagando tan rápido como sus predecesores ni como el brote de la semana pasada del Netsky.B, MyDoom.F está considerado como un peligro creciente porque borra archivos aleatorios de Microsoft Word y Excel, además de fotos y películas almacenadas en una computadora.

Los virus informáticos raramente destruyen archivos en la actualidad. En su lugar, han evolucionado a lo largo de los años para convertir a las computadoras en máquinas "zombis" capaces de ejecutar las órdenes del creador del virus.

El primer gusano MyDoom surgió en enero de 2004 y está considerado como la epidemia más virulenta registrada hasta ahora. Ha infectado a millones de computadoras en todo el mundo.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Netsky.B
25 de febrero 2004

El nuevo gusano Netsky.B puede llegar al computador a través de descargas de archivos desde Internet, o bien en un mensaje de correo electrónico cuyo asunto, cuerpo y archivo adjunto son escogidos a partir de una lista de opciones.

La mayoría de las compañías de seguridad informática clasificó al gusano como una amenaza de nivel mediano, al describirlo más como una molestia que como un virus maligno que destruye archivos o hace a las computadoras vulnerables a ataques.

El gusano, una vez activado, se envía por sí mismo a direcciones de correo electrónico encontradas en el disco duro de una computadora infectada.
Netsky.B, por lo general, llega a los buzones de correo electrónico como un e-mail de una persona conocida con un archivo adjunto que parece ser un documento de Microsoft Word con las palabras "léalo inmediatamente" o "algo para usted", haciéndolo difícil de identificar.

El proveedor de software antivirus y servicios Network Associates dijo que la actividad del gusano parecía estar concentrada en Europa, particularmente en Holanda.

El gusano que se instala en la memoria se propaga a través de un envío masivo de correo electrónico utilizando el protocolo SMTP (protocolo de correo simple) y además pasa al sistema como un archivo ejecutable con doble extensión usando un icono de MS World.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Mydoom/Novarg
28 de enero de 2004

Una nueva epidemia electrónica, descubierta el lunes 26 de enero de 2004, se propaga rápidamente gracias a un virus que ha sido bautizado por McAfee, Symantec y TrendMicro como Mydoom, Novarg o Mimail, respectivamente.

Se trata de un gusano que se propaga principalmente a través de mensajes de correo electrónico donde viaja como archivo adjunto de extensión .bat, .cmd, .exe, .pif, .scr, o incluso .zip. La infección tiene lugar al abrir dicho archivo, la cual no sólo activa los procesos relacionados con el gusano, sino que además abre una puerta trasera que permite el acceso remoto y programa un ataque del tipo DOS contra www.sco.com, a partir del próximo 1° de febrero.

Adicionalmente, el gusano puede reproducirse entre los usuarios de KaZaa ya que en la carpeta donde se almacenan los archivos a compartir, se coloca a sí mismo con alguno de los siguientes nombres: nuke2004, office_crack, rootkitXP, strip-girl-2.0bdcom_patches, activation_crack, icq2004-final, winamp. Un usuario cualquiera, podría conectarse a un PC infectado, bajar uno de esos archivos a su computador, ejecutarlo y contagiarse con Mydoom/Novarg.

McAfee compara la peligrosidad de Mydoom/Novarg a la de los virus Melissa, Loveletter, Anna y Nimda asignándole el más alto nivel de riesgo (High-Outbreak), mientras que Symantec considera que es una amenaza Categoría 4 y Panda sube a Nivel Rojo su alerta.

Las características del mensaje de correo incluyen:

• Proviene de un remitente cualquiera.
• El subject: Error, Status, Server Report, Mail Transaction Failed, Mail Delivery System, hello o hi.
• Cuerpo del mensaje: Mail transaction failed. Partial message is available; The message contains Unicode characters and has been sent as a binary attachment o The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• Archivo anexo: doc.bat, document.zip, message.zip, readme.zip, text.pif, hello.cmd, body.scr, test.htm.pif, data.txt.exe o file.scr.
• El principal síntoma es la ejecución del programa Bloc de notas o Notepad, donde aparece información ilegible.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Bagle.A
22 de enero de 2004

Este nuevo virus está diseñado para provocar el colapso de redes informáticas, sin que se hayan reportado mayores daños.
Este gusano, Bagle.A (W32/Bagle.A.worm), viaja rápidamente a través del correo electrónico, bajo el asunto “hi”, en el cuerpo del mensaje aparece el texto: Test =), (una serie de caracteres aleatorios). Además, dentro del correo encontrarás un archivo adjunto llamado “Test, yep”; este ejecutable contiene el código del gusano, que está compuesto de números distribuidos de forma aleatoria.
Su finalidad es propagarse rápidamente creando copias de si mismo.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Mimail.C
25 de noviembre de 2003

Mimail.J se difunde a través de un correo electrónico, cuyo asunto es "IMPORTANT" e incluye un archivo adjunto llamado www.paypal.com.pif. Como sucedía con la variante I de Mimail, que recurre a técnicas de Ingeniería Social, debido a que el correo enviado alude al sistema de pago PAYPAL. Su objetivo es engañar a los usuarios y difundirse al mayor número de equipos como sea posible.

Cuando se ejecuta, Mimail.J muestra en pantalla una imagen que simula ser la plantilla de entrada a una entidad bancaria. Después recoge, en un archivo que el gusano crea, la información introducida por el usuario y la manda en un correo. En computadoras con Windows Me/98/95 se ejecuta como un servicio para no aparecer en la lista del Administrador de tareas.

En todos los archivos del computador al que afecta, y cuya extensión no sea: COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG y BMP-, Mimail.J busca direcciones de correo, y las guarda en el archivo el388.tmp. A su vez, este gusano se envía a todas las direcciones que encuentra, utilizando su propio motor SMTP, y se conecta a la dirección IP 212.5.86.163, que corresponde a un servidor de correo ruso.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Lohack.E
25 de noviembre de 2003

Lohack.E es un gusano que se propaga bajo las mismas características que el anterior, así como en redes de computadoras y el programa de intercambio de archivos punto a punto (P2P) KaZaA. Para conseguirlo, utiliza correos de contenido muy variable aluden a la implantación de la Ley de Servicios de la Sociedad de la Información y el Correo Electrónico para atraer la atención de los usuarios. El mensaje también simula proceder de organizaciones fiables, como el Ministerio de Ciencia y Tecnología español o Panda Antivirus.

Este gusano, se activa automáticamente con tan sólo ver el mensaje en el que se manda, a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad, conocida como Exploit/Iframe, que afecta a las versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática de los archivos adjuntos a los mensajes de correo.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Banbra.B
25 de noviembre de 2003

Banbra.B, es un virus troyano que obtiene los números de cuentas y contraseñas que el usuario utiliza para acceder a Internet Banking Caixa, Bradesco Internet Banking y Banco do Brazil. Igualmente, monitorea las Páginas Web visitadas. En concreto, cuando se visita el Web Site de cualquiera de las entidades bancarias mencionas anteriormente, este código malicioso muestra una interfaz falsa, para así intentar que el usuario introduzca su información confidencial. Tras lograr dichos datos, Banbra.B los envía a su creador a través de FTP.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Lohack.C
28 de octubre de 2003

Se ha detectado un nuevo gusano denominado Lohack.C, el cual esta propagándose rápidamente. Con el objetivo de engañar a los usuarios, Lohack.C envía un mensaje que simula proceder de Panda Software o del Ministerio de Ciencia y Tecnología español; además alude a la Ley de Servicios de la Información y del Comercio Electrónico (LSSI), o al antídoto contra un virus.

Lohack.C se envía a todos los contactos que encuentra en la libreta de direcciones de Windows del equipo al que afecta. Además, intenta obtener los contactos de Messenger para propagarse y está programado para lanzar búsquedas de dominios en Google para hallar direcciones a las que pueda enviarse. Asimismo, está preparado para distribuirse por unidades compartidas de red. Los e-mail que Lohack.C envía suelen estar en formato html y, dependiendo del asunto que incluya, aprovecha una dirección URL en la que hay imágenes.

Lohack.C se activa automáticamente con sólo ver el mensaje en el que se envía, a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad -conocida como Exploit/Iframe- que afecta a las versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática de los ficheros adjuntos a los mensajes de correo.

Tras ser ejecutado, Lohack.C lleva a cabo, entre otras, las siguientes acciones:
* Mueve el ratón dificultando su desplazamiento.
* Copia en el sistema varios archivos y muestra un texto relativo a la LSSI.
* Intenta buscar servidores Web en la red para modificar la página de inicio.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

ETrj/Hatoy.A
04 de octubre de 2003

Este nuevo troyano está diseñado para cambiar la configuración TCP/IP de las computadoras, de manera que apunten a un servidor de DNS diferente al que tengan configurado. Básicamente, los servidores de DNS se encargan dirigir al usuario a la página Web correspondiente a la dirección que tecleó en su navegador.

Por esta razón, la consecuencia inmediata del Hatoy es que, cuando el usuario trata de conectarse a alguna página Web, es redirigido hacia otra distinta, elegida por el creador del virus.

El Hatoy es incapaz de propagarse, por lo que, para que un equipo quede afectado, es necesario que el internauta visite páginas Web construidas para aprovechar la debilidad del Object Type que afecta al navegador Microsoft Internet Explorer. Esta brecha en la seguridad posibilita la ejecución automática de archivos que estén contenidos en páginas que hagan uso de la mencionada vulnerabilidad.

En el caso de que un usuario visite una página diseñada para descargar y ejecutar el Hatoy, tu equipo quedará infectado inmediatamente. Una vez ejecutado en tu computador, el virus modifica el registro de Windows y genera una serie de archivos.

Dada su manera de propagación, se sospecha que alguna dirección apuntando hacia un sitio Web apto para distribuir al Hatoy haya sido incluida en correos electrónicos enviados como spam.

Te recomendamos mantener actualizado tu antivirus.

Fuente consultada: www.AlertaVirus.com

SUBIR ^

Worm.W32/Pandem.C
05 de septiembre de 2003

Este gusano se propaga mediante el correo electrónico, aplicaciones P2P y por ICQ. Al ser ejecutado, extrae de la carpeta de sistema de Windows (System) el archivo Zlib.dll. y se copia en el directorio C:\Windows\System32 utilizando el nombre videomgr.exe.Lo agrega como valor en la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run para poder ejecutarse en cada incio de Windows.

Para verificar la existencia de una conexión a Internet busca el sitio www.google.com, y si es encontrado intenta enviar a toda la libreta de direcciones el siguiente mensaje:

De: support@microsoft.com
Asunto: Microsoft Security Bulletin
Cuerpo:"Important Security and Privacy Information"

Your privacy and security may be compromised

Some web sites use unauthorized browser windows, Javascript, cookies, even malicious file downloads - without your permission. Through these vulnerabilities, your computer may be exposed to harmful internet threats, and your web
browsing can be tracked by unauthorized third parties.

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,NT,ME,XP should apply the attached update.

Archivo adjunto: update.zip o update.exe

Luego, es enviado un mensaje al autor del virus con el asunto Another Victim Of Social Engineering.

Para propagarse a traves de aplicaciones P2P se copia como:

* Cracks Collections.exe
* ICQ Platinum v2.exe
* Cracker Game.exe
* Matrix.scr
* ICQ Hack.exe
* Windows NT_2000_XP Nuker.exe
* Connection Booster.exe
* Serials Collections.exe
* Hotmail Hack.exe
* Norton keygen-All vers.exe
* Hacker.exe
* South Park.scr
* Cracks Collections.exe
* Popup Blocker.exe
* Trojan Remover.exe
* ICQ Platinum v2.exe
* Cracker Game.exe
* Matrix.scr

Solución

1. Eliminar el valor
   "Video Manager"="C:\Windows\System32\videomgr.exe" de la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
2. Reiniciar el equipo.
3. Con un antivirus actualizado realizar un escaneo completo en busca de virus y eliminar todos los archivos que sean detectados como infectados.
   

SUBIR ^

Blaster/Lovesan
13 de agosto de 2003

Millones de computadoras atacadas en todo el mundo por el virus "Lovesan"

WASHINGTON, Ago 12 (AFP) - Millones de computadoras con sistema Windows sufrieron en todo el mundo este martes el masivo ataque de un virus de rápida propagación, según advirtieron expertos y funcionarios de seguridad de Estados Unidos.

Decenas de miles de compañías, dependencias de gobiernos y computadoras caseras de usuarios en América, Europa y Asia fueron afectadas por el virus "Lovesan", que usa los nombres "MS Blast", "Blaster" "Lovsan" o "Lovesan", dijeron los expertos.

Además de hacer colapsar los sistemas, el virus tiene un mensaje para Bill Gates, el fundador y directivo de Microsoft, fabricante del sistema Windows. El mensaje dice: "Bill Gates, ¿por qué haces que esto sea posible? ¡¡Deja de ganar dinero y repara tu software!!".

El virus ataca a los sistemas Windows y Microsoft dijo que los programas versiones Windows 2000, Windows XP, Windows NT y Windows Server 2003 eran los más vulnerables.

Estos programas son empleados por millones de usuarios en el mundo. "Se trata de los sistemas operativos de la mayoría de las computadoras domésticas y de la mayor parte de las corporaciones", explicó David Wray, portavoz del departamento de Seguridad Interior que monitorea el sector de la información tecnológica como parte de su tarea de vigilancia de la seguridad doméstica.

"Comenzamos a ver esto ayer (lunes)", dijo Wray, al recomendar descargar de la página de Microsoft en Internet la herramienta necesaria para prevenirse.

"Estamos pidiendo a los usuarios que actualicen sus sistemas operativos Microsoft para evitar la vulnerabilidad que este virus explota", afirmó Wray. "Eso va a evitar que sus sistemas queden expuestos y ayudará a minimizar el contagio".

El virus no borra archivos y tampoco conlleva otros daños más que el de duplicarse a través del correo electrónico a través de la libreta de direcciones del usuario.

Pero las autoridades temen que piratas informáticos puedan aprovechar el virus para ocasionar daños mayores si no es detenido a tiempo.

Según Symantec, líder del mercado de anti-virus, en menos de 24 horas "Lovsan" habría doblado su número de víctimas en Estados Unidos.

Más de 127.000 redes informáticas estaban afectadas la tarde del martes contra 57.000 reportadas en un primer sondeo poco después del descubrimiento del virus el lunes cerca de las 18H30 GMT.

Entre sus víctimas, el servicios de minas de Maryland (este) se vio forzado a cerrar sus oficinas desde las 12H00 locales (16H00 GMT) debido a la infección que bloqueó todo sus sistema informático.

También la Reserva Federal de Atlanta se vio afectada. "Anoche (se) determinó que un cantidad de nuestros sistemas estaban afectados por el virus: MSBlast.exe", dijo el portavoz del banco, Pierce Nelson.

Por ahora, el virus "no parece haber afectado a otros distritos de la Reserva Federal", dijo el portavoz de la FED en Washington, David Skidmore.

Fuente: AFP

SUBIR ^

W32/Mimail
04 de agosto de 2003

Este nuevo virus es capaz de propagarse con rapidez a través de correo electrónico, aprovechándose de dos vulnerabilidades de Internet Explorer resueltas hace tiempo por Microsoft.

El correo infectado tiene las siguientes características:

Remitente:
admin@"dominio" (donde el "dominio" es el perteneciente al usuario que recibe el mensaje)

Asunto:
Your account "xxxxxxxx" (donde "xxxxxxxx" son caracteres aleatorios)

Texto:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
Best regards,
Administrator

Archivo adjunto:
message.zip

El archivo adjunto contiene un archivo con extension "HTML". Cuando este último se abre crea un archivo con extension "EXE" y lo ejecuta automáticamente, provocando que W32/Mimail infecte el equipo. Además, crea en el directorio de Windows los archivos: VIDEODRV.EXE EXE.TMP, ZIP.TMP y EMl.TMP, y genera en el Registro de Windows la siguiente clave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run VideoDriver = %windir%\videodrv.exe

SUBIR ^

Trojan.W32/Visages
23 de julio de 2003

Este troyano, escrito en Visual Basic, causa únicamente actividad continua en el disco A:\

Cuando Visages es ejecutado lleva a cabo las siguintes acciones:

1. Muestra el mensaje Welcome to W32.2faced cuando se ejecuta por primera vez

2. Hace llamadas continuas a la unidad A:, de forma que esta continuamente girando.

3. Añade el valor: "Microsoft Corporation"="[ruta del nombre de archivo del troyano]"

a la clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. Carga al inicio como un icono en la bandeja de entrada que un aspecto similar al icono del 'Auto-Protect' de Norton Antivirus. Si se hace doble click en el icono, muestra el mensaje " Are you Ready for when Jesus comes?". Al pulsar en "OK" muestra el mensaje: "I Am"

SUBIR ^

Lohack.B
17 de julio de 2003

Este virus aparenta que procede de remitentes fiables como el Ministerio de Ciencia y Tecnologia español o Panda Software. Además, aprovecha una vulnerabilidad del Explorer para autoejecutarse con la vista previa del mensaje.

Llega en un e-mail con las siguientes caracteristicas:

Remitente(s):
- Ministerio de Ciencia y Tecnologia [info@myct.es]
- Panda Antivirus [info@myct.es]

Asunto(s):
- Informacion sobre la LSSICE
- Informacion sobre la LSSICE y sus consecuencias
- Nuestras libertades en internet en peligro
- FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece en internet
- FW:CAMPAÑA de informacion sobre la LSSICE

Cuerpo(s):

AVISO URGENTE

PandaSoftware Antivirus acaba de publicar su última herramienta para remover el gusano hop.a Esta herramienta no sólo remueve de su sistema el gusano/virus si es encontrado, sino que le protege de posibles infecciones futuras.

Archivo adjunto:
S iempre tiene extension .exe o .scr.

SUBIR ^

Sobig.D
20 de junio de 2003

Este virus se envía por correo electrónico a direcciones de correo obtenidas de archivos con extensiones .TXT, .EML, .HTM*, .DBX y .WAB. Utliza su propio motor SMTP para no dejar rastro de sus acciones. El asunto, el cuerpo del texto y el mensaje adjunto son variables. A continuación una lista de las posibilidades:

Asunto:
Application Ref: 456003
Re: Accepted
Re: App. 00347545-002
Re: Documents
Re: Movies
Re: Screensaver
Re: Your application
Re: Your Application (Ref: 003844)
Your Application

Contenido del mensaje:
See the attached file for details

Archivo adjunto:
ACCEPTED.PIF
APP003475.PIF
APPLICATION.PIF
APPLICATION844.PIF
APPLICATIONS.PIF
DOCUMENT.PIF
MOVIES.PIF
REF_456.PIF
SCREENSAVER.SCR

Además, Sobig.D puede propagarse a través de redes locales. Para ello, se copia en los directorios de los equipos de red conectados a la máquina afectada que corresponden a los directorio de inicio de Windows.

Por ultimo, Sobig.D crea varias entradas en el registro de Windows con el objetivo de asegurar su ejecución cada vez que se inicie el equipo.

SUBIR ^

Trile (W32/Trile)
12 de junio de 2003

Trile llega al equipo en un e-mail cuyo asunto, cuerpo, y nombre del archivo adjunto son muy variables:

Asunto:
• Your News Alert!!
• New Reading
• Membership Confirmation
• Cows

Cuerpo:
• Attached one Gift for u..
• More details attached!
• Hi
• Check the attachment..

Nombre del archivo adjunto:
• screensaver
• urfriend
• screensaverforu
• screensaver4u

Además, los archivos adjuntos siempre tienen doble extensión, siendo .bat o .pif una de ellas mientras que la otra puede ser cualquiera de las siguientes: .gif, .mpg, .mp3, .wav, .dat, .jpg, .htm, .xls, .txt, .mdb, .bmp o .doc.

Si el archivo es ejecutado, Trile se reenvía a todas las entradas de la libreta de direcciones de Outlook. Además, crea -en caso de que no exista en el equipo-, el directorio C:/My Downloads. Dentro de este último, el gusano genera un gran número de copias de sí mismo en archivos con nombres muy atractivos para el usuario, tales como: Civilization 3 Full Downloader.exe, Need For Speed 5, Porsche Unleashed Patch.exe o Star Wars Starfighter ISO - Full Downloader.exe, entre otros.

Por otra parte, Trile infecta archivos de tipo EXE. Finalmente, introduce una serie de entradas en el registro de Windows relacionadas con las acciones que el gusano ha llevado a cabo en el equipo, y que indican, por ejemplo, el número de mensajes de correo que ha enviado.

SUBIR ^

Bugbear.B
06 de junio de 2003

Este gusano se propaga de forma masiva a través de un correo electrónico cuyo asunto y nombre del archivo adjunto son variables. Se trata de un virus extremadamente peligroso, ya que, además de tener la capacidad de infectar un gran número de archivos, inutiliza un gran número de programas antivirus y de seguridad que pueden encontrarse instalados en el equipo.

Bugbear.B tambien es capaz de aprovechar una conocida vulnerabilidad -detectada por los antivirus como Exploit/Iframe- del navegador Internet Explorer para ejecutarse automáticamente simplemente con la vista previa del mensaje de correo electrónico en el que llega incluido.

Además de todo lo anterior, el gusano abre el puerto de comunicaciones 36794, con el fin de permitir a un hacker acceder, de manera remota, a los recursos del computador afectado.

Por otra parte, Bugbear.B captura las pulsaciones de teclado que realiza el usuario del equipo, recopilandolas en un archivo. De este modo, si el hacker consigue acceder a ese archivo, podrá conocer datos confidenciales tales como contraseñas, números de cuentas bancarias y tarjetas de crédito, etc.

SUBIR ^

Sobig.C
03 de junio de 2003

Este gusano, sin efectos destructivos, se propaga a través del correo electrónico y de redes. El asunto siempre es el mismo: Please, see the attached file.

Una vez en el equipo, Sobig busca direcciones de correo electrónico en todos los ficheros que encuentre en el sistema con extensión TXT, EML, HTM, HTML, DBX y WAB y les manda a las direcciones encontradas una copia de sí mismo.

El archivo adjunto será uno de los siguientes:

SCREENSAVER.SCR
MOVIE.PIF
SUBMITED.PIF
45443.PIF
APPROVED.PIF
APPLICATION.PIF
DOCUMENT.PIF
DOCUMENTS.PIF

SUBIR ^

Anacon.B
28 de mayo de 2003

Este gusano, con capacidades de troyano, genera direcciones falsas que luego enviará a todos los contactos de la libreta de direccones del Outlook. El correo que se distribuye tiene las siguientes características:

Posibles Asuntos:
What New in TechTV!
Do you happy?
Great News! Check it out now!
Just for Laught!
TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
FoxNews Reporter: Hello! SARS Issue!
Get Free XXX Web Porn!
Oh, my girl!
Crack - Download Accerelator Plus 5.3.9
Do you remember me?
The ScreenSaver: Wireless Keyboard
VBCode: Prevent Your Application From Crack
Re: are you married?(1)
Download WinZip 9.0 Beta
Young and Dangerous 7
Alert! W32.Anacon.B@mm Worm Has been detected!
Run for your life!
Update: Microsoft Visual Studio .Net
Your Password: jad8aadf08
Tired to Search Anonymous SMTP Server?

Posibles cuerpos:
Hello dear,
I'm gonna missed you babe, hope we can see again!
In Love,
Rekcahlem ~<>~ Anacon

Posibles archivos adjuntos:
AGAINST.EXE
BGII.exe
FORCE.EXE
HANGUP.EXE
HUNGRY.EXE
RUNTIME.EXE
SCAN.EXE
WARS.EXE

SUBIR ^

W32/Palyh
19 de mayo de 2003

Palyh se propaga a través del correo electrónico a todas las direcciones que recoge de los archivos con extensiones .TXT, .EML, .HTM*, .DBX, y .WAB, que se encuentren en el equipo afectado.

El e-mail en el que el gusano llega al equipo, muestra como remitente a: support@microsoft.com. El asunto del mensaje es variable, siendo escogido a partir de una lista de opciones predeterminadas, entre las que se encuentran: Re: My application; Re: Movie; Cool screensaver; o Screensaver. En el cuerpo del mensaje aparece el texto: All information is in the attached file.

Finalmente, el nombre del archivo adjunto que contiene a Palyh es también variable, pudiendo ser entre otros: your_details.pif; ref-394755.pif; approved.pif; o password.pif. Sin embargo, debido a un error en el diseño del gusano, existe la posibilidad de que el archivo que se reciba muestre la extensión .PI en lugar de .PIF.

Palyh también puede propagarse a través de redes, copiándose en los directorios de inicio de Windows de los computadores conectados al pc infectado. Por otra parte, el gusano ha sido diseñado para propagarse unicamente hasta el 31 de mayo.

SUBIR ^

Fizzer
13 de mayo de 2003

Fizzer apareció el 8 de mayo y se propaga, principalmente, a través del correo electrónico. Tras afectar a un computador, envía a todos los contactos que encuentra en la libreta de direcciones de Windows un e-mail que contiene una copia de sí mismo, utilizando para ello su propio motor SMTP. Además, este gusano captura las pulsaciones del teclado que realiza el usuario y finaliza procesos activos, lo que conlleva a que algunos programas -principalmente los antivirus- dejen de funcionar.

SUBIR ^

Optix.Pro (Bck/Optix.Pro.13)
06 de mayo de 2003

Es un peligroso troyano que abre el puerto de comunicaciones 3410, permitiendo que un hacker gane acceso, de manera remota, a los recursos del computador afectado. Además, instala y ejecuta otro troyano de tipo backdoor (detectado por Panda antivirus como Bck/Sub7.22), deshabilita programas antivirus y termina procesos relacionados con firewalls.

Optix.Pro no utiliza ningún método específico para difundirse. Puede utilizar cualquiera de los habitualmente empleados por los virus.

SUBIR ^

Nolor (W32/Nolor)
06 de mayo de 2003

Es un gusano que se propaga con rapidez a través del correo electrónico. Una vez que infecta el equipo, envía una copia de sí mismo a todos los contactos que encuentran en la libreta de direcciones, utilizando su propio motor SMTP. El mensaje de correo a través del cual se propaga Nolor tiene características muy variables, aunque normalmente simula contener fotos de Bin Laden, tarjetas de felicitaciones o contraseñas de acceso a ciertos programas.

En cualquier caso, es sencillo reconocer a Nolor ya que llega en un mensaje de correo que siempre tendra uno de los siguientes archivos adjuntos: LOVE_LORN.KIS.OK.EXE, LOVELORN.KIS.OK.EXE, THUYQUYEN.KIS.OK.EXE, LOVE_LORN.HTM, LOVELORN.HTM o THUYQUYEN.HTM.

SUBIR ^

Aurity (W97M/Aurity)
06 de mayo de 2003

Es un virus de macro perteneciente al grupo W97M que infecta documentos de Microsoft Word 97 y a la plantilla global de dicho programa.

Aurity produce los siguientes efectos:

• Desactiva la protección antivirus en las macros de Word. Esto significa que al abrir un documento, Word no solicita confirmación para activar o desactivar las macros incluidas en el mismo.
• Infecta los documentos de Word (archivos con extensión .DOC)
• Infecta la plantilla global de Word (normal.dot) que a su vez se encarga de infectar todos los documentos de Word que se utilicen.

SUBIR ^

VBS_LISA.A
1° de abril de 2003

Este gusano desarrollado en Visual Basic (VBScript) infecta archivos con extensiones de VBS y de VBE. Se propaga vía Microsoft Outlook, Kazaa, y mIRC como mensaje HTML. Sus características son las siguientes:

• Asunto (subject): Click YES and vote against war!
• No tiene archivo adjunto ya que está dentro del código delñ mensaje.
• Se envía a todos los contactos de la libreta de direcciones de Outlook del PC infectado.

Este gusano también elimina archivos .DOC y algunos archivos críticos del sistema tales como WIN.COM y REGEDIT.EXE. Además, crea hasta 5.000 carpetas y archivos del texto, comprometiendo el rendimiento de los computadores. También oculta los iconos del escritorio de aquellos computadores que utilicen los sistemas operativos Windows 98 o ME.

SUBIR ^

Rolark (Trj/Rolark)
28 de marzo de 2003

Este virus ha sido diseñado para aprovechar una vulnerabilidad existente en la versión 5 de Microsoft Internet Information Server, que fue descubierta el pasado 17 de marzo. Dicha vulnerabilidad permitiría a un atacante obtener el control total sobre el sistema.

Rolark no es un troyano típico, ya que para realizar sus acciones no necesita instalarse en el equipo, ni crear o modificar archivo alguno. Sin embargo, también podría ser introducido en el sistema para ser ejecutado de forma remota y poder realizar un ataque sobre un tercer computador. De esta forma, la identidad de la máquina desde la que se inició la agresión quedaría oculta.

Se recomienda aplicar el parche que la compañía Microsoft ha publicado para la corrección de la vulnerabilidad de la que hace uso Rolark.

SUBIR ^

VBS/Redlof.B
20 de enero de 2003

Redlof.A es un gusano sin efectos destructivos cuyo único objetivo es infectar a otros computadores. Para lograrlo, copia su código en los archivos de tipo HTT, que son utilizados para visualizar las carpetas del sistema con formato de páginas Web. A partir de ese momento, cuando el usuario afectado abre una carpeta, ejecuta sin saberlo el virus. Este virus tambien es capaz de infectar archivos que tengan la extensión HTML.

Su propagación es rápida ya que se transmite por correo electroónico. Para ello, oculta su código dentro del diseño de fondo de todos los mensajes que envía el usuario mediante el programa de correo Outlook.

Redlof.A se aprovecha de la vulnerabilidad del componente VM ActiveX, mediante la cual se permite la ejecución del virus con la simple visualización de una página HTML que contenga el código vírico.

SUBIR ^

WORM_NETAV.A
06 de enero de 2003

Se propaga enviándose a sí mismo en un archivo adjunto a un correo electrónico a los contactos encontrados en la libreta de direcciones y en los documentos HTML que se encuentren en el equipo infectado. El virus crea una entrada del registro para ejecutarse cada vez que el equipo se reinicie. Una vez ejecutado, arroja el siguiente mensaje en una ventana de error:

Setup.This file does not work on this system

El mensaje infectado tiene las siguientes caracteristicas
Cualquiera de los siguientes asuntos:
Hello
For you
Try it
Re:

Texto del mensaje: (Cualquiera de los siguientes)
Hi. Here is what you asked, bye.
Hello. Maybe you could help me with this, bye.
Hello. Now you can try it, bye.

Archivo Adjunto: (Cualquiera de los siguientes)
Setup.exe
Hgame.exe
Mininet.exe
Netav.exe

SUBIR ^

Opaserv.M
30 de diciembre de 2002

Se considera muy peligroso porque borra la información relacionada con la BIOS del computador, es decir, la CMOS y el contenido del disco duro. Se propaga a través de redes y recursos compartidos. Afecta a los computadores o recursos que se encuentran conectados entre sí. Una vez producida la infección, Opaserv.M reinicia el computador y muestra un mensaje en pantalla que trata de simular un aviso sobre la versión del Sistema Operativo Windows instalada en el computador afectado.

Tras mostrar el mensaje, se borra el contenido de la CMOS (BIOS) y del disco duro.

SUBIR ^

W32/Lioten
18 de diciembre de 2002

Este nuevo gusano, diseñado para colapsar redes informáticas, afecta a equipos que funcionen bajo los sistemas operativos Windows NT, 2000 y XP. Posee una gran capacidad de reproducción y propagación. Se transmite a través de Internet y cuando se introduce en el equipo remoto se copia en el directorio de sistema de Windows bajo el nombre "Iraq_oil.exe". Hecho esto, comienza a generar direcciones IP de manera aleatoria tratando de abrir conexiones entre los diferentes equipos de la Red. Además, el código de Lioten contiene varios passwords almacenados -tales como"admin.", "server" o "root"- que pueden ser empleados para llevar a cabo las mencionadas conexiones.

SUBIR ^

CIH.1106 (variante del CIH)
30 de noviembre de 2002

Este virus formatea el disco duro de los equipos y se aloja en la memoria del sistema. En las computadoras con Windows 95, 98 o ME se activa cuando se ejecuta un archivo con extension "EXE". En los sistemas operativos Windows 2000, NT y XP sólo permanece residente. Se activa el día 2 de cada mes, y lleva a cabo las siguientes acciones:

- Sobrescribe la FAT (File Allocation Table) del disco duro.
- Borra el contenido de la memoria BIOS, en los computadores que tienen en su placa base un chipset 430TX de Intel, impidiendo que el computador pueda arrancar.

CIH.1106 se propaga por cualquiera de los medios empleados normalmente por otros virus (correo electrónico, redes de computadoras, transferencias de archivos a traves de FTP, CD-ROM, disquetes, etc.).

SUBIR ^

Winevar
30 de noviembre de 2002

Este gusano que llega en mensajes con diferentes asuntos, textos y nombres del documento adjunto, es capaz de desactivar diferentes programas antivirus de sistema. Se reenvía por correo electrónico y se instala en el directorio del sistema de Windows con un nombre aleatorio WIN <caracteres variados>.PIF, desde donde ejecuta el virus W32.FunLove.4099, que es el que finalmente infecta a la máquina. Este virus modifica los archivos de arranque de Windows para activarse en el momento que se reinicia el sistema y empezar a extraer direcciones de correo electrónico del disco duro y reenviar una copia.

SUBIR ^

WORM_BRAID.B
22 de noviembre de 2002

Este gusano deja copias de sí mismo en el escritorio de Windows; y las envía a todas las direcciones de correo que encuentre en el disco duro de la máquina infectada. Debido a errores de programación, este gusano no puede funcionar en Windows NT y 2000.

El correo con el virus tiene las siguientes caracteristicas:

De: <Registered Windows Owner>
Asunto : <Registered Owner Organization>
Texto del Mensaje:Hello,
My name is donkey-virus.
I wish you a merry Christmas and happy new year.
Thank you.
Archivo Adjunto: README.EXE (90,111 Bytes)

SUBIR ^

WORM_SPONGE.A
31 de octubre de 2002

Este es un gusano destructivo que se propaga como un archivo adjunto a través de la lista de correos del MS Outlook. Este virus sobreescribe los archivos con extensión SCR y PIF e infecta los documentos de Word sobreescribiendo la plantilla NORMAL.DOT. Su formato es el siguiente:

Asunto: SpongeBob Wallpaper
Texto del mensaje: Send this to your friends and make them laugh…
Archivo adjunto: Spongy.exe

SUBIR ^

WORM_DUKSTEN.B
25 de octubre de 2002

Este virus se propaga enviando una copia de sí mismo a todos los contactos de Outlook. Llega en un mensaje simulando ser una herramienta antivirus con el siguiente formato:

De: Alerta_RaPida <boletin@viralert.net>
Asunto: ProTeccion TOTAL contra W32/Bugbear (30dias)
Texto: <blank>
Archivo Adjunto: PROTECT.ZIP

SUBIR ^

GnutellaMandragore
25 de octubre de 2002

Este nuevo virus inteligente se propaga a través de las redes Gnutella que emplean programas como ToadNode y BearShare.

La peligrosidad del gusano reside en su manera de propagarse, ya que observa qué clase de archivos están buscando los usuarios para devolver una búsqueda con las caract6erísticas solicitadas.

Para evitar que su computadora contraiga este virus no descarge archivos EXE de la red de Gnutella.

SUBIR ^

Appix.B
18 de octubre de 2002

Este virus se propaga por correo electrónico y se ejecuta con la vista previa del mensaje. Appix.B hace uso de las denominadas técnicas de ingeniería social ya que el mensaje en el que llega incluido varía sus formatos.

El asunto del correo esta compuesto de dos partes, y el archivo adjunto puede denominarse 'PamAnderson.scr', 'Jolie.scr', 'AnnaKournikova.scr', 'XXX.scr', 'FreeSex.exe', 'TvTool.exe, 'FlashGet.exe', 'WarezBoardAccess.exe' o 'Undelivarablemail.exe'.

Si el archivo es ejecutado enviará el virus a todos los contactos de la libreta de direcciones del Outlook Express. Además, generará en el directorio de Window' el archivo APPBOOST.EXE que en realidad es una copia del gusano.

SUBIR ^

W32/Rodok.A
09 de octubre de 2002

Este es un gusano que se propaga a través de la aplicación de mensajería instantánea MSN Messenger, enviando el siguiente mensaje a otros usuarios conectados a esta aplicación:

Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does! http:// (-direccion Web-) / BR2002.exe <-- There you can download it! give me advices on what to upgrade please!!

En este mensaje se intenta convencer a los usuarios para que descarguen un programa, que en realidad descarga un virus.

W32/Rodok.A tiene un tamaño de 53.248 Bytes y está programado en Visual Basic 6.

SUBIR ^

Bugbear (W32/Bugbear)
30 de septiembre de 2002

Es un virus diseñado para enviarse como archivo adjunto a un mensaje de correo electrónico. Tanto el nombre del archivo como el asunto y cuerpo del e-mail son muy variables. Si el archivo adjunto es ejecutado, Bugbear crea varios archivos en el equipo. Si bien estos tienen un nombre escogido de manera aleatoria, algunos de ellos son copias del propio gusano, como %sysdir%\????.exe o %startup%\???.exe, en los que cada signo "?" corresponde a un caracter diferente.

Bugbear tiene la capacidad de abrir el puerto 36794 del computador al que ataca y al mismo tiempo detener aplicaciones tales como antivirus y firewalls personales. De esta forma, le permite al gusano abrir una puerta trasera que permitiría a un atacante acceder al computador o a una red de forma remota.

Por otra parte, el gusano introduce una entrada en el registro de Windows con el objetivo de ejecutarse cada vez que se reinicie el equipo.

SUBIR ^

Inwi
26 de septiembre de 2002

Inwi es un virus troyano diseñado para robar informacion de los sistemas en los que se instala. Los síntomas más evidentes del ataque de Inwi consisten en la inserción de nuevas entradas en el registro de Windows. De esta manera, consigue cambiar la configuración del navegador Microsoft Internet Explorer, incluyendo la página de inicio.

Por otra parte, Inwi tambien realiza los cambios necesarios en el sistema para ejecutarse cada vez que se abra un archivo con extensión .EXE o .TXT. Además, el troyano crea varios archivos en el equipo, incluyendo copias de sí mismo. Todas estas acciones tienen como objetivo conseguir datos del sistema en que se encuentra instalado para posteriormente enviarlos a una determinada dirección de correo electrónico.

Bitdefender ha creado una práctica aplicación para eliminar este molesto virus de su computador.

SUBIR ^

Variantes B y C del gusano Linux/Slapper
24 de septiembre de 2002

Estos nuevos gusanos denominados Linux/Slapper.B y Linux/Slapper.C son muy similares a su antecesor. Se diferencian en el número del puerto UDP que emplean para llevar a cabo su ataque y en las distribuciones de Linux que son vulnerables a sus efectos.

Los tres gusanos aprovechan una conocida vulnerabilidad de desbordamiento de buffer descubierta en el componente OpenSSL de servidores web Apache que funcionen bajo determinadas distribuciones de Linux, tales como algunas versiones de Mandrake, SuSe, Slackware, RedHat, Debian y Gentoo.

Linux/Slapper busca en Internet equipos vulnerables a sus ataques. Cuando los encuentra, el propio gusano actua como puerta trasera a traves de un puerto UDP. De esta forma puede ser provocado un ataque de denegacion de servicio distribuido. Dependiendo de la variante, el puerto objeto del ataque puede ser 2002 (Linux/Slapper), 1978 (Linux/Slapper.B) o 4156 (Linux/Slapper.C).

SUBIR ^

I-Worm.Gismor (Alias:W32.Gismor@mm, W32/Wauzy@MM)
17 de septiembre de 2002

Este es un virus gusano para windows que llega adunto en un mensaje de correo electrónico con las siguientes características:

De: MP3 Deluxe
A: My best friends
Asunto: Phenomenal
Archivo Adjunto: MP3Player.exe

SUBIR ^

Linux/Slapper
16 de septiembre de 2002

Este es un nuevo y potencialmente peligroso gusano para servidores web Apache que se encuentren instalados bajo sistemas operativos Linux.

Para su propagación utiliza una conocida vulnerabilidad de desbordamiento de buffer descubierta en el componente OpenSSL de servidores web Apache que funcionen bajo distribuciones Linux Mandrake, SuSe, Slackware, RedHat y Debian.

El nuevo gusano busca, a través de Internet, equipos susceptibles de ser atacados. Cuando los encuentra se encarga de crear una puerta trasera en el sistema para provocar un ataque de denegación de servicio distribuido. Una vez hecho esto, el código malicioso busca nuevos equipos.

SUBIR ^

VBS_EDNAV.C
10 de septiembre de 2002

Este virus gusano que también se propaga vía correo electrónico está escrito en Visual Basic y una vez ejecutado borra los archivos que están en el directorio "Mis Documentos". El correo tiene las siguientes características:

Asunto: "Network Problem"
Fichero Adjunto: %archivo VBS infectado%

SUBIR ^

Gaggle
5 de septiembre de 2002

Este virus, que se propaga a los contactos del Outlook, hacer creer que el contenido del correo es algo útil para el usuario (suscripciones, artículos). El asunto y el cuerpo del mensaje son variables. Un ejemplo común es el siguiente:

Asunto: "Revista virtual"
Cuerpo del mensaje: "Hola te envio el prospecto de subscripción..."
Archivo Adjunto: AngelDelMar.HTML.

Si el archivo es ejecutado, crea dos archivos en el directorio de Windows con los nombres Gaghiel.html y AngelDeMar.HTML. Además, borra los archivos Regedit.exe, Msconfig.exe y Systemsfc.exe, así como algunos archivos con extensiones .hlp, .chm y .cnt de la carpeta "Help" del drectorio de Windows. También busca todos los archivos que se encuentren en el equipo con extensión .HTM, añadiendo su código a cada uno de ellos.

SUBIR ^

BAT_HOTCAK.A
5 de septiembre de 2002

Este gusano se propaga por email a todos los contactos de Microsoft Outlook e IRC, y borra el archivo AUTOEXEC.BAT del inicio de su PC. El mensaje infectado tiene las siguientes características:

Asunto: "Patch your system now!!"
Cuerpo del mensaje: by me..patch against virus and hackers. download this now..
Archivo Adjunto: hotcakes.bat

SUBIR ^

WORM_HUNCH.A
28 de agosto de 2002

Este gusano destructivo que se propaga por Microsoft Outlook y llega en un archivo .EXE que se disfraza con un icono de archivo JPEG; elimina los archivos que estan en los siguientes directorios:
Windows y subdirectorios
Program File y subdirectorios
My Documents y subdirectorios

El mensaje infectado tiene las siguientes caracteristicas:
Asunto: <No tiene asunto>
Cuerpo: Mensaje importante para <Nombre de la computadora> en el archivo adjunto

SUBIR ^

BVBS_SEALUG.A
23 de agosto de 2002

Este virus gusano escrito en Visual Basic se propaga a través del Microsoft Outlook, en un correo con las siguientes características:

Asunto: En SevdiginMessage
Texto del mensaje: Hayat yasandigi kadardir. Ötesi ya hatiralarda bir iz, ya da hayallerde bir umuttur. Hüsrani ise bir tek yerde kabul edebilirim: O da yasamaya olanak varken yasayamamis olmaktir
Archivo adjunto: En_Sevdigin.vbs

SUBIR ^

BAT_MIGRATE.A
19 de agosto de 2002

Este virus gusano se propaga como archivo adjunto a mensajes de correo electrónico, vía IRC (Internet Relay Chat), y por el programa de intercambio de archivos KaZaa, con el siguiente formato:
Asunto: A Greeting Card For You
Texto del mensaje : Coz you're special to me... :)
Archivo adjunto: GREETING.CARD.BAT

SUBIR ^

WORM_HARAS.A
14 de agosto de 2002

Este gusano se propaga enviando una copia de sí a los contactos del Outlook Express y del MSN. Tiene una carga útil destructiva, elimina todos los archivos del directorio raíz y modifica ciertos archivos críticos, evitando que los sistemas afectados puedan reiniciar.

Formato del correo:
De: WinME
Asunto: SARAH SCREEN SAVER
Texto del mensaje: hi how are u? Look at sarah screen saver (;-) its very good.
Attachment: Sarah.scr

SUBIR ^

WORM_BIHUP.A
8 de agosto de 2002

Este gusano se propaga enviando una copia de sí a los contactos del Outlook Express. El asunto y mensaje del correo están escritos en coreano. El archivo adjunto puede ser cualquiera de los siguientes:

Heddink.exe
Go Korea.exe
RedDevil.exe
WorldCup.exe
2002.exe

SUBIR ^

WAVEHN.A
1° de agosto de 2002

Este es un virus destructivo que elimina todos los archivos con extensiones XLS, DOC, MDB, MP3, RPT y DWG y se propaga por Outlook o a todos los contactos encontrados en la lista de direcciones. Las características del mensaje son:

Asunto: ADMISION 2003
Texto del Mensaje: PROSPECTO DE ADMISION 2003
Archivo adjunto: UNHEVAL.EXE

SUBIR ^

WORM_MANYMIZE.A
26 de julio de 2002

Este gusano se propaga vía email. Los mensajes infectados vienen con diversos asuntos y textos, pero llegan generalmente con algunos de estos archivos adjuntos MI2.EXE, MI2.CHM, MI2.HTM y MI2.WMV. El usuario se infecta sólo previsualizando el correo infectado y abriendo el archivo adjunto.

SUBIR ^

WORM_BUXTE.A
24 de julio de 2002

Es un gusano que se propaga vía email infectando los archivos de contraseñas (.PWL). El virus envía un archivo adjunto a toda la libreta de direcciones de Outlook y tiene el siguiente formato:

De: Buxtehude
Asunto: Something about…
Texto del mensaje: Something about sex
Sex is like nokia I(connecting people),
like nike (just do it),
like pepsi (ask for more),
like coca-cola (enjoy).

Send this message to FRIENDS or you will have 5 years bad sex!

Attached program sends this message to 10 of your random friends
Archivo adjunto : SETUPW32.EXE

SUBIR ^

Frethem.J
13 de julio de 2002

Frethem.J es un nuevo gusano que se autoejecuta simplemente con la vista previa del mensaje de correo electrónico en el que llega incluido. Para ello, se aprovecha de una vulnerabilidad de las versiones 5.01 y 5.5 de Microsoft Internet Explorer.

El asunto del mensaje es "Re: Your password!". Además, el mensaje adjunta dos archivos con los nombres password.txt y decrypt-password.exe. Este último es el que en realidad contiene el virus. Al ejecutarse, el virus queda en memoria siendo visible desde el administrador de tareas.

Frethem.J se enviará automaticamente a todos los contactos del correo electrónico de Outlook Express; además creará una entrada en el registro de windows para ejecutarse cada vez que inicie el PC.

SUBIR ^

Nuevo Virus Grade-A
13 de julio de 2002

Grade-A, un gusano muy peligroso de origen chileno que borra archivos indispensables para el correcto funcionamiento del computador. El virus llega en un archivo adjunto de correo electrónico que tiene hasta ocho versiones diferentes. Algunos ejemplos serían los siguientes:

- Versión 1:

Asunto: Es posible que nos roben la identidad
Archivos adjunto: YaNoPuedoSerYoMismo.DOC.pif

- Versión 2:

Asunto: Test de amor.
Archivos adjunto: TestDeAmoryAmistad.DOC

Si el archivo adjunto es ejecutado, Grade-A se envía a todos los contactos de la libreta de direcciones. Además, borra archivos del directorio raíz del disco duro, como por ejemplo: AUTOEXEC.BAT, BOOTLOG.PRV, BOOTLOG.TXT, COMMAND.COM, CONFIG.SYS. Finalmente, el gusano crea varias entradas en el registro de Windows con el fin de asegurar su presencia cada vez que se reinicie el equipo. Adicionalmente, cuando el gusano termina de realizar sus acciones, muestra una pantalla de error.

SUBIR ^

Win32.Worm.Benjamin.B
9 de julio de 2002

Es una nueva version del gusano Win32.Worm.Benjamin.A, desarrollado para la red KaZaa. La version B no se disfraza bajo archivos con nombre de canciones o videos, pero utiliza nombres de archivos que están en la carpeta compartida del programa KaZaa.

El virus se copia a sí mismo en el directorio del sistema de Windows bajo el nombre "explorer.scr", e intenta abrir una página web ( benjamin.xww.de )

SUBIR ^

VBS_SLIP.A
3 de julio de 2002

Alias:I-Worm.Ley, VBS.Slip@mmEste es un virus escrito en Visual Basic que se propaga usando el programa Outlook de Microsoft. El formato del mensaje es el siguiente:

Asunto: Hola quieres ver todos los videos de slipknot.
Mensaje: Con este programa vas a poder ver todo el video slipknot y sus mejores videos.
Archivo Adjunto: El nombre de este archivo puede variar.

SUBIR ^

VBS.Slip.B@mm

1° de julio de 2002
Nuevo virus gusano que simula ser una actualizacion contra el virus Klez y se reenvía a todos los contactos de la libreta de direcciones del correo electrónico. El formato del mensaje es el siguiente:

Asunto: Actualización crítica de Anti-virus
Cuerpo: Actualización crítica contra el virus KLEZ, éste es el último parche para su desinfeción.
Archivo adjunto: El nombre de este archivo puede variar.

SUBIR ^

WORM_DOTOR.A

24 de junio de 2002
Este virus gusano llega como archivo adjunto en mensajes de correo electrónico. Una vez infectado, el computador envía un mensaje de email con el siguiente formato a todas las direcciones de la lista de contactos del usuario infectado:

Asunto: NewTool for Word Macro Virus
Cuerpo del mensaje: This tool allows you to protect you against unknown macro virus.
Click on the attached file to run this freeware.
Best Regards. Have a nice day.
Archivo adjunto: DocTor.exe.

SUBIR ^

BAT_JERM.A (Worm.Jerm, BAT/Jerm.Dropper)

21 de junio de 2002
Este virus con características de gusano llega vía correo electrónico con las siguientes características:

Asunto: Upgrade to Windows XP
Texto del mensaje: Good news from Microsoft. Click the attachment for your free Windows XP. Upgrade to Windows XP now.
Archivo adjunto: UpgradeToWindowsXP.bat.

SUBIR ^

TROJ_WORTRON.10B

17 de junio de 2002
Este virus funciona en cualquier versión de windows y no tiene una carga destructiva propia. Sin embargo, los gusanos generados por él pueden ser destructivos, dependiendo de las configuraciones que el hacker haya usado.

SUBIR ^

WORM_FRETHEM.D

17 de junio de 2002
Es una variante no destructiva de WORM_FRETHEM.A, y reside en la memoria que se propaga vía correo electrónico. Tiene las siguientes caracteristicas:

Asunto: Re: Your password!
Cuerpo del mensaje: ATTENTION! You can access very important information by this password. DO NOT SAVE password to disk use your mind now press cancel.
Archivo adjunto: Decrypt-password.exe

SUBIR ^

VBS_PETIK.G

17 de junio de 2002
Este gusano se transmite por correo electrónico. Cuando se ejecuta, crea una copia de sí mismo en el directorio raíz. Una vez infectado el sistema, el virus se reenvía a todos los contactos de Microsoft Outlook y Outlook Express.

SUBIR ^

Chick.F, el virus del mundial

4 de junio de 2000
Tenga mucho cuidado con los mensajes de correo electrónico que anuncian resultados de los partidos del Campeonato Mundial de Fútbol. Los mensajes pueden contener el gusano informático Chick.F.

Este nuevo virus está oculto en un mensaje de correo electrónico titulado “WorldCup”. Chick.F recoge las direcciones de Microsoft Outlook y envía copias de sí mismo a todos los destinatarios de la lista. El gusano infecta además el sistema de chat IRC. El archivo del gusano es de 12,7 Kb.

SUBIR ^

WORM_FRETHEM.B

4 de junio de 2002
Este virus, variante del WORM_FRETHEM.A, se propaga vía correo electrónico usando su propio sistema SMTP para enviar mensajes con la siguiente línea de ASUNTO:"Re: Your password!"
Este junta las direcciones de correo electrónico del también infectado WAB - Windows Address Book (libreta de direcciones de Windows) - con ciertos archivos del Microsoft Outlook Express. Es un virus de bajo riesgo y tiene solución

SUBIR ^

WORM_GORUM.A

3 de junio de 2002
Este nuevo virus gusano NO destructor también se propaga vía correo electrónico usando el Microsoft Outlook. Una vez instalado en su PC cada 1°, 15, y 31 de cada mes, despliega una imagen de una mujer semidesdunda.

SUBIR ^

Operación Triunfo o Musicalnightmare

24 de abril de 2002
Operación Triunfo o Musicalnightmar es nuevo virus troyano que se recibe en un archivo adjunto -denominado OperacionTriunfo.scr- a un mensaje de correo electrónico con el asunto:"Mira esto, jajaja, te vas a reir !!".

Si se ejecuta el archivo adjunto, el virus crea cinco archivos en el directorio raíz del disco duro, con los nombres: OperacionTriunfo.scr, system32, Veronica la mejor!!.exe, Command.com.vbs, eurovision.vbs y x.vbs. El virus busca archivos con extensión .exe y los renombra como ex_.

Además, Musicalnightmare está programado para borrar todos los archivos con las extensiones: ".ace", ".arj", "asf", "asm", ".avi", ".bmp", ".doc", ".gb", ".gba", ".gbc", ".gif", ".jpeg", "jpg", "js", ".lhz", ".log", ".mdb", ".mid", ".mod", ".mov", ".mp", ".mp2", ".mp3", ".mpeg", ".mpg", ".pdf", ".ppt", ".rar", ".rm", ".rtf", ".smc", ".txt", ".wav", ".wp", ".xls", ".zip".

SUBIR ^

WX97M.Divi.O

16 de abril de 2002
X97M.Divi.O es una macro de Microsoft Excel que cuando se ejecuta crea una copia del virus en XLStart\ErisH.xls. Con esto el virus se cargará en memoria cada vez que inicie el programa.

SUBIR ^

WORM_HUNCH.C

11 de abril de 2002
El WORM_HUNCH.C es un nuevo virus gusano desarrollado en un lenguaje de programacion de alto nivel, tal como es el Visual Basic 6. Su tarea es mostrar una imagen de un hombre desnudo para borrar los archivos y enviar correos electrónicos a todos los contactos.

SUBIR ^

VBS_CHICK.B

03 de abril de 2002
Este virus troyano se propaga vía comandos MAPI y llega como un archivo adjunto de ayuda. El correo llega con el siguiente asunto "RE: Nuevo video de Caifanes....".

Este virus sobreescribe el SCRIPT.INI en el directorio mIRC. Si no existe, crea y envía el archivo C:\Windows\BRITNEY.CHM a usuarios que estén conectados en el mismo canal de mIRC del usuario infectado.

SUBIR ^

W32/Mylife.C

03 de abril de 2002
El W32/Mylife.C es otro virus que se propaga a través de Microsoft Outlook como archivo adjunto con el nombre de "List.txt.scr"

SUBIR ^

CHILLER.B, CHILLER

25 de marzo de 2002
Este nuevo virus creado en Visual Basic, es una variante del WORM_CHILLER.A. Se reenvía a sí mismo por correo electrónico a todas las direcciones de la libreta de direcciones del usuario infectado. El detalle del correo electrónico con el que éste llega es este: 101 Reasons Why You Should Have Sex When You're Drunk...

SUBIR ^

A funny game

18 de marzo de 2002
Un nuevo virus circula por la red a pasos agigantados a través de los buzones de correo electrónico. A funny Game llega con un sugerente texto en inglés y un archivo adjunto: Snoopy.exe

El texto dice:
This is a funny game
This game is my first work. You're the first player. I wish you would like it.

SUBIR ^

W32/Fbound.C

14 de marzo de 2002
La principal caracteristica del virus W32/Fbound.C es su gran capacidad para enviarse por correo electrónico. Este gusano no se copia en el disco duro sino que establece una conexión directa con el servidor de correo electrónico que el usuario tiene asignado. El virus llega en un archivo adjunto (PATCH.EXE) y el asunto puede ser “Important”, o bien un texto en japonés escogido entre una lista con 17 posibles opciones. Por su parte, el cuerpo del mensaje recibido no contiene texto alguno.

SUBIR ^

W32.MyLife@mm

11 de marzo de 2002
Este nuevo virus llega a través del correo electronico y trae las siguientes caracteristicas:
Asunto: my life ohhhhhhhhhhh
Cuerpo del mensaje: my life ohhhhhhhhhhh y hace referencia a una foto digital que trae adjunta.
Archivo adjunto: Mylife.scr (simula archivo formato screensaver)

El gusano, que viene comprimido, se reenvía masivamente utilizando la libreta de direcciones del Outlook, además intenta borrar archivos con extensiones ".com", ".sys", ".ini", ".exe", ".sys", ".vxd" y ".dll".

SUBIR ^

W32Taripox@mm

22 de febrero de 2002
Este virus opera de una forma diferente a la que estábamos acostumbrados. En lugar de distribuirse a sí mismo, el código se autoanexa a cada uno de los mensajes enviados desde el PC infectado. El archivo adjunto cambia según el caso: si el tamaño de éste es menor a 6Kb el gusano cambia su nombre a doc.dat o doc.pif; en caso que éste exceda los 6Kb éste cambiara a dat.exe o blot.exe

SUBIR ^

W32/Klez.F

21 de enero de 2002
W32/Klez.F es un gusano que se distribuye a través del correo electrónico y viene como archivo adjunto en correos que cuyo cuerpo texto esta vacío y puede tener algunos de los siguientes asuntos:

Don't drink too much
Hello, %nombre del receptor%,questionaire
Your password
How are you
Japanese lass' sexy pictures
Hi, %nombre del receptor%, congratulations
Welcome to my hometown
A funny website

Klez.F puede tener las siguientes extensiones: (SCR, PIF, BAT o EXE). Una vez infectado, el gusano modifica algunos controladores del sistema, lo cual podría impedir el correcto arranque del computador afectado. Por otra parte, sobreescribe archivos ejecutables inutilizándolos.

SUBIR ^

JS.Gigger.a@mm

14 de enero de 2002
Este gusano se propaga mediante e-mail, redes locales y también infecta archivos HTML y ASP. El correo llega con el siguiente formato:
Asunto : Outlook Express Update
Cuerpo del mensaje1: MSNSoftware
Cuerpo del mensaje2: Microsoft Outlook 98
Archivo adjunto :mmsn_offline.htm

Si el usuario abre la pagina HTML adjunta, el virus se activa y borrara ciertos archivos del directorio raíz, así como otros cambios en el registro del sistema.

SUBIR ^

Win32.Lohack

04 de enero de 2002
El nuevo virus Win32.Lohack llega a través de un archivo adjunto en un correo electrónico. También puede actuar mediante el acceso a ciertos sitios web infectados. El correo electrónico viene con el archivo adjunto: hacking.exe

SUBIR ^

W32/Zoher

28 de diciembre de 2001
W32/Zoher se transmite a través del correo electrónico. Este virus infecta en forma automática un sistema "sin actualizar". Ademas se conecta a un sitio web para cambiar campos (Asunto, cuerpo y adjunto).

SUBIR ^

W32/Reezak.A

20 de diciembre de 2001
Un nuevo virus aparece en la red aprovechando las fiestas de fin de año. En este caso, el gusano se disfraza en forma de felicitación navideña.

W32/Reeezak.A, llega incluido en un archivo llamado Christmas.exe, adjunto a un mensaje de correo electrónico. Además, el archivo adjunto que en realidad contiene el virus, muestra el conocido icono de la aplicación Macro Media Flash, con el objetivo de que el usuario, confiado, lo ejecute.

SUBIR ^

WORM_GONER.A

05 de diciembre de 2001
Las compañías de seguridad acaban de informar sobre la aparición de un nuevo gusano de rápida propagación denominado WORM_GONER.A, que se reenvía por correo electrónico utilizando Microsoft Outlook y a través de ICQ. El gusano llega a través correo electrónico en un archivo adjunto llamado GONE.SCR. El virus contiene un efecto destructivo que busca ciertas aplicaciones en la memoria, incluyendo algunos firewalls personales y soluciones antivirus.

SUBIR ^

W32.Badtrans.B@mm

29 de noviembre de 2001
El virus W32.Badtrans.B@mm es un gusano que se autoenvía por correo electrónico con distintos nombres. Además, deposita un "caballo de troya" que guarda registro de las teclas presionadas en el equipo infectado.

Este virus de alta peligrosidad se distribuye a través de Microsoft Outlook y Outlook Express y se ejecuta sin necesidad de abrir ningún archivo anexo. Esto se conoce en inglés como "Automatic Execution of Embedded MIME type" (Ejecución Automática de Tipo MIME embebido).

El archivo de "definiciones de virus" de Norton Antivirus de fecha 24 de noviembre de 2001 detecta el W32.Badtrans.B@mm.

SUBIR ^

TROJ_VOTE.A
Alertan sobre virus en internet inspirado en atentados en EEUU

24 de septiembre de 2001
WASHINGTON, Set 24 (AFP) - Expertos estadounidenses alertaron este lunes sobre la existencia de un virus de internet que se transmite a través de correos electrónicos y que está inspirado en los atentados terroristas del 11 de septiembre pasado.

Conocido bajo el nombre de "WTC" por World Trade Center o TROJ_VOTE.A, el virus llega en forma de e-mail con el mensaje "Fwd: Peace between America and Islam" (paz entre Estados Unidos y el Islam) y el texto dice: "Hi! is it a war against America or Islam! Let's vote to live in peace" (¡Hola! esta es una guerra contra Estados Unidos o el Islam. ¡Voten para vivir en paz!).

Al presionar sobre el archivo anexo WTC.EXE se activa el virus, que ataca a las computadoras equipadas con el programa Outlook de Microsoft y se propaga por la via de la agenda de direcciones de internet que presentan las computadoras infectadas, indicó la empresa Trend Micro en su sitio de internet.

El CERT (Computer Emergency Response Team), especialista en la lucha contra los ataques y virus en internet, está al tanto de la existencia del virus pero todavía no ha sido contactado por las empresas que han sido víctimas, indicó a la AFP Bill Pollack, portavoz del CERT.

La seguridad nacional estadounidense (FBI) tampoco tenía información hasta el momento sobre este virus.

Según el editor de los programas Symantec, el virus "va a tratar de borrar todos los archivos contenidos en varias carpetas", incluyendo los programas antivirus.

SUBIR ^

W32/NimdaMM o PE_NIMDA.A

El W32/NimdaMM o PE_NIMDA.A es un gusano troyano que emplea tres métodos de propagación diferentes:

1) A través del correo electrónico.
2) Al usar carpetas de red compartidas.
3) Por servidores que tengan instalado IIS (empleando el "exploit" Web
Directory Traversal).

A continuación le ofrecemos una serie de sugerencias para evitar y erradicar
este gusano:

1) No abra los correos electrónicos cuyo texto le diga "Hola, cómo estás?" al
principio.
2) Instale un antivirus y chequee su máquina al menos una vez a la semana.
3) Revise todo archivo adjunto que le llegue a través del correo electrónico
con un antivirus.

¿Qué hacer?
Los virus que atacan a los sistemas de las computadoras y que llegan a través de Internet, afectan no sólo al proveedor de servicios de Internet sino a los usuarios finales. Las consecuencias de este problema son caídas, lentitud en la red y problemas en los servidores de correo de los usuarios.

Telcel le facilita la siguiente dirección en Internet:
http://tucows.telcel.net.ve/, donde usted podrá bajar de una manera rápida y
sencilla las aplicaciones que le permitirán detectar y corregir los virus.

Existen otro sitios en la red, en los que podrá solicitar mayor información,
algunos de ellos son:

http://www.datafellows.com/v-descs/nimda.shtml
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
http://vil.mcafee.com/dispVirus.asp?virus_k=99209&
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
http://virus.pandasoftware.es/Cont.html
http://www.ca.com/virusinfo/virusalert.htm
http://www.commandcom.com/virus/nimda.html
http://www.f-secure.com/v-descs/nimda.shtml
http://www.avx-es.com/alert/win32.nimba.a.php
http://www.norman.com/virus_info/w32_nimda.shtml
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=321
http://www.avp-es.com/virus/nimda.html
http://www.cert.org/

Telcel trabaja continuamente para reforzar el control y la seguridad de
nuestros equipos, a fin de que no se vean afectados nuestros usuarios.

Le recomendamos por la seguridad de su máquina y de los documentos que allí
almacena, que actualice los programas antivirus de sus equipos personales y
corporativos.

SUBIR ^

Evite la diseminación de virus

Para evitar la diseminación de virus, cree un contacto en su libreta de direcciones con el nombre: 0000 sin ninguna dirección de correo ni detalles.

Este contacto aparecerá en primer lugar de su libreta de direcciones. Si un virus intentase autoenviarse a todas las direcciones de correo de su libreta de direcciones, se generará el siguiente mensaje de error: "El mensaje no puede ser enviado. Uno o más destinatarios de su correo no tiene dirección válida. Por favor, verificar que las direcciones que existen en la libreta de direcciones tengan direcciones correctas".

Basta que oprima "OK" para que el mensaje no sea enviado. El virus se almacenará en su carpeta "borrador" desde donde podrá eliminarlo. Con esto se evita la distribución masiva de virus.

SUBIR ^

Documentos adjuntos que no se deben abrir

Esta es una lista de los documentos que vienen adjuntos en los correos electrónicos y que no deben abrirse, ya que contienen el virus "Nimda" y otros muy peligrosos.
1) buddylst.exe
2) calcu18r.exe
3) deathpr.exe
4) einstein.exe
5) happ.exe
6) girls.exe
7) happy99.exe
8) japanese.ex
9) keypress.ex
10) kitty.exe
11) monday.exe
12) teletubb.exe
13) The Phantom Menace
14) prettypark.exe
15) UP-GRADE INTERNET2
16) perrin.exe
17) I love Yo
18) CELCOM Screen Saver o CELSAVER.EXE
19) Win a Holiday (e-mail)
20) JOIN THE CREW O PENPALS
21) EAT SHIT
22) Snoopy.exe
23) PATCH.EXE
24) my life ohhhhhhhhhhh (e-mail)
25) List.txt.scr

SUBIR ^