Odontologia Online Forums

Neyda · Invitado

Hola Dario, te envio un reporte que me envian sobre virus. Saludos, Neyda

Lovsan.A (MSBlast, Blaster.Worm, Poza)

Lovsan es un gusano que utiliza una vulnerabilidad en el RPC (Remote Procedure Call) en los sistemas Windows 2000 y Windows XP. Esta vulnerabilidad puede permitir a un atacante ejecutar códigos en la máquina infectada. Se transmite a través de los puertos TCP 135, TCP 4444, UDP 69.

Este gusano intenta ejecutar ataques de negación de servicio contra la red de Microsoft en la que se puede descargar el parche necesario para corregir la vulnerabilidad.

Además puede causar inestabilidades en el sistema, incluyendo su apagado automático.

Cómo combatirlo

Si es usuario de Windows 2000 o XP, descargue el parche correspondiente de la siguiente dirección:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Symantec a puesto a disposición del público una herramienta gratuita para la remoción de este gusano. Se puede descargar en la siguiente dirección:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Para eliminar el Lovsan.A manualmente, primero se debe terminar el proceso en la memoria. Se oprimen simultáneamente las teclas Control, Alt y Supr (Ctrl, Alt, Del). Se abrirá el administrador de tareas, en el que se hace clic en la pestaña Procesos. En la lista de procesos se ordena por nombre y se busca en la lista el proceso msblast.exe. Se marca y se oprime el botón Terminar proceso. Se cierra el administrador de tareas.

Luego se debe eliminar la entrada en el Registro de Windows que el gusano introduce para ejecutarse cada vez que se inicia Windows.

Se hace clic en Inicio (Start). Se elige Ejecutar, y en la ventana que se abre se escribe Regedit. Se oprime Aceptar. Ésto abrirá el Editor de Registro.

En el Editor, en el panel de la izquierda se abre la siguiente ruta:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Se marca la carpeta Run para ver su contenido a la derecha. Se busca la entrada "windows auto update"="msblast.exe". Se hace clic en ella con el botón derecho del mouse y se elige Eliminar (Delete). Se cierra el Editor de Registro.

Se revisa la computadora con uno o más programas de antivirus actualizados.

(Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales)

Los virus más difundidos

Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee:

1. Redlof
2. LoveLetter
3. Pate.b
4. Exploit-ByteVerify
5. Nimda.eml
6. Valla.b
7. Winur.worm.gen
8. Klez.h
9. Pate
10. Elkern.cav.c

dariodommar · Publicado: Mie Ago 13, 2003 9:06 pm **Asunto**:

Para el Lorraine
http://www.vsantivirus.com/mapson-a.htm
Ka utilidad propuesta en VSANTIVIRUS, es la misma que la propuesta en esta web, t es que para eliminar el MAPSON o Lorraine no hace falta, si se quiere hacer manualmente, ninguna utilidad mas que un antivirus que lo controle.

Se apaga la máquina, se arranca pulsando repeditas veces F8 y se selecciona arrancar en modo seguro, EN SOLO SIMBOLO DE SISTEMA, y se corre el antivirus desde MSDOS en modo de eliminar virus y solucionado.
Si además se quiere pulir, no imprescindible antes o después de eliminar el virus, puede eliminarse las claves de registro que contengan LORRAINE, lo cual puede hacerse comodamente con el buscadir BUSCAREG, indicando LORRAINE u una vez encontrado, pinchar con doble click sobre las cadenas encontradas e indicar eliminarlas.
El BUSCAREG.EXE puede descargarlo de:
http://www.zonavirus.com/foro/topic.asp?TOPIC_ID=1513

http://ar.geocities.com/fom22ar/sistemas/virus_recientes2.htm

http://esp.sophos.com/virusinfo/analyses/w32mapsona.html

http://www.lazarocardenas.com/virus.html

Gracias amiga Neyda, saludos a todos.

dariodommar · Publicado: Sab Sep 20, 2003 8:42 am **Asunto**:

Ha aparecido un nuevo virus que se expande a través de casillas de correo y que pareciera ser de Microsoft Corp. y su asunto es de un parche acumulativo de seguridad. Se conoce como Swen o Gibe y fue reportado en Europa pero se espera que cresca rapidamente. Además de crecer a través de email tiene la capacidad de utilizar programas peer-to-peer y canales de IRC.

Fuente:
http://www.extremetech.com

Todas las actualizaciones de Microsoft deben ser hechas en su Web a travez de la opcion Windows Update.

Saludos.

dariodommar · Publicado: Vie Oct 10, 2003 10:42 am **Asunto**:

Troyano amenaza atacar, aprovechando vulnerabilidad de Internet Explorer
El troyano Qhost-1 seduce al usuario a que vaya a un sitio web que explota una vulnerabilidad de seguridad en Internet Explorer e inserta codigo malicioso en la computadora personal de la víctima.
http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1268

Tambien tenemos un correo que viene con nombres distintos pero que en su detalle dice "fotos familiares", no debe abrirse, es mas uno no debe abrir correo que no pueda identificar quien lo envia.

Saludos.

dariodommar · Publicado: Mar Oct 14, 2003 12:16 am **Asunto**:

Autor: [Psico]
Luego de varios meses de constantes fallas de seguridad en los sistemas operativos del gigante Microsoft, parece que estos chicos decidieron tomar medidas más extremas...
En los próximos días, Microsoft estaría presentando una nueva estrategia de seguridad con el nombre de "Securing the Perimeter" (Asegurando el Perímetro). Parece que al fin se dieron cuenta de que no se pueden confiar en que los usuarios se bajen las actualizaciones y las instalen por motus propio.
En nuestro sitio hemos realizado una encuesta sobre cada cuanto instalan parches nuestros usuarios, al día de hoy respondieron mas de 400 personas y el resultado hasta el momento indica que un 44% de los encuestados jamás instalaron un parche o no saben que existen. En terminos de seguridad esta cifra es catastrófica ya que muchas de esas personas son vulnerables a ataques malintencionados ya sea de hackers o virus.
Un caso muy reciente fue el del virus Blaster que afecto a millones de PCs en el mundo cuando ya existía un parche que prevenia este ataque un mes antes de que el virus comenzara a deambular por Internet, esto es un ejemplo claro de que una gran cantidad de usuarios no actualizan sus PCs.
Uno de los objetivos de esta nueva estrategia de Microsoft es establecer vinculos más fuertes con los desarrolladores de Firewalls y de esta forma bloquear los posibles ataques aún cuando no esten instalados los parches de seguridad.

Mantenga su Windows actualizado con WindowsUpdate
http://v4.windowsupdate.microsoft.com/es/default.asp

http://virusattack.virusattack.com.ar/noticias/VerNoticia.php3?idnotas=387

dariodommar · Publicado: Jue Nov 06, 2003 1:53 pm **Asunto**: Virus Win32.Winux

Nuevo virus es el primero en infectar Linux y Windows

Un recientemente descubierto virus puede infectar computadoras que usen sistemas operativos tanto Linux como Microsoft Windows, de acuerdo al fabricante de software antivirus Central Command.

La empresa dijo esta semana que su equipo de investigación descubrió el virus, llamado Win32.Winux.

“Es más o menos un virus de logro técnico, una prueba de un concepto, para actualmente tratar de infectar ambos sistemas operativos,” dijo Steven Sundermeier, gerente de productos de Central Command. “Es el primero que sabemos que infectará tanto Windows como Linux.”

Los usuarios no comparten archivos ejecutables entre los dos sistemas operativos, pero el virus representa una innovación técnica que puede llevar a un virus más destructivo, dijo. Win32.Winux no posee una capacidad destructiva, añadió.

Fuente: TechWeb

dariodommar · Publicado: Mie Feb 04, 2004 1:22 pm **Asunto**:

Si reciben un e-mail con el título indicado arriba en "Asunto",simplemente
> > eliminenlo de inmediato por que es uno de los nuevos virus que están
> > haciendo destrozos en Internet. Lean a continuación la respuesta que
> recibí sobre el particular, la cual procede de fuente técnica
Se trata de un peligroso gusano llamado W32/Dumaru que tiene características
> de troyano. Cuando se ejecuta, libera un troyano que permite ser
> controlado vía IRC. Además un atacante remoto puede crear, ejecutar o borrar
> archivos en la computadora. También es capaz de robar contraseñas de la
> máquina infectada, para luego reenviarlas al pirata.

Saludos.

dariodommar · Moderador Registrado: 22 Jun 2003 Mensajes: 3108 Ubicación: Caracas/Venezuela

05/02/2004. Así, 'Mydoom' está a sólo 25.000 copias de superar al 'Sobig.F', aparecido el pasado mes de agosto. Sin embargo, teniendo en cuenta que los datos del CAT son de ayer, martes, y que el virus ha infectado en las últimas 24 horas casi 450.000 correos electrónicos, a estas alturas ya se trata de la mayor epidemia vírica registrada en España.

El responsable del CAT, Marcos Gómez, dijo hoy a Europa Press que el ritmo de propagación del código malicioso está "bajando", respecto a algunos días de la semana pasada en los que fue detectado en más de medio millón de 'e-mails'. Sin embargo, reconoció que sigue difundiéndose "muchísimo", puesto que está presente en casi uno de cada seis 'e-mails' analizados por el órgano público.

El ataque informático que está protagonizando 'Mydoom' contra el web estadounidense SCO desde el pasado domingo ya obligó al proveedor de 'software' a cerrar su sitio (www.sco.com) y habilitar una nueva dirección de Internet (www.thescogroup.com), con el fin de que sus clientes pudieran trabajar y comunicarse con la mayor normalidad.

No obstante, la compañía especializada en dominios de Internet Netcraft ha experimentado durante la pasada madrugada problemas al acceder a sus páginas. En cualquier caso, el ataque de Denegación Distribuida de Servicio (DoS) concluirá el próximo 12 de febrero.

En cuanto a la versión 'B' del virus, programado para atacar desde ayer el web principal de Microsoft (www.microsoft.com), su menor difusión le ha impedido tumbar el sitio de la compañía norteamericana, la cual, pese a todo, tiene lista una segunda dirección por si fuera necesaria (information.microsoft.com).

Ambas compañías han ofrecido sendas recompensas de 250.000 dólares (en torno a 200.000 euros) para incentivar la detención de sus responsables, y se han puesto en contacto con los principales cuerpos de seguridad estadounidenses.

Aunque oficialmente no existen más que sospechas sobre el motivo de un ataque de semejante envergadura, SCO, que vende el sistema operativo 'Unix', está inmerso en una intensa batalla contra la comunidad de usuarios de 'Linux' --incluidas compañías como IBM y Novell-- por los derechos de propiedad de este sistema operativo, mientras que Microsoft, propietaria de 'Windows', está intentado frenar el crecimiento de 'Linux', especialmente en el mercado de servidores.

'Mydoom' llega por 'e-mail' con diversos asuntos en inglés y se hace pasar por un correo devuelto por problemas técnicos en el envío para abrir una puerta trasera en los ordenadores. Además, utiliza un icono asociado a ficheros de texto en archivo adjunto para que los usuarios no desconfíen de él y se propaga también por redes de intercambio de ficheros como 'KaZaA'

Saludos.

dariodommar · Publicado: Sab Feb 07, 2004 5:44 pm **Asunto**:

Virus W32/Bagle@MM

22/01/2004

Se está propagando a través del correo electrónico un virus tipo gusano denominado BAGLE. El mismo infecta en forma masiva a través de un archivo adjunto al mensaje de correo.

Descripción:

El formato del mensaje en el que viaja "Bagle" permite a los usuarios reconocerlo a simple vista, ya que en esta primera versión del gusano (de momento única) utiliza algunos textos fijos:

From:

Subject: Hi

Body:

Test =)

(caracteres aleatorios)

--

Test, yep.

Attachment: (nombre de archivo aleatorio) 15,872 bytes"

El ejecutable que contiene el gusano, de 15.872 bytes de tamaño, se presenta con el icono de la calculadora de Windows.

Software afectados:

Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP

Solución:

Si recibe este tipo de correo electrónico por favor NO EJECUTE el archivo adjunto, no solo puede infectar su máquina, también puede infectar a otros.

Si lo ejecuta le aparecerá la calculadora de Windows para que crea que en realidad se trata de esta utilidad. Sin embargo, sin que pueda percatarse a simple vista, "Bable" comenzará su rutina de infección y propagación.

Para eliminarlo, actualice y ejecute su antivirus

Saludos.

dariodommar · Moderador Registrado: 22 Jun 2003 Mensajes: 3108 Ubicación: Caracas/Venezuela

CORONEX: LA NEUMONÍA ASIÁTICA, HECHA VIRUS, POR NAVEGANTE

MADRID.- Diversas compañías de seguridad informática han
advertido en las últimas horas sobre la aparición de un nuevo
virus informático que aprovecha la preocupación existente sobre
la epidemia de neumonía atípica para propagarse por Internet,
aunque no tiene efectos destructivos en los equipos de los
usuarios.
.....

El gusano, denominado 'Coronex', se difunde a través de la
libreta de direcciones de los ordenadores infectados pero no
destruye archivos. Por ese motivo, el Centro de Alerta Temprana
(CAT) sobre Virus y Seguridad Informática, órgano dependiente
del Ministerio de Ciencia y Tecnología, sólo le ha otorgado una
peligrosidad "mínima".

Todo el artículo en:
<http://www.elmundo.es/navegante/2003/04/25/seguridad/1051258186.html>

dariodommar · Publicado: Jue Mar 11, 2004 2:05 pm **Asunto**:

Tres vulnerabilidades: una en Outlook, otra en Windows Media Services y la tercera en MSN Messenger

Han sido descubiertas tres nuevas vulnerabilidades en Windows que afectan distintas aplicaciones, una para el Messenger, la segunda para Outlook y otra para Windows Media Sevices.

Esta vez son tres los boletines de seguridad publicados por Microsoft para corregir las fallas encontradas en tres distintas aplicaciones.

Falla Nº 1: moderada

El Boletín de seguridad MS04-008 se refiere a la falla que afecta a Windows Media Services. El nivel de riesgo para esta falla es considerado como medio.

Los sistemas afectados son Microsoft Windows 2000 Server Service Pack 2, Microsoft Windows 2000 Server Service Pack 3 y Microsoft Windows 2000 Server Service Pack 4.

Los componentes que se cargan cuando se instala windows Media Services son: Windows Media Unicast Service, Windows Media Station Service, Windows Media Program Service y Windows Media Monitor Service. Esta falla surge debido a la forma en que los componentes Windows Media Station Service y Windows Media Monitor Service, manejan las conexiones TCP/IP.

Un usuario malicioso puede causar que el Windows Media Station Service deje de aceptar nuevos requerimientos, auque esté disponible para "pasar" conexiones TCP que ya hayan sido hechas, no aceptará nuevas peticiones. Para recobrar el estado original el administrador debe reiniciar el servicio.

Algunas de las recomendaciones son: bloquear los puertos 7007 y 7778 en el firewall, esto puede ayudar a prevenir al sistema que está detrás del firewall de ser atacado por intentos de explotar la falla. otra es administrar el Windows Media Services desde la consola o a través de una sesión de terminal para evitar Denial of Service. La tercera es remover Windows Media Services.

Por supuesto, la recomendación obligatoria es aplicar el parche contenido en el boletín MS04-008.

Falla Nº 2: crítica

El Boletín de seguridad MS04-009 habla sobre la vulnerabilidad presente en Microsoft Outlook.

El software afectado es Microsoft Office XP Service Pack 2 y Microsoft Outlook 2002 Service Pack 2 donde el rango de severidad es considerado crítico.

El esquema mailto URL es usado para designar la dirección de correo en Internet de un individuo o servicio. La vulnerabilidad ocurre por la manera como un mailto URL es interpretada por Outlook 2000.

Mediante la creación de un formato especial de mailto URL es posible que Outlook 2002 interprete el URL de una manera que pudiese permitir ejecución de código. Precisamente un usuario malicioso que explote esta vulnerabilidad, pude hacer que Internet Explorer ejecute un script en la máquina afectada y de esta manera accesar archivos en el sistema de usuario o ejecutar código arbitrario en el mismo.

Algunas recomendaciones son: No usar la pagina de Outlook Today (Hoy) en outlook 2000, desactivando la carpeta "Otlook para hoy" o "buzón de correos" y si está usando Outlook 2002 o Outlook Express 6.0 SP1 o posteriores, lea los mensajes en formato texto para protegerse de los ataques de vectores en los e-mail formato HTML.

Al igual que en la falla anterior, la recomendación obligatoria: Instale el parche MS04-009.

Falla Nº 3: moderada

El tercer boletín, Boletín de seguridad MS04-010 alerta sobre la vulnerabilidad presente en el Messenger.

La vulnerabilidad resulta por el método usado por MSN Messenger para manejar las peticiones (request) entre dos cuentas de MSN Messenger. El método usado para manejar las peticiones no valida ciertos contenidos de la petición cuando la sesión está siendo creada.

La severidad es considerada como moderada en ambos, Microsoft MSN Messenger 6.0 y Microsoft MSN Messenger 6.1.

Un atacante o usuario malicioso puede lograr mediante una petición o request que el Messenger le permita ver un archivo en su disco duro (aunque no deja que el atacante lo pueda editar o modificar). De alli viene el hecho en que esta falla se convierta en una falla de seguridad, pues alguna persona mal intencionada puede tener acceso a archivos importantes o ver nombres de usuario y claves. Si el atacante sabe donde se encuentra ubicado un archivo y el nombre (log on) del usuario, lo podrá ver sin que el dueño del mismo sepa que alguien está intentando leer su archivo.

Recomendación: aplicar el parche contenido en el boletín MS04-010.

Otras Soluciones
A nuestra redacción llegó un comunicado de parte de Network Associates donde informan acerca de sus productos disponibles para proteger a los equipos contra estas vulnerabilidades. Las soluciones ofrecidas por esta empresa se presentan a continuación:

Los archivos DAT de McAfee AVERT, versión 4336, publicados el 10 de marzo de 2004 incluirán nuevas firmas para detectar ciertos “exploits” de MS03-009 que pueden emplear el código de muestra utilizado para descubrir estas amenazas. El Extra.dat estará disponible para los usuarios que lo consideren necesario, enviando un mensaje de correo electrónico a extradat@avertlabs.com.

McAfee Desktop Firewall enfrenta a MS04-008 bloqueando el puerto TCP 7007 y 7778 en el firewall. Esto permitirá evitar que los sistemas que están protegidos por el firewall sean atacados por medio de esta vulnerabilidad. Se crearon filtros de la vulnerabilidad MS04-008 para Sniffer Distributed, Sniffer Portable y el analizador de redes Netasyst, con el fin de advertir a los administradores de redes sobre la presencia de un tráfico dañino en la red específico de estas vulnerabilidades y posibles “exploits”. Los usuarios de McAfee ThreatScan deben actualizar las firmas tanto del servidor como del agente para brindar protección contra la vulnerabilidad MS04-008.
Los usuarios de Microsoft pueden actualizar los sistemas afectados con los parches disponibles en el sitio Web de Microsoft.

¿Que hacer?
Si tiene algún tiempo sin realizar actualizaciones de su sistema operativo le recordamos como hacerlo. En un Browser de Internet Explorer diríjase al menú Herramientas, seleccione Actualización de Windows (Windows Update) y elija entre las opciones las actualizaciones necesarias para su sistema.

También puede configurar actualizaciones automáticas en su equipo, para ello, en la barra de inicio diríjase a panel de control, una vez allí seleccione el icono de actualizaciones automáticas, escoge el horario de actualización que mejor le convenga y el sistema se encarga de buscar las recomendadas para su versión de Windows.

Yorly Arellano

Beto · Publicado: Sab May 15, 2004 11:41 pm **Asunto**:

Hola, revisando este Forum, me encontre con un gran pasatiempo, el de remocion de virus. Deseo dar mi asistencia si me lo permiten, manejo bien la remocion de virus Via IRC, y relacion de algunos de ellos, como Lorraine, etc. Mi Pseudonimo es Dr|shadow en casi todas las redesde IRC

dariodommar · Publicado: Mar May 18, 2004 11:41 am **Asunto**:

Falla es el MS04-015

El boletín asociado a esta falla es el MS04-015. Los sistemas afectados son : Microsoft Windows XP y Microsoft Windows XP Service Pack 1, Microsoft Windows XP 64-Bit Edition Service Pack 1, Microsoft Windows XP 64-Bit Edition Version 2003, Microsoft Windows Server 2003 y Microsoft Windows Server 2003 64-Bit Edition.

La falla es catalogada como importante pues permite, al ser explotada, la ejecución remota de código si el usuario está logueado con privilegios totales.

Se da en el Help and Support Center (HSC) -- HSC es una facilidad que Windows provee para ayudar a los usuarios en distintos tópicos--, debido a la manera en que este maneja la validación de la entrada de datos. Al igual que en vulnerabilidades anteriores, un usuario malicioso que quiera explotarla tendrá que persuadir a los usuarios a que visiten un sitio web o enviar un e-mail con un enlace a dicho sitio.

Las posibilidades de resultar afectados por algún ataque a esta falla se reducen si se aplica el parche de seguridad, si el explorador usado es Internet Explorer 6 o posteriores, si se instaló Microsoft Outlook E-mail Security Update, si se usa Microsoft Outlook Express 6, Microsoft Outlook 2000 Service Pack 2 o versiones posteriores de ambos.

También corren menos riesgos aquellos usuarios que tengan privilegios menores que los administradores en sus sistemas. Windows NT 4.0 y Windows 2000 no se encuentran afectados por esta vulnerabilidad.

La recomendación es la misma de los casos anteriores: actualizar los sistemas con el parche de seguridad.

Aparte del boletín de seguridad, Microsoft en su sitio web provee tanto a los usuarios como a los desarrolladores y profesionales de las tecnologías de la información, una serie de guías para mejorar la protección tanto de las PCs como de la organización en general.

Para los usuarios finales Microsoft recomienda tres pasos: actualizar, usar un firewall y actualizar los antivirus. Para los desarrolladores el sitio tiene lo que llaman centro de guía de seguridad, donde informan sobre tópicos, productos de seguridad, artículos de how to, listas de chequeos de seguridad e información de módulos sobre aspectos específicos de seguridad.

Es importante que tanto usuarios finales como empresas tomen en cuenta seriamente las recomendaciones, pues como es harto sabido, el tiempo que transcurre entre el anuncio de la vulnerabilidad -- junto al parche -- y la explotación del mismo, se está haciendo cada vez más corto. Si no lo creen, recuerden que entre las vulnerabilidades previas a Sasser y la propagación del virus sólo transcurrieron quince someros días.

Yorly Arellano

dariodommar · Publicado: Jue Jun 10, 2004 10:27 am **Asunto**:

SASSER
Se ha detectado en Internet la presencia de un nuevo virus de tipo gusano denominado Sasser, el cual aprovecha una vulnerabilidad del sistema operativo Microsoft Windows. Este gusano, que surgió este fin de semana, se propaga automáticamente a través de Internet.

El gusano se copia en la carpeta de Windows como avserve.exe, y añade una clave en el registro de Windows para asegurar su ejecución en cada inicio del sistema, y actuar entonces como punto de distribución, infectando otras máquinas.

Una evidencia visible de que su sistema ha sido infectado son las ventanas de Windows alertando problemas en LSA Shell o errores en lsass.exe y el reinicio del sistema.

Para prevenir la infección por este virus descargue el parche de Microsoft http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp, escogiendo de la lista el sistema operativo que tiene instalado en su computadora

W32BagleJ
Estimado usuario, a partir de este mes se comenzó a propagar a través de Internet mensajes que contienen información acerca de problemas de seguridad con su cuenta de correo electrónico y le indica que debe abrir el archivo para poder seguir utilizando su cuenta, entre otros, los cuales no han sido enviados por Cantv.net. El archivo anexo al mensaje contiene un virus, por lo que bajo ningún motivo debe abrirlo ni tomar en cuenta las falsas amenazas del correo. Tenga la garantía de que no se le suspenderá el servicio por este concepto.

Estos mensajes son producto de un virus detectado en Internet: W32/Bagle.J, el mismo es de tipo gusano y además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios.

El gusano puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso, y toma el mismo dominio del destinatario (ej. @cantv.net)

Se han encontrado algunas características para identificarlo:
1. Dirección del Remitente: Falsificada
2. Asunto: Aleatorio. Han podido identificarse:
· E-mail account security warning. Notify about using the e-mail account. Warning about your e-mail account. Important notify about your e-mail account. Email account utilization warning. Notify about your e-mail account utilization. E-mail account disabling warning.
3. Texto del cuerpo del mensaje:
Saludo:
· Dear user of (user's domain) , · Dear user of (user's domain) gateway e-mail server, · Dear user of e-mail server "(user's domain) ", · Hello user of (user's domain) e-mail server, · Dear user of "(user's domain) " mailing system, · Dear user, the management of (user's domain) mailing system wants to let you know that, · (Where the user's domain is chosen from the To: address. For example the user's domain for user@mail.com would be "mail.com")

W32MyDoom
En el mensaje enviado por correo electrónico el día de ayer 29 de enero de 2004 hubo un error con los enlaces a los que se hacia referencia, pedimos disculpas por la equivocación y anexamos la información corregida:

Se ha publicado la existencia de un virus tipo gusano denominado W32/Mydoom@MM, el cual se propaga a través del correo electrónico en forma masiva como archivo adjunto.

Para revisar su equipo y desinfectarlo en caso que contenga el virus W32/Mydoom@MM por favor descargue el siguiente archivo: stinger.exe

Descripción:
De origen desconocido y descubierto el 26/01/2004, W32/Mydoom@MM es un virus que se propaga a través del correo electrónico y directorios compartidos de Kazaa

El mensaje de correo electrónico que utiliza Mydoom para propagarse, tiene las siguientes características:

Remitente: la dirección puede ser "falsificada"

Asunto: Aleatorio:

* [caracteres sin sentido o vacío], * Delivery Notification: Delivery has failed, * Error, * hello, * Hello, HELLO, * hi, * HI, * Mail Delivery System, * Mail Transaction Failed, * Nicakhtwewby, * Returned mail: User unknown, * Server Report Status, * test, * Test, * Undeliverable: Mail Delivery System, * Undelivered Mail Returned to Sender

Cuerpo del Mensage: Varía

Adjunto: el nombre del archivo aleatorio; usualmente son archivos .exe, .pif, .cmd, .scr, dentro de un archivo ZIP, con un tamaño de 22,528 bytes

· Algunos ejemplos son (pueden ser aleatorios):

· doc.bat, · document.zip, · message.zip, · readme.zip, · text.pif, · hello.cmd, · body.scr, · test.htm.pif, · data.txt.exe, · file.scr

El siguiente icono es utilizado para hacer creer al usuario que el archivo adjunto es un archivo de texto:

Archivo: disclaimer.txt

Cuando el archivo adjunto es ejecutado, se copia a directorio System de Windows como taskmon.exe, su código es cargado al inicializar el sistema.

Propagación punto a punto:

El gusano se copia en el directorio compartido de KaZaa, utilizando entre otros los siguientes nombres:

· nuke2004, · office_crack, · rootkitXP, · strip-girl-2.0bdcom_patches, · activation_crack, · icq2004-final, · winamp

Existe la posibilidad que al iniciar por primera vez el sistema el 2 de febrero o alguna fecha posterior, el gusano deje de enviar correos en forma masiva e inicie un ataque en contra del dominio sco.com

Esta nueva amenaza es considerada de Riesgo Alto.

Saludos.

dariodommar · Publicado: Jue Jun 10, 2004 10:32 am **Asunto**:

Descargar las últimas identidades (IDE) de virus
Estos archivos de identidad (IDE) de virus permiten a Sophos Anti-Virus detectar y desinfectar nuevos virus, gusanos y troyanos. Necesita estas IDE para proteger su red contra las nuevas amenazas aparecidas desde la última versión de Sophos Anti-Virus. No son un sustituto de la actualización mensual del producto.

Para utilizar estas IDE debe saber qué versión de Sophos Anti-Virus utiliza.

Cómo instalar los archivos de identidad (IDE) de virus (inglés)
Cómo comprobar la versión de Sophos Anti-Virus (inglés)

http://esp.sophos.com/downloads/ide/
http://alerta-antivirus.red.es/