Mostrando mensaje 1080     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 2028 Año 10, viernes 27 de enero de 20 06 Fecha: Viernes, 27 de Enero, 2006  07:57:42 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 2028 Año 10, viernes 27 de enero de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - VB.NEI (Kama Sutra), las estadísticas de un asesino 2 - TrojanDownloader.Tivso.I. Descarga al gusano Mocalo 3 - TrojanDownloader.Tivso.H. Descarga al gusano Mocalo 4 - TrojanDownloader.Tivso.G. Descarga al gusano Mocalo 4 - TrojanDownloader.Tivso.E. Descarga al gusano Mocalo _____________________________________________________________ 1 - VB.NEI (Kama Sutra), las estadísticas de un asesino _____________________________________________________________ http://www.vsantivirus.com/jll-270106.htm VB.NEI (Kama Sutra), las estadísticas de un asesino Por Jose Luis Lopez (*) videosoft@videosoft.net.uy Según un análisis publicado por LURHQ (Threat Intelligence Group), las incidencias reportadas del gusano VB.NEI (más conocido -entre otros nombres-, como Kama Sutra, Nyxem, Blackmal o BlackWorm), no serían tantas como se pensaba. Pero esto no sirve de consuelo a los usuarios ya infectados, desde que una gran cantidad de archivos de su computadora, corren el riesgo de ser "asesinados" por el gusano el próximo 3 de febrero. VB.NEI posee la característica de reportar sus infecciones a un contador dispuesto en un servidor de Internet. Estas estadísticas llegaron a sumar más de 5 millones de equipos infectados, cuando el 25 de enero se detectó un ataque proveniente de 279 máquinas específicas. El ataque, que se supone premeditado ya que no se ajusta al mecanismo normal que utiliza el gusano, tenía como objetivo "inflar" estas cifras, mediante el acceso reiterativo al contador. El examen realizado por LURHQ de los registros del servidor donde se encuentra el contador, revela que en realidad la cantidad de equipos infectados podría no superar los 300 mil en todo el mundo. Esto luego que se quitaron las direcciones IP duplicadas que tenían el mismo usuario y cliente de acceso. Lo interesante es que las estadísticas reflejan que la mayor cantidad de infecciones provienen de la India (79,610), del Perú (54,878) y de Italia (22,710). En Estados Unidos se detectaron 15,270 equipos infectados (al momento de la muestra tomada), y 2,962 en México. El resto se lo reparten los demás países. Aunque es probable que los datos no sean exactos (se basa en el origen de las direcciones IP, y algunas de ellas pueden ser reasignadas), da una idea global del problema. Mientras tanto, con datos manejados por el propio laboratorio de VSAntivirus, obteníamos los siguientes gráficos. En el primero se refleja la incidencia global del gusano VB.NEI (verde claro) comparada con la de otras amenazas (verde oscuro). Debe tenerse en cuenta que comparamos las alertas de un solo gusano, contra las de todas las demás amenazas, por lo que aunque aparezca como menor, en realidad posee un nivel que podemos considerar al menos como "interesante" [ver gráficos en http://www.vsantivirus.com/jll-270106.htm] El segundo gráfico muestra el pico de infecciones entre el domingo 22 y lunes 23 de enero, reportados por nuestro propio sistema de monitoreo (con 70 reportes a las 23:59 del día 22). Aunque la cantidad de infecciones "reales" a nivel mundial (más de 300 mil máquinas según LURHQ), no parezca muy importante comparándola con las de otros gusanos como Sober o Mydoom, no debemos olvidar que VB.NEI posee una carga destructiva sumamente peligrosa que se activa cada tercer día del mes (el próximo viernes 3 de febrero sería el primer ataque). En esa fecha, el gusano intentará sobrescribir todos los archivos con extensión .DMP, .DOC, .MDB, .MDE, .PDF, .PPS, .PPT, .PSD, .RAR, .XLS y .ZIP de las máquinas infectadas. Esto ocurrirá en todas las unidades locales y/o compartidas en red. Como los archivos no son borrados, sino sobrescritos por un determinado texto (DATA Error [47 0F 94 93 F4 K5]), la recuperación de los mismos se puede hacer casi imposible, y solo podrán ser restituidos desde respaldos limpios creados anteriormente. Mantener al día su software antivirus, puede evitarle una desagradable sorpresa. Los diferentes nombres que las demás compañías de antivirus dan al gusano que NOD32 reconoce como Win32/VB.NEI, así como una herramienta de limpieza, y la descripción completa del mismo, puede ser consultada en el siguiente enlace: VB.NEI. Se propaga por e-mail, borra antivirus http://www.vsantivirus.com/vb-nei.htm NOTA: Nuestros gráficos son generados en tiempo real por el administrador de reportes de Eset NOD32 Antivirus. Más información: Nuevo servicio en VSAntivirus: Virus Reporte http://www.vsantivirus.com/virusreporte.htm Referencias: BlackWorm Statistics (by LURHQ Threat Intelligence Group) http://www.lurhq.com/blackworm-stats.html (*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - TrojanDownloader.Tivso.I. Descarga al gusano Mocalo _____________________________________________________________ http://www.vsantivirus.com/trojandownloader-tivso-i.htm Nombre: TrojanDownloader.Tivso.I Nombre NOD32: JS/TrojanDownloader.Tivso.I Tipo: Caballo de Troya Alias: Tivso.I, JS/Feeb, JS/Feebs.gen.c@MM, JS/TrojanDownloader.Tivso.I, Win32.HLLM.Graz, Worm.Win32.Feebs.gen, Worm/Feebs Fecha: 27/ene/06 Plataforma: Windows 32-bit Tamaño: 3 KB Se trata de un caballo de Troya en JavaScript, del tipo downloader (descargador de archivos), embebido en un archivo HTML con extensión HTA. Se envía como adjunto en forma de spam masivo, o es propagado por el Win32/Mocalo, vía correo electrónico. El código en JavaScript descarga de Internet el componente principal de otras variantes del gusano. También puede encontrarse como página HTML en ciertos sitios maliciosos. El archivo descargado de Internet, es almacenado con alguno de los siguientes nombres: c:\command.exe c:\recycled\userinit.exe NOTA: No confundir con C:\COMMAND.COM Este componente, intentará eliminar las siguientes entradas del registro: HKLM\SYSTEM\CurrentControlSet\Services\FirePM HKLM\SYSTEM\CurrentControlSet\Services\KmxFile HKLM\SYSTEM\CurrentControlSet\Services\pcipim HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC HKLM\SYSTEM\CurrentControlSet\Services\RapDrv Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft \Active Setup\Installed Components \{CD5AC91B-AE7B-E83A-0C4C-E616075972F3} Stubpath = "[nombre del ejecutable]" * Más información e instrucciones de limpieza: Mocalo. Utiliza e-mail y P2P, deshabilita firewall http://www.vsantivirus.com/mocalo.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - TrojanDownloader.Tivso.H. Descarga al gusano Mocalo _____________________________________________________________ http://www.vsantivirus.com/trojandownloader-tivso-h.htm Nombre: TrojanDownloader.Tivso.H Nombre NOD32: JS/TrojanDownloader.Tivso.H Tipo: Caballo de Troya Alias: Tivso.H, JS/Feeb, JS/Feebs.gen.c@MM, JS/TrojanDownloader.Tivso.H, Win32.HLLM.Graz, Worm.Win32.Feebs.gen, Worm/Feebs Fecha: 25/ene/06 Plataforma: Windows 32-bit Tamaño: 3 KB Se trata de un caballo de Troya en JavaScript, del tipo downloader (descargador de archivos), embebido en un archivo HTML con extensión HTA. Se envía como adjunto en forma de spam masivo, o es propagado por el Win32/Mocalo, vía correo electrónico. El código en JavaScript descarga de Internet el componente principal de otras variantes del gusano. También puede encontrarse como página HTML en ciertos sitios maliciosos. El archivo descargado de Internet, es almacenado con alguno de los siguientes nombres: c:\command.exe c:\recycled\userinit.exe NOTA: No confundir con C:\COMMAND.COM Este componente, intentará eliminar las siguientes entradas del registro: HKLM\SYSTEM\CurrentControlSet\Services\FirePM HKLM\SYSTEM\CurrentControlSet\Services\KmxFile HKLM\SYSTEM\CurrentControlSet\Services\pcipim HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC HKLM\SYSTEM\CurrentControlSet\Services\RapDrv Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft \Active Setup\Installed Components \{CD5AC91B-AE7B-E83A-0C4C-E616075972F3} Stubpath = "[nombre del ejecutable]" * Más información e instrucciones de limpieza: Mocalo. Utiliza e-mail y P2P, deshabilita firewall http://www.vsantivirus.com/mocalo.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - TrojanDownloader.Tivso.G. Descarga al gusano Mocalo _____________________________________________________________ http://www.vsantivirus.com/trojandownloader-tivso-g.htm Nombre: TrojanDownloader.Tivso.G Nombre NOD32: JS/TrojanDownloader.Tivso.G Tipo: Caballo de Troya Alias: Tivso.G, JS/Feeb, JS/Feebs.gen.c@MM, JS/TrojanDownloader.Tivso.G, Win32.HLLM.Graz, Worm.Win32.Feebs.gen, Worm/Feebs Fecha: 23/ene/06 Plataforma: Windows 32-bit Tamaño: 3 KB Se trata de un caballo de Troya en JavaScript, del tipo downloader (descargador de archivos), embebido en un archivo HTML con extensión HTA. Se envía como adjunto en forma de spam masivo, o es propagado por el Win32/Mocalo, vía correo electrónico. El código en JavaScript descarga de Internet el componente principal de otras variantes del gusano. También puede encontrarse como página HTML en ciertos sitios maliciosos. El archivo descargado de Internet, es almacenado con alguno de los siguientes nombres: c:\command.exe c:\recycled\userinit.exe NOTA: No confundir con C:\COMMAND.COM Este componente, intentará eliminar las siguientes entradas del registro: HKLM\SYSTEM\CurrentControlSet\Services\FirePM HKLM\SYSTEM\CurrentControlSet\Services\KmxFile HKLM\SYSTEM\CurrentControlSet\Services\pcipim HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC HKLM\SYSTEM\CurrentControlSet\Services\RapDrv Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft \Active Setup\Installed Components \{CD5AC91B-AE7B-E83A-0C4C-E616075972F3} Stubpath = "[nombre del ejecutable]" * Más información e instrucciones de limpieza: Mocalo. Utiliza e-mail y P2P, deshabilita firewall http://www.vsantivirus.com/mocalo.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - TrojanDownloader.Tivso.E. Descarga al gusano Mocalo _____________________________________________________________ http://www.vsantivirus.com/trojandownloader-tivso-e.htm Nombre: TrojanDownloader.Tivso.E Nombre NOD32: JS/TrojanDownloader.Tivso.E Tipo: Caballo de Troya Alias: Tivso.E, JS/Feeb, JS/Feebs.gen.c@MM, JS/TrojanDownloader.Tivso.E, Win32.HLLM.Graz, Worm.Win32.Feebs.gen, Worm/Feebs Fecha: 23/ene/06 Plataforma: Windows 32-bit Tamaño: 3 KB Se trata de un caballo de Troya en JavaScript, del tipo downloader (descargador de archivos), embebido en un archivo HTML con extensión HTA. Se envía como adjunto en forma de spam masivo, o es propagado por el Win32/Mocalo, vía correo electrónico. El código en JavaScript descarga de Internet el componente principal de otras variantes del gusano. También puede encontrarse como página HTML en ciertos sitios maliciosos. El archivo descargado de Internet, es almacenado con alguno de los siguientes nombres: c:\command.exe c:\recycled\userinit.exe NOTA: No confundir con C:\COMMAND.COM Este componente, intentará eliminar las siguientes entradas del registro: HKLM\SYSTEM\CurrentControlSet\Services\FirePM HKLM\SYSTEM\CurrentControlSet\Services\KmxFile HKLM\SYSTEM\CurrentControlSet\Services\pcipim HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC HKLM\SYSTEM\CurrentControlSet\Services\RapDrv Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft \Active Setup\Installed Components \{CD5AC91B-AE7B-E83A-0C4C-E616075972F3} Stubpath = "[nombre del ejecutable]" * Más información e instrucciones de limpieza: Mocalo. Utiliza e-mail y P2P, deshabilita firewall http://www.vsantivirus.com/mocalo.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 2028 Año 10, viernes 27 de enero de 2006