| Asunto: | VSantivirus No. 1083 Año 7, Miércoles 25 de junio de 2003 | | Fecha: | Miercoles, 25 de Junio, 2003 03:34:52 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1083 Año 7, Miércoles 25 de junio de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Mapson.B. Menciona a VSAntivirus, tiene otro tamaño
2 - W32/Sage.A. Datos adjuntos: ICQ2003a.exe (438 KB)
_____________________________________________________________
1 - W32/Mapson.B. Menciona a VSAntivirus, tiene otro tamaño
_____________________________________________________________
http://www.vsantivirus.com/mapson-b.htm
Nombre: W32/Mapson.B
Tipo: Gusano de Internet
Alias: W32/Lorra.B, W32/Renalo.B, W32/Gedzac.B,
W32/Falckon.B, W32.Mapson.B.Worm, I-Worm.Mapson.b,
Win32/Mapson.B
Fecha: 25/jun/03
Origen: México
Tamaño: 178,688 bytes
Plataforma: Windows 32-bit
Se trata del mismo código de la versión "A", pero se ha
alterado su formato de compresión para modificar su tamaño,
intentando eludir a algunos antivirus.
El gusano intenta propagarse por correo electrónico,
aplicaciones de intercambio de archivos P2P y vía MSN
Messenger e ICQ, y no posee efectos destructivos.
Su código está programado en Borland Delphi 6, y comprimido
con la utilidad UPX.
Vía correo electrónico, puede recibirse en un gran número de
mensajes en español, con más de 60 textos y asuntos, todos
diferentes. Algunos con remitente fijo y otros variables,
tomados estos últimos de las libretas de direcciones del
usuario infectado y las listas de contactos de MSN Messenger.
Al menos uno de estos mensajes hace referencia a
VSAntivirus.com. Otro menciona un test antivirus de Hispasec,
y otros sitios dedicados a divulgar información en español
sobre la amenaza de los virus. En TODOS los casos, recuerde
que ninguno de estos sitios (incluido VSAntivirus.com por
supuesto), envía adjuntos no solicitados en su correo.
Puede enviarse a las casillas de cTmail, un servicio de envío
de correo basado en la web (principalmente de Hotmail).
Utiliza su propio motor SMTP.
Cuando los mensajes infectados son enviados, el gusano
ejecuta el sonido de inicio de Windows.
Esta es una lista de esos mensajes:
De: bigbrother@bigbrother.tv
Asunto: Big Brother te espera
Datos adjuntos: BigBrother.pif
Texto del mensaje:
Felicidades! le hemos enviado este E-Mail porque
usted ha ganado un pasaje a México al programa
Reality show BigBrother,si usted quiere participar
en este programa deberá abrir el archivo adjunto.
De: support@hotmail.com
Asunto: Su cuenta de hotmail sera eliminada
Datos adjuntos: hotmail.pif
Texto del mensaje:
Estimado usuario de hotmail,debido al trafico en
el servidor y a las fallas que se han venido
presentando en este presente mes,hemos de informarle
que su cuenta será removida de nuestra base de datos
en menos de 24 horas, le rogamos por favor lea el
adjunto con los pasos para evitar que esto suceda.
Atentamente el Equipo tecnico de Hotmail.
De: support@passport.com
Asunto: 10 reglas de seguridad para su cuenta de hotmail
Datos adjuntos: seguridad_en_hotmail.pif
Texto del mensaje:
Amable Usuario de hotmail, la razón de este mail es
para darle a conocer las 10 reglas de seguridad que un
usuario de passport debe tener en cuenta para evitar que
su cuenta sea borrada, hackeada etc...las reglas están en
el adjunto.Atentamente equipo tecnico de passport
De: hacker@hotmail.com
Asunto: ¿Puedo ser hacker en 24 horas?
Datos adjuntos: serhacker.pif
Texto del mensaje:
No. La respuesta es un no rotundo. Ni en 24 ni en 48
horas :) Pero en este tiempo sí puedes tener una idea
aproximada y muy básica de lo que es y de lo que "no es"
un hacker y decidir si quieres convertirte en uno de
ellos. Te recomiendo que leas el archivo que te mando,
esta en español y es muy interesante acerca de estos temas
(hacking,cracking,vulnerabilidades).
De: notice@madonna.com
Asunto: Hackean página de Madonna sospechosa
de envenenar KaZaA
Datos adjuntos: defaced-madonna-site.pif
Texto del mensaje:
Tras sospecharse que Madonna contaminó la red KaZaA con
algunos archivos envenenados, un grupo hacker ha
contraatacado asaltando su página y colgando algunos de
los temas de su último álbum en formato MP3.más de esta
revelante noticia en el adjunto.
De: Anti-Spam@campaña.com
Asunto: SPAM La proxima gran epidemia
Datos adjuntos: No-Spam.exe
Texto del mensaje:
El Spam esta avanzando constantemente y a logrado saturar
nuestros correos electronicostal vez sea el principio de
una epidemia mundial de esta peste que nos tiene cansados
de la publicidad.
De: test@hispasec.com
Asunto: Tests antivirus para comprobar la protección
del e-mail
Datos adjuntos: EICAX.COM
Texto del mensaje:
Hispasec pone a disposición de todos los usuarios dos
tests para comprobar el correcto funcionamiento de la
protección antivirus del correo electrónico. El
primero de ellos nos indicará la correcta instalación
y buen funcionamiento del antivirus, mientras que el
segundo determinará la capacidad de detección proactiva
para identificar gusanos que explotan vulnerabilidades
conocidas.
De: Amor@teamo.com
Asunto: Te amo
Datos adjuntos: teamo.exe
Texto del mensaje:
Lo amo a usted por que es la persona más linda del
mundo.
De: Latincards@latincards.com
Asunto: LatinCards
Datos adjuntos: LatinCard.pif
Texto del mensaje:
Le han enviado una LatinCard para poder visualizarla
abra el adjuntoGracias.
De: lorena@hotmail.com
Asunto: Te Amo
Datos adjuntos: porqueteamo.pif
Texto del mensaje:
Averigua por que.....
De: Maria_fernanda@mfernanda.com
Asunto: Re: Dime que te parece
Datos adjuntos: www.mfernanda.com
Texto del mensaje:
Hola, como estás? hace tiempo que no se nada de ti...
quería hablar contigo sobre un tema.Se trata de mi
nuevo portal en el que quiero ofrecer toda mi
recopilación de links en espanol. Me gustaría que le
echaras un vistazo y me dijeras que tal lo ves tu, si
te gusta o cambiarías algo.
De: lacosha@hotmail.com
Asunto: Recuerda!
Texto del mensaje:
Espero que siempre me escribas.
De: Webmaster@vsantiviru.com
Asunto: Informate de los virus
Datos adjuntos: www.vsantiviru.com
Texto del mensaje:
Hola, soy el webmaster de VSANTIVIRUS, estamos
realizando una camapaña Contra los virus informaticos
y nuestro deber es informarle a los usuarios como
usted Que es un virus, las acciones que causan y como
desinfectarse.Si usted desea acceder a toda esta
información haga el favor de hacer clic en el link que
le adjuntamos.Gracias
De: Webmaster@zonaviru.com
Asunto: Zona Virus.com tu Zona Antivirica en español
Datos adjuntos: www.zonaviru.com
Texto del mensaje:
Hola, soy el webmaster de zonaviru y quiero invitarlo
a visitar mi sitio web, usted podrá informarse sobre
los últimos virus aparecidos, también sabrá como se
crean estas alimañas informáticas,quienes los crean,
como desinfectarse etc... mucha mucha más
información.Cuento con su visita Gracias Atentamente
el Webmaster de ZonaVirus
De: cristina_aguilera@cristina-aguilera.com
Asunto: Cristina Aguilera Puta de medio tiempo o mentira?
Datos adjuntos: cristina-aguilera.pif
Texto del mensaje:
es la mera neta.
De: [variable]
Asunto: Problema de seguridad en Windows Media Player
Datos adjuntos: WindowsMediaPlayerBug.pif
Texto del mensaje:
Windows Media Player, el reproductor multimedia que
acompaña gratuitamente a los sistemas Microsoft, se
ve afectado por un problema de seguridad que puede
permitir la ejecución de código en la máquina del
usuario atacado.por lo que recomendamos leer más
acerca de este bug en el adjunto y aplicar los
correspondientes parches de seguridad.
De: [variable]
Asunto: ¿Cómo hackear hotmail?
Datos adjuntos: hackeahotmail.pif
Texto del mensaje:
Hola, he estado buscando en la red y encontré esta
guía de hacking que enseña como hackear hotmail,orienta
al robo de cuentas, imagínate robarle la cuenta a tu
novia, tu amigo etc.. a quien quieras, te lo aseguro yo
ya lo leí y lo comprobé, disfrútalo.
De: [variable]
Asunto: ¿Que le atrae a las mujeres?
Datos adjuntos: mujeres.pif
Texto del mensaje:
Un reciente estudio del comportamiento en la mujer
afirma que a ellas les atrae de los hombreses la cara,
las manos y su movimiento, si quiere saber más lea por
favor el articulo que le adjuntamos
De: [variable]
Asunto: Chistes Gráficos
Datos adjuntos: chistesgraficos.pif
Texto del mensaje:
Estos son los chistes gráficos que más me han gustado
espero que a ti también.
De: [variable]
Asunto: Test de pasión
Datos adjuntos: testpasion.pif
Texto del mensaje:
Test de pasión para usted y su pareja, contéstelo y
descubra cuanto desea y quiere a su pareja.
De: [variable]
Asunto: RE: Test de idiotes
Datos adjuntos: test-idiota.pif
Texto del mensaje:
Compruebe si usted es un verdadero idiota.
De: [variable]
Asunto: Kamasutra
Datos adjuntos: kamasutra.pif
Texto del mensaje:
Kamasutra el arte del sexo
De: [variable]
Asunto: Su pareja ideal
Datos adjuntos: parejaideal.txt.pif
Texto del mensaje:
Los 10 consejos para tener una pareja ideal,Léalos y
póngalos en practica, le aseguro que tendrá
resultadossatisfactorios.
De: [variable]
Asunto: Amor Real...
Datos adjuntos: existeee.pif
Texto del mensaje:
en verdad existe?
De: [variable]
Asunto: Vulnerabilidad Critica en el Msn Messenger
Datos adjuntos: bugmsn.pif
Texto del mensaje:
Una vulnerabilidad critica detectada en el msn
messenger podría provocar el robo de su cuenta de
correoes importante que lea mas de esta vulnerabilidad
para poderse proteger de ella.
De: [variable]
Asunto: ¿Cómo puedo crear un virus?
Datos adjuntos: TutorialVBSvirus.pif
Texto del mensaje:
Esta pregunta siempre me la han hecho y creo que la voy
a responder. Para crear un virus no necesitas saber
mucho de computación, con solo conocer Un poco del
lenguaje de programación basta, por que no empiezas con
el Visual Basic Script, te adjunto un tutorial muy
completo acerca de este lenguaje y la creación de
virusQue te diviertas.Bye.
De: [variable]
Asunto: Virus en Hotmail
Datos adjuntos: nuevovirus.txt .pif
Texto del mensaje:
Hola, se a dado una alerta por parte de las empresas
antivirus, de un nuevo virus que se expande por hotmail,
hasta el momento indetectable para cualquier producto
antiviral, por lo que recomiendo leer las precauciones
sobre este nuevo gusano informatico. Para más
información, favor de leer el documento informativo.
De: [variable]
Asunto: EGG Brother
Datos adjuntos: eggbrother.exe
Texto del mensaje:
LA ultima escena de egg brother vivela ya.
De: [variable]
Asunto: Osama Bin Huevo regresa
Datos adjuntos: osamabinhuevoback.exe
Texto del mensaje:
Osama bin huevo regresa con una nueva amenaza a los
Huevos Unidos de América
De: [variable]
Asunto: El Gran Carnal
Datos adjuntos: grancarnal.exe
Texto del mensaje:
Mirate que asterisco se tiro encima de doña pepa jeje
De: [variable]
Asunto: A Dios le pido....
Datos adjuntos: te-pido.scr
Texto del mensaje:
Que si me muero sea de amor y si me enamoro sea
de vos....
De: [variable]
Asunto: Antro
Datos adjuntos: antrox.scr
Texto del mensaje:
Hey sin so sobre tras ya no digas más y despierta
la locura!!!
De: [variable]
Asunto: Chupamelo
Datos adjuntos: chupamelo.pif
Texto del mensaje:
Chupamelo ya... y dime que te parece.
De: [variable]
Asunto: Ta grande
Datos adjuntos: grande.pif
Texto del mensaje:
Lo tengo grande y tú?
De: [variable]
Asunto: Tengo Sed...
Datos adjuntos: amor-por-ti.pif
Texto del mensaje:
Tengo sed de amor por tí.
De: [variable]
Asunto: Mamalo
Datos adjuntos: mamalo.pif
Texto del mensaje:
Mamalo que ta grande.....
De: [variable]
Asunto: para usted
Datos adjuntos: historial.pif
Texto del mensaje:
Si te llego mal, respondeme
De: [variable]
Asunto: Alerta de virus
Datos adjuntos: antiwinlogon.pif
Texto del mensaje:
Cuidado! este virus es peligroso puede formatearte
el disco duro, llega por hotmail sin que te des
cuenta, tu podrias estar infectado busca en tu
sistema el archivo winlogon.exe, si lo tienes es
mejor que utilizes la vacuna que te mando, hazlo
cuanto antes!! no esperes!!
De: [variable]
Asunto: Necesita comprar un auto?
Datos adjuntos: financiamiento.pif
Texto del mensaje:
Lo mejores planes de financiamiento.
De: [variable]
Asunto: Zorras y más zorras
Datos adjuntos: zorrotttas.pif
Texto del mensaje:
Zorritas gratis dandole duro.
De: [variable]
Asunto: Matrix Trailer
Datos adjuntos: Matrix-Trailer.pif
Texto del mensaje:
Chequelo de una vez!! no se lo pierda.
De: [variable]
Asunto: ¿Sabe que es GEDZAC?
Datos adjuntos: GEDZAC.PIF
Texto del mensaje:
Por si no sabe que es. una explicación muy
precisa para usted.
De: [variable]
Asunto: ¿Como te gustan?
Datos adjuntos: comotegustan.pif
Texto del mensaje:
A mi me gustan, altas, bonitas, tetonas, nalgonas y
tiernitas pero a ti como te gustan?
De: [variable]
Asunto: ¿?
Datos adjuntos: Oradores.pif
Texto del mensaje:
Hola necesito tu ayuda con este archivo Gracias
De: [variable]
Asunto: Lo que nos enseña la iglesia
Datos adjuntos: projimo.pif
Texto del mensaje:
La Iglesia nos enseña a amar, querer al prójimo pero
usted deberás lo ama?
De: [variable]
Asunto: La mejor forma de cortar a un chico
Datos adjuntos: sindolor.pif
Texto del mensaje:
Las 10 mejores formas para hacer esto menos doloroso.
De: [variable]
Asunto: para tí
Datos adjuntos: Lorenaaaa.pif
Texto del mensaje:
Si el adjunto esta defectuoso reenviamelo.
De: [variable]
Asunto: Información sobre Sars
Datos adjuntos: SARS.pif
Texto del mensaje:
Ayúdenos a contrarrestar el SARS, por favor aprenda
como se contagia y sus efectos.
De: [variable]
Asunto: Para mis amigos
Datos adjuntos: amigos.pif
Texto del mensaje:
De un amigo para un amigo.
De: [variable]
Asunto: Eres un perdedor
Datos adjuntos: Madonna_sEXY.pif
Texto del mensaje:
Eres un perdedor no te atreves ni a mirar la foto
que te doy.
De: [variable]
Asunto: Amistad
Datos adjuntos: friends.pif
Texto del mensaje:
Usted es uno de mis mejores amigos.
De: [variable]
Asunto: Spam..
Datos adjuntos: Spamno.pif
Texto del mensaje:
Di no al SPAM.
De: [variable]
Asunto: Para mis verdaderos amigos
Datos adjuntos: amigototote.pif
Texto del mensaje:
Te lo mereces, eres un verdadero amigo
De: [variable]
Asunto: Para ti nomas
Datos adjuntos: solo-a-ti.pif
Texto del mensaje:
Para ti y nadie más
De: [variable]
Asunto: Necesito su ayuda
Datos adjuntos: resetarios.pif
Texto del mensaje:
Tengo problemas con este archivo, seria tan
amable de revisarlo por mi?
De: [variable]
Asunto: Sexo y más
Datos adjuntos: relacionsexual.pif
Texto del mensaje:
10 formas para disfrutar de sus relaciones sexuales
De: [variable]
Asunto: Linux se vende a Microsoft!
Datos adjuntos: linuxandmicrosoft.pif
Texto del mensaje:
Al parecer Linux murio y se vendio a microsoft
De: [variable]
Asunto: Esta si que es puta!
Datos adjuntos: Shakira.pif
Texto del mensaje:
NO hables más y dime si es puta
De: [variable]
Asunto: Tu Soft
Datos adjuntos: CracksPPZ.pif
Texto del mensaje:
Aquí estan los cracks para los programas que pediste
De: [variable]
Asunto: La Virgen María no es virgen
Datos adjuntos: MariaVirgen.pif
Texto del mensaje:
No me crees? velo tu mismo
De: [variable]
Asunto: Música Digital Gratis
Datos adjuntos: Música.pif
Texto del mensaje:
Bájate todas las canciones que quieras.
De: [variable]
Asunto: te gusta?
Datos adjuntos: thalialoca.pif
Texto del mensaje:
espero que te guste, si no es asi dimelo.
Si se ejecuta el archivo adjunto, muestra el siguiente
mensaje:
Error
Archivo Parcialmente Corrupto
remplacelo por uno nuevo
Crea los siguientes archivos en la unidad C:
c:\lorraine.exe
c:\lorraine.hta
c:\lorraine.vxd
c:\windows\system\lorraine.exe
El archivo con formato HTML, LORRAINE.HTA, contiene
referencias al gusano, su autor, y su sitio de Internet. Este
archivo es mostrado por el navegador instalado por defecto,
cada día 4 de todos los meses:
Lorraine Worm [GEDZAC LABS 2003]
W32/Lorraine - Gedzac Labs 2003
//***********[GEDZAC LABS 2003]***********//
W32/Lorraine by Falckon/GEDZAC
wOrm hecho en Delphi 6 Dedicado a mi Lorena
Hecho en MéXiKO
http://www.viriizone.tk
Gedzac Labs
Crea las siguientes copias en la carpeta System de Windows
("C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en
Windows NT/2000 y "C:\Windows\System32" en Windows XP y
Windows Server 2003):
c:\windows\system\amigos.pif
c:\windows\system\amigototote.pif
c:\windows\system\amor-por-ti.pif
c:\windows\system\antiwinlogon.pif
c:\windows\system\antrox.scr
c:\windows\system\BigBrother.pif
c:\windows\system\bugmsn.pif
c:\windows\system\chistesgraficos.pif
c:\windows\system\chupamelo.pif
c:\windows\system\comotegustan.pif
c:\windows\system\CracksPPZ.pif
c:\windows\system\cristina-aguilera.pif
c:\windows\system\defaced-madonna-site.pif
c:\windows\system\eggbrother.exe
c:\windows\system\EICAX.COM
c:\windows\system\existeee.pif
c:\windows\system\financiamiento.pif
c:\windows\system\GEDZAC.PIF
c:\windows\system\grancarnal.exe
c:\windows\system\grande.pif
c:\windows\system\hackeahotmail.pif
c:\windows\system\historial.pif
c:\windows\system\hotmail.pif
c:\windows\system\kamasutra.pif
c:\windows\system\lacosha@hotmail.com
c:\windows\system\LatinCard.pif
c:\windows\system\linuxandmicrosoft.pif
c:\windows\system\Lorenaaaa.pif
c:\windows\system\Madonna_sEXY.pif
c:\windows\system\MariaVirgen.pif
c:\windows\system\Matrix-Trailer.pif
c:\windows\system\mujeres.pif
c:\windows\system\Música.pif
c:\windows\system\No-Spam.exe
c:\windows\system\nuevovirus.txt .pif
c:\windows\system\Oradores.pif
c:\windows\system\osamabinhuevoback.exe
c:\windows\system\parejaideal.txt.pif
c:\windows\system\petardas.pif
c:\windows\system\porqueteamo.pif
c:\windows\system\projimo.pif
c:\windows\system\relacionsexual.pif
c:\windows\system\resetarios.pif
c:\windows\system\SARS.pif
c:\windows\system\seguridad_en_hotmail.pif
c:\windows\system\serhacker.pif
c:\windows\system\Shakira.pif
c:\windows\system\solo-a-ti.pif
c:\windows\system\Spamno.pif
c:\windows\system\teamo.exe
c:\windows\system\te-pido.scr
c:\windows\system\test-idiota.pif
c:\windows\system\testpasion.pif
c:\windows\system\thalialoca.pif
c:\windows\system\TutorialVBSvirus.pif
c:\windows\system\WindowsMediaPlayerBug.pif
c:\windows\system\www.mfernanda.com
c:\windows\system\www.vsantiviru.com
c:\windows\system\www.zonaviru.com
c:\windows\system\zorrotttas.pif
Modifica el registro para ejecutarse con cada inicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Lorraine = c:\windows\system\Lorraine.exe
El gusano intenta propagarse por las siguientes aplicaciones
de intercambio de archivos:
eDonkey2000
Gnuclues
Grokster
KaZaa
KaZaa Lite
Limewire
Morpheus
Para ello, busca los siguientes directorios:
\KaZaA\My Shared Folder\
\edonkey2000\incoming\
\gnucleus\downloads\
\icq\shared files\
\kazaa lite\my shared folders\
\limewire\shared\
\morpheus\my shared folder\
\Grokster\My Grokster\
Y se copia allí más de 400 veces, con diferentes nombres.
Básicamente, combina textos como los siguientes:
Desnuda en la playa
las pelotas de
Nude Pic
Sexo en la playa con
Sexy Beach
Sexy Bikini
Sumándole a cada uno alguno de los siguientes nombres:
Alejandra Guzman
Angelica Vale
Brenda
Britney Spears
Cameron dias
Celine Dion
Francini
Galilea Montijo
Halle berry
Kylie Minogue
Laura Pausini
Lili Brillanti
Lorena
Paulina Rubio
Pink
Shakira
Thalia
Y la extensión:
.gif[varios espacios vacíos].exe
También usa esta combinación:
Ad-aware
Adobe Acrobat Reader (32-bit)
AOL Instant Messenger (AIM)
Biromsoft WebCam
Copernic Agent
Delphi 6
Diet Kaza
DirectDVD
DivX Video Bundle
Download Accelerator Plus
FireWorks 4
FIreWorks MX
Global DiVX Player
Grokster
ICQ Lite
ICQ Pro 2003a beta
iMesh
JetAudio Basic
Kaspersky Antivirus
Kazaa Download Accelerator
Kazaa Media Desktop
Matrix Movie
McAfee Antivirus
Microsoft Internet Explorer
Microsoft Office XP
Microsoft Windows 2003
Microsoft Windows Media Player
Morpheus
msn hack
MSN Messenger (Windows NT/2000)
Nero Burning ROM
NetPumper
Network Cable e ADSL Speed
Norton Antivirus
Office 2003
Panda Antivirus
PerAntivirus
Pop-Up Stopper
QuickTime
RealOne Free Player
Registry Mechanic
SnagIt
SolSuite 2003: Solitaire Card Games Suite
Spybot - Search & Destroy
Trillian
Virtual Girl Sofía
Visual Studio Net
Winamp
WinMX
WinRAR
WinZip
WS_FTP LE (32-bit)
XoloX Ultra
ZoneAlarm
Sumándole lo siguiente:
.exe
crack all versions.exe
Cracked.exe
Fullversion.exe
KeyGen.exe
Ejemplos:
Ad-aware.exe
Adobe Acrobat Reader (32-bit).exe
Alejandra Guzman.gif.exe
Angelica Vale.gif.exe
AOL Instant Messenger (AIM).exe
Biromsoft WebCam.exe
Brenda.gif.exe
Britney Spears.gif.exe
Cameron dias.gif.exe
Celine Dion.gif.exe
Copernic Agent.exe
crack all versions.exe
Cracked.exe
Delphi 6.exe
Desnuda en la playa.gif.exe
Diet Kaza.exe
DirectDVD.exe
DivX Video Bundle.exe
Download Accelerator Plus.exe
FireWorks 4.exe
FIreWorks MX.exe
Francini.gif.exe
Full version.exe
Galilea Montijo.gif.exe
Global DiVX Player.exe
Grokster.exe
Halle berry.gif.exe
ICQ Lite.exe
ICQ Pro 2003a beta.exe
iMesh.exe
JetAudio Basic.exe
Kaspersky Antivirus.exe
Kazaa Download Accelerator.exe
Kazaa Media Desktop.exe
KeyGen.exe
Kylie Minogue.gif.exe
las pelotas de.gif.exe
Laura Pausini.gif.exe
Lili Brillanti.gif.exe
Lorena.gif.exe
Matrix Movie.exe
McAfee Antivirus.exe
Microsoft Internet Explorer.exe
Microsoft Office XP.exe
Microsoft Windows 2003.exe
Microsoft Windows Media Player.exe
Morpheus.exe
msn hack.exe
MSN Messenger (Windows NT/2000).exe
Nero Burning ROM.exe
NetPumper.exe
Network Cable e ADSL Speed.exe
Norton Antivirus.exe
Nude Pic.gif.exe
Office 2003.exe
Panda Antivirus.exe
Paulina Rubio.gif.exe
PerAntivirus.exe
Pink.gif.exe
Pop-Up Stopper.exe
QuickTime.exe
RealOne Free Player.exe
Registry Mechanic.exe
Sexo en la playa con.gif.exe
Sexy Beach.gif.exe
Shakira.gif.exe
SnagIt.exe
SolSuite 2003: Solitaire Card Games Suite.exe
Spybot - Search & Destroy.exe
Thalia.gif.exe
Trillian.exe
Virtual Girl Sofía.exe
Visual Studio Net.exe
Winamp.exe
WinMX.exe
WinRAR.exe
WinZip.exe
WS_FTP LE (32-bit).exe
XoloX Ultra.exe
ZoneAlarm.exe
Cualquiera de estos archivos que sea descargado por un
usuario de estas redes y luego ejecutado, infectará su
equipo.
Durante el mes de julio, el gusano puede mostrar dos ventanas
con el siguiente texto:
Lorraine Worm [GEDZAC LABS 2003]
Creado por Falckon/GEDZAC
[ OK ]
Lorraine Worm [GEDZAC LABS 2003]
Dedicado a mi G. Lorena R. S.,
http://www.vsantivirus.com/renalo.htm
[ OK ]
En su código pueden verse también estas referencias. El
enlace en VSAntivirus.com se refiere a la descripción de un
virus anterior supuestamente del mismo autor:
Creado por Falckon/GEDZAC.
Dedicado a mi G. Lorena R. S.
http://www.vsantivirus.com/renalo.htm
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Lorraine
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Sage.A. Datos adjuntos: ICQ2003a.exe (438 KB)
_____________________________________________________________
http://www.vsantivirus.com/sage-a.htm
Nombre: W32/Sage.A
Tipo: Gusano de Internet
Alias: WORM_SAGE.A
Plataforma: Windows 32-bit
Tamaño Winsocks.dlL: 343,040 bytes
Tamaño Svch0st.exe: 434,373 bytes
Fecha: 25/jun/03
Este gusano está comprimido con la utilidad BJFnt, y contiene
rutinas para dificultar su análisis (anti-debugging).
Se propaga por Internet en un mensaje con las siguientes
características:
Asunto: UPDATE
Datos adjuntos: ICQ2003a.exe (438 KB)
Texto del mensaje:
ICQ Pro 2003a beta build 3800 popular pick
-----------------------------------------------
Download Now Free download 3.79MB
More download links
Downloads: 226,715,753
Publisher: ICQ
Date added: March 30, 2003
File size: 3.79MB; Clock this download
License: Free
Minimum requirements: Windows (all)
Uninstaller included?: Yes
-----------------------------------------------
Publisher's Description
ICQ Pro 2003a is the latest release of ICQ, the
instant-messaging program that lets you communicate
with friends and colleagues in real time. To seek
out a friend on the ICQ network, simply enter his
or her ICQ number, name, nickname, or e-mail address.
Once your contact list is set up, you'll be notified
when your friends are online so you can chat; send
instant messages, files, and URLs; play games; or
just hang out.
ICQ Pro 2003a includes ICQphone, a feature that
incorporates IP telephony functions into the ICQ
program. Users can initiate and participate in
PC-to-PC and PC-to-phone calls. In addition, users
can also utilize SMS technology, send wireless-pager
messages, view up-to-date information on ICQ
channels, and integrate ICQ with Outlook.
With the latest version of ICQ, you can move
instantly from the Pro to Lite versions just by
clicking "Switch to ICQ lite" from the Main menu,
and the shared ICQ preferences and password make
it easy to move between Lite and Pro versions
without losing your settings. Other new features
include improved e-mail integration and user
interface, enhanced integration with Windows XP,
automatic firewall detection, and the new Search
Google window which allows you instant access to
Google searches through the ICQ interface, plus
much more. For a complete list of new features,
visit the ICQ New Features page.
Cuando se ejecuta, el gusano crea los siguientes archivos en
la carpeta System de Windows:
c:\windows\system\Svch0st.exe
c:\windows\system\Winsocks.dll
Estos archivos son creados con los atributos de oculto (+H) y
sistema (+S). El ejecutable es borrado luego.
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Existe un archivo "Svchost.exe" legítimo en algunas versiones
de Windows. Sin embargo el del gusano contiene un número CERO
en lugar de la letra O: "Svch0st.exe".
Algo similar ocurre con "Winsock.dll" (legítimo), y el
componente creado por el gusano "Winsocks.dll", que difiere
en una sola letra (una "S" más).
El gusano modifica el registro para autoejecutarse en cada
reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winsock = c:\windows\system\Svch0st.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winsock = c:\windows\system\Svch0st.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
winsock = c:\windows\system\Svch0st.exe
HKU\Win98\Software\Microsoft\Windows\CurrentVersion\Run
winsock = c:\windows\system\Svch0st.exe
También modifica el registro, para que se ejecute el gusano
cada vez que un archivo con extensión .EXE sea utilizado por
el usuario o por el sistema:
HKCR\exefile\shell\open\command
(Predeterminado) = c:\windows\system\Svch0st.exe "%1" %*
HKLM\Software\CLASSES\exefile\shell\open\command
(Predeterminado) = c:\windows\system\Svch0st.exe "%1" %*
En sistemas con Windows 95, 98 o Me, el gusano también
modifica el archivo WIN.INI para ejecutarse al reiniciarse
Windows:
[windows]
run = c:\windows\system\Svch0st.exe
* Reparación manual
Primero debe renombrar el archivo REGEDIT.EXE como
REGEDIT.COM, ya que la extensión .EXE está asociada al
troyano, y éste se volvería a cargar si ejecutamos REGEDIT en
forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del
troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar
cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta
referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\exefile
\shell
\open
\command
5. Pinche sobre la carpeta "command". En el panel de la
derecha debería ver algo como:
Nombre Datos
(Predeterminado) c:\windows\system\Svch0st.exe "%1" %*
6. Pinche sobre "(Predeterminado)" y en Información del
valor, debe borrar el nombre del cargador
(c:\windows\system\Svch0st.exe) y dejar en "Datos" solo esto
(comillas, porcentaje, uno, comillas, espacio, porcentaje,
asterisco):
Nombre Datos
(Predeterminado) "%1" %*
7. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
8. Pinche sobre la carpeta "command". En el panel de la
derecha debería ver algo como:
Nombre Datos
(Predeterminado) c:\windows\system\Svch0st.exe "%1" %*
9. Pinche sobre "(Predeterminado)" y en Información del
valor, debe borrar el nombre del cargador
(c:\windows\system\Svch0st.exe) y dejar en "Datos" solo esto
(comillas, porcentaje, uno, comillas, espacio, porcentaje,
asterisco):
Nombre Datos
(Predeterminado) "%1" %*
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
11. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
winsock
12. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
13. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
winsock
14. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
15. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
winsock
16. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_USERS
\Win98
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
17. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
winsock
18. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run = c:\windows\system\Svch0st.exe
Debe quedar como:
[windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\Svch0st.exe
c:\windows\system\Winsocks.dll
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1083 Año 7, Miércoles 25 de junio de 2003
|
VSantivirus No. 10
Responder a este mensaje
