|
Mostrando mensaje 201
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1152 Año 7, Martes 2 de setiembre de 2003 | | Fecha: | Martes, 2 de Septiembre, 2003 03:18:58 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1152 Año 7, Martes 2 de setiembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Scam: Falsa cura para Blaster que invoca a VSAntivirus
2 - W32/Mapson.D. Se propaga por e-mail, IRC y P2P
3 - W32/Lovsan.F (Blaster). Utiliza "enbiei.exe"
4 - W32/Lovgate.P. Versión infectada con W32/Parite.A
_____________________________________________________________
1 - Scam: Falsa cura para Blaster que invoca a VSAntivirus
_____________________________________________________________
http://www.vsantivirus.com/scam-msblast.htm
Scam: Falsa cura para Blaster que invoca a VSAntivirus
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Nombre: MSBlast virus detectado
Tipo: SCAM, Falsa alarma de virus
Alias: Antivirnet
Fecha: 01/set/03
Idioma: Español
Un mensaje falso, invocando a VSAntivirus.com, se ha estado
distribuyendo por correo electrónico en las últimas horas:
De: Antivirnet <Vsantivir@antivirus.net>
Para: [Destinatario]
Asunto: MSBlast virus detectado
Hola VsAtnivirus Le informa que usted a sido
infectado Por un nuevo virus llamado MSBlaster.
Este virus Es extremamente peligroso por suerte.
Hemos editado un programa con el que usted se podrá
desinfectar Libremente de este virus tan peligroso.
el eliminador de MSBlaster se encuentra en la
siguiente url .vsantivirus.com
mas info: http://www.vsantivirus.com/30-08-03b.htm
Descargar AntiMSblast
El mensaje parece provenir de España (80.36.99.70), y ha sido
enviado como SPAM a numerosos usuarios.
En las propiedades del mensaje pueden encontrarse los
siguientes datos:
Received: from xavier-qasa39f0 (80.36.99.70)
by mta1.in.adinet.com.uy (7.0.008)
id 3F095EE70100E19B for [xxxx]; Sun,
31 Aug 2003 17:36:59 -0300
Message-ID: <3F095EE70100E19B@mta1.in.adinet.com.uy>
(added by postmaster@mta1.in.adinet.com.uy)
From: "Antivirnet" <Vsantivir@antivirus.net>
Subject: MSBlast virus detectado
[...]
Content-Type: text/html;iso-8859-1
Reply-To: Vsantivir@antivirus.net
Date: Mon, 1 Sep 2003 10:41:52 +0200
X-Priority: 3
X-Library: Indy 8.0.25
La dirección que figura como remitente es falsa.
El mensaje presenta dos enlaces, uno de ellos a una noticia
en VSAntivirus.com.
El otro, a una supuesta cura del MSBlast (Blaster o Lovsan),
de nombre "BlasterEliminator.exe" (Descargar AntiMSblast).
El enlace no funciona (el sitio o archivo no existen), pero
además tiene un error.
Si recibe un mensaje similar en su casilla, no lo
redistribuya, y simplemente bórrelo.
Sin embargo, recuerde que CUALQUIER archivo vinculado a un
mensaje de correo electrónico, puede encerrar riesgos muy
grandes si es abierto sin tomar precauciones. Utilice el
sentido común. No abra jamás ningún archivo adjunto no
solicitado.
Tampoco acepte enlaces a supuestas curas o cualquier clase de
archivo o página de Internet que Ud. no solicitó.
VSAntivirus solo envía alertas de virus, descripciones y otra
clase de información, a sus suscriptores:
http://www.vsantivirus.com/suscrip.htm
* Más hoaxes
Puede encontrar una lista de las falsas alarmas más comunes,
en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm,
o puede consultarnos a nuestra dirección e-mail:
videosoft@videosoft.net.uy cuando reciba uno de estos
mensajes.
Otros sitios en español donde siempre podrá encontrar
información debidamente investigada y comprobada:
http://www.virusattack.com.ar
http://www.rompecadenas.com.ar
http://www.alertaantivirus.es
http://www.enciclopediavirus.com
En inglés:
http://kumite.com/myths/myths/
http://antivirus.about.com/compute/antivirus/library/blenhoax.htm
http://www.f-secure.com/hoaxes/hoax_new.shtml
http://www.symantec.com/avcenter/hoax.html
http://www.antivirus.com/vinfo/hoaxes/hoax.asp
http://vil.nai.com/VIL/hoaxes.asp
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Mapson.D. Se propaga por e-mail, IRC y P2P
_____________________________________________________________
http://www.vsantivirus.com/mapson-d.htm
Nombre: W32/Mapson.D
Tipo: Gusano de Internet
Alias: W32/Mapson.D.worm, W32/Lorra.D, W32/Renalo.D,
W32/Gedzac.D, W32/Falckon.D, W32.Mapson.Worm.d, Mapson.D,
W32/Mapson.D@MM, I-Worm.Mapson.d, Win32/Mapson.D,
W32/Lorraine.D
Fecha: 1/set/03
Origen: México
Tamaño: 183,808 bytes
Plataforma: Windows 32-bit
Reportado por: Panda
Este gusano intenta propagarse por correo electrónico,
aplicaciones de intercambio de archivos P2P y vía MSN
Messenger e ICQ, y no posee efectos destructivos. También
finaliza la ejecución de antivirus y cortafuegos, dejando
desprotegido a la máquina infectada.
Su código está programado en Borland Delphi 6, y comprimido
con la utilidad UPX.
Vía correo electrónico, puede recibirse en un gran número de
mensajes en español, con textos y asuntos, todos diferentes.
Algunos con remitente fijo y otros variables, tomados estos
últimos de las libretas de direcciones del usuario infectado
y las listas de contactos de MSN Messenger.
También puede usar como remitente la dirección
virus@viruses.com.
Los mensajes son enviados a todas las direcciones con dominio
hotmail.com que encuentre en la lista de contactos del
Messenger.
Al menos uno de estos mensajes hace referencia a
VSAntivirus.com, con el asunto: "Campaña de Seguridad en la
red" y como adjunto un archivo de nombre
"www.vsantivirus.com"; (ver Ejemplo 10). En TODOS los casos,
recuerde que ninguno de estos sitios, envía adjuntos no
solicitados en su correo.
Para propagarse por correo, utiliza el componente TNMSMTP de
la librería comercial FastNet.
Esta es una lista de todos los posibles mensajes que utiliza
el gusano:
Ejemplo 1:
Remitente: virus@viruses.com
Asunto: Alerta por Virus Blastes
Datos adjuntos: Q832645.exe
Texto:
Epidemia por virus Blaster! este mail es
importante no los borres, el virus Blaster se a
estado reproduciendo con gran capacidad, es
recomendable usar el parche correctivo para la
falla de su windows, por favor no espere más y
aplique el parchees por el bienestar de su máquina
Ejemplo 2:
Asunto: Nuevo Mensaje
Datos adjuntos: Newmail.scr
Texto:
Tienes un nuevo correo para verlo haz clic en del
adjunto.
Ejemplo 3:
Asunto: Messenger y la Privacidad.
Datos adjuntos: Privacidad.pif
Texto:
Este documento habla sobre las desventajas de usar
el Msn Messenger como mensajero instantáneo,
cualquierduda se le respondera en el documento.
Ejemplo 4:
Asunto: Roban cuentas de hotmail.
Datos adjuntos: Cuentashotmail.pif
Texto:
Últimamente e estado recibiendo muchos correos
diciéndome provenir de Hotmail pero no, estos correos
nos piden nombre de usuario y password, pero en
realidad es mentira, nuestra cuenta sera robada, para
saber más lea el adjunto
Ejemplo 5:
Asunto: Huevo Cartoons Gratis :D
Datos adjuntos: Xtreme.pif
Texto:
Encontré una página con una buena colección de huevo
cartoons!.
www.huevosymashuevos.com
Me gusta.. mí me gusta, y a tí?
Ejemplo 6:
Asunto: Lista de vulnerabilidades en windows
Datos adjuntos: Vulnerabilidades.pif
Texto:
Esta es una lista de vulnerabilidades en windows para
que sepas y no te vayan a hackear, cuídate, chau
Ejemplo 7:
Asunto: Así me veo.
Datos adjuntos: Playa_cancun.pif
Texto:
Esta es mi foto cuando estaba en la playa :).
Ejemplo 8:
Asunto: Sofia vergara screen saver.
Datos adjuntos: Sofíavergara.scr
Texto:
Nuevo Screen Saver de sofia vergara desnuda, que
esperais para bajarlo
Ejemplo 9:
Asunto: Nuevo ScreenSaver de Britney Spears
Datos adjuntos: Britney.scr
Texto:
Nuevo screen saver de britney! :).
Ejemplo 10:
Asunto: Campaña de Seguridad en la red
Datos adjuntos: www.vsantivirus.com
Texto:
Nueva campaña de seguridad en la red patrocinada
por www.vsantivirus.com, haga clic en el adjunto
para enterarse sobre esto.
Ejemplo 11:
Asunto: Nunca me había visto tan bien
Datos adjuntos: Engrupo.pif
Texto:
Nunca me había visto tan bien en esta foto.
Ejemplo 12:
Asunto: Problemas de disfunción sexual?...
Datos adjuntos: Disfuncion.pif
Texto:
Diez ejercicios con los cuales lograra tener una
erección 10 veces mejor que la que siempre a tenido,
además de aumentar el tamaño de su pene lealos y no
tendra más problemas.
Ejemplo 13:
Asunto: 10 pasos para excitar a una mujer
Datos adjuntos: Orgasmo.pif
Texto:
Aquí tengo 10 pasos fáciles a seguir para lograr
excitar a una mujer, ella lograra tener de 2 a 3
orgasmos léalos, chau.
Ejemplo 14:
Asunto: Herramienta gratuita para eliminar el Blaster
Datos adjuntos: Anti-blaster.exe
Texto:
Si usted esta infectado de este peligroso gusano es
mejor que utilice la vacuna que le mando, ejecútela
no tendrá mas problemas.
Ejemplo 15:
Asunto:
10 consejos para tener una buena relación sentimental
Datos adjuntos: Pareja.pif
Texto:
10 simples consejos para tener una buena relación
sentimental con su pareja léalos y no tendrá mayores
problemas.
Ejemplo 16:
Asunto: Su máquina tiene un virus
Datos adjuntos: Anti-blaster.exe
Texto:
Si su máquina se reinica acada rato, esto es por un
nuevo virus que afecta toda internet, para arreglar
el problema use el antivirus que le envío.
Ejemplo 17:
Asunto: Alerta de virus
Datos adjuntos: Antirundll.exe
Texto:
Cuidado! este virus es peligroso puede formatearte
el disco duro, llega por hotmail sin que te des
cuenta, tu podrias estar infectado busca en tu
sistema el archivo rundll32.exe, si lo tienes es
mejor que utilizes la vacuna que te mando, hazlo
cuanto antes!! no esperes!!
Ejemplo 18:
Asunto: Música gratis
Datos adjuntos: Shareaza.exe
Texto:
Bajate toda la música que tu quieras, cuando
quieras o como quieras!!!
Ejemplo 19:
Asunto: Nuevo y seguro cliente P2P
Datos adjuntos: P2p.pif
Texto:
Esta arto del spyware en su cliente P2P como KaZaA?
Yo al menos sí! Odio que me espíen, y que hasta me
puedan denunciar, Por eso a salido un nuevo cliente
P2P, que actúa de forma stealth por lo que No saben
quién descarga un archivo además de poder bajar
toda la músicaGratis. Saludos.
Ejemplo 20:
Asunto: Te amo.
Datos adjuntos: Teamo.pif
Texto:
Te amo tanto que moriría por tí.
Ejemplo 21:
Asunto: Virus en Hotmail
Datos adjuntos: Nuevovirus.txt.pif
Texto:
Hola, se a dado una alerta por parte de las
empresas antivirus, de un nuevo virus que se
expande por hotmail, hasta el momento indetectable
para cualquier producto antiviral, por lo que
recomiendo leer las precauciones sobre este nuevo
gusano informatico. Para más información, favor de
leer el documento informativo.
Ejemplo 22:
Asunto: Kamasutra
Datos adjuntos: Kamasutra.pif
Texto:
Kamasutra el arte del sexo
Ejemplo 23:
Asunto: Su pareja ideal
Datos adjuntos: Parejaideal.pif
Texto:
Los 10 consejos para tener una pareja ideal,Léalos
y póngalos en practica, le aseguro que tendrá
resultadossatisfactorios.
Ejemplo 24:
Asunto: Sabes que es el Amor?
Datos adjuntos: Amores.pif
Texto:
Yo no sé que es el amor tampoco lo e sentido, pero
este texto te ayuda a comprenderlo.
Ejemplo 25:
Asunto: Como consquistar chicas.
Datos adjuntos: Chicas.pif
Texto:
Aquí le doy unos consejos para tener chicas rendidas
a sus pies, lealos y me dice que tal.
Ejemplo 26:
Asunto: La Biblia del Hacker
Datos adjuntos: Hacker-bible.pif
Texto:
Excelente libro para aprender a hackear un windows
de manera fácil y rápida, con 10 temas de rápido
aprendizaje, no dejes pasar más tiempo y leelo ya
pero no se lo pases a nadie que es solo para tí.
Ejemplo 27:
Asunto: ¿Como crear un virus?
Datos adjuntos: Viruses.pif
Texto:
Con este sencillo manual aprenderas a crear virus
rápidamente, cuidate , chau
Ejemplo 28:
De: microsoft@microsoftupdate.com
Asunto: Nueva vulnerabilidad en Windows
Datos adjuntos: K54403.exe
Texto:
El día de hoy se a descubierto una nueva
vulnerabilidad para los sistemas windows
recomendamos aplicar el siguiente parche de
seguridad, ya que el no parchear esta vulnerabilidad
puede permitir la ejecución de código en la máquina
afectada y podría ser explotada por algún virus como
es el caso del Blaster, Gracias
Ejemplo 29:
De: hackers@hackwebmail.com
Asunto: Hack Mails
Datos adjuntos: Mailcrack.bat
Texto:
queres verle el mail a un amigo, al jefe, saber si
la la novia se mailea con otro, entonces usa este
programa ;).
Ejemplo 30:
Asunto: Lista de virus recientes
Datos adjuntos: Virus-list.pif
Texto:
Aquí te doy una lista de virus recientes para que
estés pendiente y note vayas a infectar, saludos,
chau
Ejemplo 31:
Asunto: ¿qué es un virus?
Datos adjuntos: Virus-faq.pif
Texto:
Un pequeño texto que nos informa y nos dice que
es un virus, como desinfectarse, como contrarlos
etc.. espero que te guste.
Ejemplo 32:
Asunto: Actualización
Datos adjuntos: Update.exe
Texto:
Disculpa apenas pude enviarte la actualización
del programa, es que tenía mucho trabajo, chau
cuidate.
Ejemplo 33:
Asunto: Animaciones
Datos adjuntos: Animaciones.pif
Texto:
Checa estas divertidas animaciones que te envío,
no se las des a nadie mas son solo para ti!
Ejemplo 34:
Asunto: Posiciones
Datos adjuntos: Posiciones.exe
Texto:
Para que no te digan y no te cuente n, posiciones
para hacer el amor, checalas y me dices que tal
pero no se las des a nadie más, bye.
Ejemplo 35:
Asunto: Información confidencial
Datos adjuntos: Confidencial.pif
Texto:
Por favor, checa el adjunto para que sepas de que
hablo, bye.
Ejemplo 36:
Asunto: divisas.txt
Datos adjuntos: Readme.pif
Texto:
Hola, tengo problemas con este archivo serías
amable de checarlo por mí?, gracias, adios
Ejemplo 37:
Asunto: Contraseñas
Datos adjuntos: Contraseñas.pif
Texto:
Contraseñas de hotmail, para ti, no se las pases
a nadie gracias te cuidas chau.
Ejemplo 38:
Asunto: Si no te interesa..
Datos adjuntos: Muy-interesante.pif
Texto:
Si esto no te interesa no lo leas.
Ejemplo 39:
De: juan@ivan-ich.com
Asunto: Información
Datos adjuntos: Confidential-information.pif
Texto:
La siguiente información no a podido ser enviada
Ejemplo 40:
Asunto: Ouija Online
Datos adjuntos: Juegoconlosmuertos.pif
Texto:
Quieres conocer, el juego que ha despertado temores
y discuciones a lo largo del tiempo, mira esto
Ejemplo 41:
Asunto: Tienes un E-Mail
Datos adjuntos: Mail.bat
Texto:
Tienes un E-mail para visualizarlo haga clic en el
adjunto.
Ejemplo 42:
Asunto: Expresate
Datos adjuntos: Amor.bat
Texto:
Sí el texto no expresa lo que sientes devuelvemelo.
Ejemplo 43:
Asunto: thalía desnuda!!!
Datos adjuntos: Thalía-sex.pif
Texto:
Recientemente se publicaron unas fotos de la
cantante thalía totalmente desnuda!, e logrado
sacar unas y aquí te las mando, están comprimidas,
por favor no se las des a nadie son solo para tí!
saludos, bye.
Ejemplo 44:
Asunto: Animación!!
Datos adjuntos: Sexual-positions.bat
Texto:
Lo e hecho yo y me gustaría que le dieras un vistazo
y me dijeras que tal lo vez tú, cuidate,bye.
Ejemplo 45:
Asunto: LatinCards
Datos adjuntos: Lovecard.bat
Texto:
Le han enviado una LatinCard para poder visualizarla
abra el adjuntoGracias.
Ejemplo 46:
Asunto: 5 consejos para conquistar a una chica
Datos adjuntos: Consejos-mujeres.bat
Texto:
Entre estos consejos se encuentran la comunicación
y el respeto, si quieres saber más lee por favor el
archivo.
Ejemplo 47:
Asunto: Fotos de mi chica
Datos adjuntos: Chica-sex.scr
Texto:
Aqui tienes unas fotos de mi chica, dime si te
gustan..
Ejemplo 48:
Asunto: Hackear correos de yahoo, hotmail!!!!
Datos adjuntos: Hotmailhacker.exe
Texto:
Acabo de terminar mi nuevo programa para hackear
cuentas de correo de yahoo, hotmail y latinmail,
recuerda que es solo para tí por favor nose lo des
a nadie mas.
Ejemplo 49:
Asunto: hackear paginas web!!!!
Datos adjuntos: Hackwebs.exe
Texto:
Aquí te envío un programa que hice para hackear
paginas web, no se lo des a nadie que es solo para
tí prometemelo!, chau cuidate.
Ejemplo 50:
Asunto: 5 pasos para hackear hotmail
Datos adjuntos: Hotmailhack.pif
Texto:
Oye te doy un texto para hackear hotmail es solo
para tí, pero no se los des a nadie Prometemelo,
ok?, chau.
Cuando se ejecuta, crea las siguientes copias de si mismo,
una en el directorio raíz, y las demás en la carpeta System
de Windows ("C:\Windows\System" en Windows 9x/ME,
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003):
c:\falckon.vxd
c:\windows\system\amor.bat
c:\windows\system\amores.pif
c:\windows\system\animaciones.pif
c:\windows\system\anti-blaster.exe
c:\windows\system\anti-blasterworm.exe
c:\windows\system\antirundll.exe
c:\windows\system\britney.scr
c:\windows\system\chicas.pif
c:\windows\system\chica-sex.scr
c:\windows\system\confidencial.pif
c:\windows\system\confidential-information.pif
c:\windows\system\consejos-mujeres.bat
c:\windows\system\contraseñas.pif
c:\windows\system\cuentashotmail.pif
c:\windows\system\disfuncion.pif
c:\windows\system\drivers-windows.exe
c:\windows\system\engrupo.pif
c:\windows\system\foto-alemania.pif
c:\windows\system\generatorviruses.exe
c:\windows\system\girlpic.pif
c:\windows\system\hacker-bible.pif
c:\windows\system\hackwebs.exe
c:\windows\system\hotmailhack.pif
c:\windows\system\hotmailhacker.exe
c:\windows\system\juegoconlosmuertos.pif
c:\windows\system\k54403.exe
c:\windows\system\kamasutra.pif
c:\windows\system\lovecard.bat
c:\windows\system\mail.bat
c:\windows\system\mailcrack.bat
c:\windows\system\matrixreloaded.scr
c:\windows\system\muy-interesante.pif
c:\windows\system\newmail.scr
c:\windows\system\nuevovirus.txt.pif
c:\windows\system\orgasmo.pif
c:\windows\system\p2p.pif
c:\windows\system\pareja.pif
c:\windows\system\parejaideal.pif
c:\windows\system\paulina-rubio-cameron-diaz.scr
c:\windows\system\playa_cancun.pif
c:\windows\system\posiciones.exe
c:\windows\system\privacidad.pif
c:\windows\system\q832645.exe
c:\windows\system\readme.pif
c:\windows\system\ruxdll32.exe
c:\windows\system\sexual-positions.bat
c:\windows\system\shakira.scr
c:\windows\system\sharekaza.exe
c:\windows\system\sofíavergara.scr
c:\windows\system\teamo.pif
c:\windows\system\thalía-sex.pif
c:\windows\system\update.exe
c:\windows\system\viruses.pif
c:\windows\system\virus-faq.pif
c:\windows\system\virus-list.pif
c:\windows\system\vulnerabildades.pif
c:\windows\system\www.huevosymashuevos.com
c:\windows\system\www.vsantivirus.com
c:\windows\system\xtreme.pif
Luego crea la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NAV = c:\windows\system\ruxdll32.exe
El gusano también se copia en la carpeta de inicio del
sistema, para ejecutarse en cada reinicio. Las carpetas de
inicio por defecto son las siguientes:
Windows 95, 98 y Me:
C:\WINDOWS\Menú Inicio\Programas\Inicio
C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio
Windows XP y 2000:
C:\Documents and Settings
\[usuario]\Menú Inicio\Programas\Inicio
C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio
Windows NT:
C:\WinNT\Profiles
\[usuario]\Menú Inicio\Programas\Inicio
C:\WinNT\Profiles
\All Users\Menú Inicio\Programas\Inicio
En Windows NT, 2000 y XP, el gusano crea un usuario llamado
GEDZAC y lo agrega al grupo de administradores.
El gusano intenta propagarse por las siguientes aplicaciones
de intercambio de archivos, y también del ICQ:
eDonkey2000
Gnucleus
Grokster
ICQ
KaZaa Lite
KaZaA
KMD
Limewire
Morpheus
Overnet
Rapigator
Tesla
WinMX
XoloX
Para ello, busca los siguientes directorios en la carpeta
"C:\Archivos de programa":
\edonkey2000\incoming\
\gnucleus\downloads\
\Grokster\My Grokster\
\icq\shared files\
\kazaa lite\my shared folders\
\KaZaA\My Shared Folder\
\KMD\My Shared Folder
\limewire\shared\
\morpheus\my shared folder\
\Overnet\Incoming
\Rapigator\Share
\Tesla\Files
\WinMX\My Shared Folder
\XoloX\Downloads
Y se copia allí con diferentes nombres. Básicamente, combina
textos como los siguientes:
ad-aware
adobe acrobat reader (32-bit)
aol instant messenger (aim)
biromsoft webcam
copernic agent
delphi 6
diet kazaa
directdvd
divx video bundle
download accelerator plus
fireworks 4
fireworks mx
global divx layer
grokster
icq lite
icq ro 2003a beta
imesh
jetaudio basic
kasersky antivirus
kazaa download accelerator
kazaa media desktop
matrix movie
mcafee antivirus crack all versions
microsoft internet exlorer
microsoft office xp
microsoft windows 2003
microsoft windows media layer
mcafee antivirus
morpheus
msn hack
nero burning rom
netumer
network cable e adsl speed
norton antivirus
office 2003
panda antivirus
perantivirus
pop-up stoper
quicktime
realone free player
registry mechanic
snagit
sybot - search & destroy
trillian
virtual girl
visual studio net crack all versions
vvisual studio net
winamp
winmx
winrar
winzip
ws_ft le (32-bit)
xolox ultra
zonealarm
Sumándole a cada uno una de las siguientes cadenas:
.exe
crack all versions.exe
cracked.exe
full version.exe
keygen.exe
Ejemplos:
fireworks 4.exe
fireworks 4 crack all versions.exe
fireworks 4 cracked.exe
fireworks 4 full version.exe
fireworks 4 keygen.exe
zonealarm.exe
zonealarm crack all versions.exe
zonealarm cracked.exe
zonealarm full version.exe
zonealarm keygen.exe
Cualquiera de estos archivos que sea descargado por un
usuario de estas redes y luego ejecutado, infectará su
equipo.
Para propagarse por IRC (Internet Relay Chat), el gusano
busca la presencia del archivo de configuración del mIRC,
SCRIPT.INI y lo crea o modifica, para enviarse a todos los
usuarios que compartan los mismos canales de chat con la
víctima infectada con un comando "/dcc send".
El gusano finaliza la ejecución de cualquier de estos
procesos activos, los que pertenecen a conocidos antivirus,
cortafuegos, y herramientas del propio Windows (Regedit,
Msconfig, etc.):
_avp32.exe
_avpcc.exe
_avpm.exe
advxdwin.exe
agentw.exe
alertsvc.exe
alogserv.exe
amon9x.exe
anti-trojan.exe
apvxdwin.exe
atupdater.exe
atwatch.exe
autodown.exe
avconsol.exe
avconsol.exe
avgcc32.exe
avgctrl.exe
avgserv.exe
avgserv9.exe
avkpop.exe
avkserv.exe
avkservice.exe
avsched32.exe
avsynmgr.exe
avwinnt.exe
avxmonitor9x.exe
avxmonitornt.exe
avxquar.exe
avxquar.exe
blackd.exe
blackice.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
etrustcipe.exe
expert.exe
f-agnt95.exe
fameh32.exe
f-prot.exe
f-prot95.exe
fp-win.exe
frw erv.exe
icload95.exe
icloadnt.exe
icsupp95.exe
icsuppnt.exe
iomon98.exe
msblast.exe
msconfig.exe
nav auto-protect.exe
navap.exe
navapsvc.exe
navapw32.exe
navengnavex15.exe
navlu32.exe
navw32.exe
navwnt.exe
ndd32.exe
npssvc.exe
nsched32.exe
nspclean.exe
pcciomon.exe
pccntmon.exe
pccwin97.exe
pccwin98.exe
pcscan.exe
penis32.exe
persfw.exe
perswf.exe
pop3trap.exe
pqremove.exe
regedit.com
regedit.exe
regedt32.exe
sysedit.exe
taskmgr.exe
vptray.exe
vsched.exe
vsecomr.exe
vshwin32.exe
vsmain.exe
vsmon.exe
vsstat.exe
zonealarm.exe
El código del gusano incluye el siguiente texto:
Thx to All my VX Friends specially SlageHammer
VirusBstr Positron VB : Thx for the GhostApp
Component :D Slage : Thx for the 5 msgs to my
worm :D and ur counsels Positron: to ur SMTP
engine 0.9 i study and learn sockets :D Thx to
All Mabel i love u :P Mapson.D Created by
Falckon/GEDZAC THE FINAL VERSION
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Remoción del gusano utilizando "Process Explorer"
Cómo este gusano finaliza la ejecución de varias utilidades
propias de Windows, para quitarlo manualmente es necesario
utilizar herramientas de terceros. Se sugiere la herramienta
de uso gratuito "Process Explorer" (100 Kb), que puede ser
descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta,
copie allí el contenido del archivo .ZIP descargado y ejecute
el archivo PROCEXP.EXE.
Bajo la columna "Process" de la ventana superior de la
utilidad "Process Explorer", localice y "mate" (Kill
Process), el siguiente proceso (o cualquier otro que tenga
alguno de los nombres de los ejecutables del gusano que
aparecen en la descripción anterior):
ruxdll32.exe
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Reinicie su computadora, e ignore los posibles mensajes de
error.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
NAV
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Vuelva a ejecutar un antivirus actualizado y borre todos
los archivos infectados.
6. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Lovsan.F (Blaster). Utiliza "enbiei.exe"
_____________________________________________________________
http://www.vsantivirus.com/lovsan-f.htm
Nombre: W32/Lovsan.F (Blaster)
Tipo: Gusano de Internet
Alias: WORM_MSBLAST.F, W32/Lovsan.worm.f, Worm.Win32.Lovesan,
W32/Msblast.F, W32/Blaster-F, W32/Lovsan.worm.f,
Win32.Poza.F, Win32/Lovsan.F, MSBlast, Exploit-DcomRpc
(variant), W32.Blaster.Worm
Fecha: 1/set/03
Plataforma: Windows 2000, XP, NT
Reportado por: varios
Tamaño: 11,808 bytes (UPX, ASPack)
Esta variante es idéntica a la versión A, salvo en los
siguientes puntos:
1. El nombre del ejecutable:
enbiei.exe
2. La entrada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
www.hidro.4t.com = enbiei.exe
3. Está comprimido dos veces, con las herramientas ASPack y
UPX.
4. Contiene el siguiente texto en rumano, en su código:
Nu datzi la fuckultatea de Hidrotehnica!!!
Pierdetzi timp ul degeaba...Birsan te cheama
pensia!!!Ma pis pe diploma!!!!!!
5. El ataque DDoS (que en las versiones anteriores era al
sitio de actualizaciones de Microsoft), ha sido cambiado a
"tuiasi.ro". Dicho sitio no responde actualmente, y por su
extensión es de origen rumano.
6. Utiliza un mutex (semáforo indicador), llamado MUUIE.
Los demás detalles del gusano son idénticos a la versión A, y
se dan en el siguiente enlace (incluidas las instrucciones
para eliminarlo manualmente):
* Más información:
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Lovgate.P. Versión infectada con W32/Parite.A
_____________________________________________________________
http://www.vsantivirus.com/lovgate-p.htm
Nombre: W32/Lovgate.P
Tipo: Gusano, caballo de Troya e infector de archivos
Alias: Win32/Lovgate.P, W32.HLLW.Lovgate.P@mm, W32/Lovgate-P
Plataforma: Windows NT, 2000 y XP.
Fecha: 1/set/03
Se trata de una versión similar al Lovgate.K (ver
"W32/Lovgate.K. Solo infecta en Windows NT, 2000 y XP",
http://www.vsantivirus.com/lovgate-k.htm). La diferencia es
que ha sido infectada con el virus Parite.A (ver "W32/Parite.
Infector de archivos EXE y SCR y gusano",
http://www.vsantivirus.com/parite.htm), y luego comprimida
con una utilidad de compresión de ejecutables.
La infección con el virus Parite es neutralizada por la
compresión, y dicho virus (W32/Parite), no puede ejecutarse,
mostrando el sistema un mensaje de error del tipo "La
aplicación o DLL [nombre del archivo] no es una imagen válida
de Windows". El mensaje exacto dependerá de la versión de
Windows.
El resto de la descripción de este gusano, y la forma de
eliminarlo manualmente, puede ser examinada en el siguiente
enlace:
W32/Lovgate.K. Solo infecta en Windows NT, 2000 y XP
http://www.vsantivirus.com/lovgate-k.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1152 Año 7, Martes 2 de setiembre de 2003
|
Responder a este mensaje
