TROYANOS Y VIRUS DE IRC:

-Sobre troyanos no vamos a hablar nada aquí, ya que en la sección de downloads de ésta misma página podeis encontrar un amplio documento sobre el tema. (Sí hablaremos de los nuevos troyanos que vayan apareciendo y que no se encuentren reseñados en dicho documento).

Una lista bastante completa de los puertos que utilizan los troyanos la puedes encontrar aquí En cuanto a virus de irc, podeis encontrar una buena información, así como un script para desifectaros del mirc.ini, ambos realizados por nuestro compañero nain, en

 http://www.blackcode.org/fdisc


****Swen o Gibe ****-=Gusano simula ser una actualización de Microsoft=-

Swen o Gibe, nombres con el que ha sido bautizado por las casas antivirus, ha irrumpido con fuerza en las últimas horas. Hispasec lo sitúa en estos momentos como el gusano con mayores índices de propagación. Entre otras vías de infección, destaca los mensajes que envía simulando proceder de un servicio de Microsoft, donde informa al usuario de que debe instalar el ejecutable que adjunta (el gusano) para proteger su sistema contra las últimas amenazas de seguridad.
Swen está desarrollado en Microsoft Visual C++, tiene un tamaño de 105KB, y afecta a los sistemas Windows. Usuarios, profesionales, y entornos que utilicen otros sistemas operativos, como Linux o Mac OS, están fuera de peligro.
Lo primero que destaca de Swen es el cuidado formato del mensaje donde simula un envío de Microsoft, que sin duda está logrando engañar a muchos usuarios. Desde las direcciones de remite, con nombres como MS Technical Assistance o Microsoft Internet Security Section, hasta el cuerpo del mensaje en formato HTML con el mismo aspecto que la página web de Microsoft, incluido logotipos. El texto también aparece muy cuidado y bien formateado, con referencias a las versiones de Internet Explorer y Outlook Express que supuestamente el parche corrige, así como enlaces a direcciones reales de la web de Microsoft.
Es sin duda este aspecto del gusano lo que está logrando engañar a muchos usuarios, que terminan instalando el ejecutable que adjunta al mensaje creyendo que se trata de un parche oficial de Microsoft, provocando en realidad la infección de sus sistemas.
Otras técnicas y vías de propagación
Swen también intenta explotar una vieja y conocida vulnerabilidad de Internet Explorer para lograr ejecutarse de forma automática sin necesidad de que el usuario abra el archivo de forma manual. Esta vulnerabilidad (iframe/mime), que data de marzo del 2001, es la misma que aprovechan gusanos como Klez, y se estima que la mayoría de los usuarios no son vulnerables a la misma. De forma que el "éxito" alcanzado por Swen debe achacarse más a los engaños que está provocando su forma de presentarse que a motivos puramente técnicos o de vulnerabilidades concretas.
Otras vías de propagación utilizadas por Swen son el IRC, las redes P2P, los grupos de noticias, y los recursos compartidos.
En el caso del IRC, el gusano modifica el archivo script.ini en los sistemas que cuenten con el popular cliente mIRC. Esta modificación provocará que el usuario infectado envíe automáticamente una copia del gusano a otros usuarios que se encuentren en el mismo canal de IRC a través de DCC.
En cuanto a las redes P2P, Swen intenta localizar en los sistemas la carpeta de archivos compartidos del programa KaZaa (cliente P2P), y realiza varias copias del gusano con distintos nombres simulando ser utilidades, programas de hacking, salvapantallas, etc. Estos archivos, además de los que crea en la carpeta temporal de Windows, pasarán a estar compartidos en la red P2P, y cualquier usuario de la misma puede descargar el gusano creyendo que se trata de un programa legítimo.
La propagación a través de las redes locales la realiza copiándose en las carpeta de inicio de todas las unidades de red mapeadas. El código del gusano también incluye un listado de servidores de news a los que se envía.
Por último, tampoco debemos olvidar que además de los mensajes en los que simula ser una actualización de Microsoft, Swen también se presenta de otras formas por e-mail. Por ejemplo, finge ser un mensaje rechazado por el servidor de correo, tipo:
Remite: Email Delivery Service
Asunto: Returned Response
Cuerpo: Undeliverable mail to [dirección de correo]

Instalación en el sistema
Una vez que se ejecuta el gusano, Swen sigue con sus técnicas de engaño, o Ingenieria Social, y simula la aplicación del parche. Despliega una ventana bajo el título Microsoft Internet Update Pack, pregunta al usuario si desea continuar con la instalación, y a continuación muestra una barra de progresión y aparenta la actualización de diferentes componentes del sistema.
Debajo de toda estas ventanas, de apariencia legítima, el gusano va ejecutando su código malicioso. En primer lugar se copia en la carpeta de Windows con un nombre al azar, y añade una entrada en el registro de Windows para ejecutarse cada vez que se inicie el sistema (en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run).
Modifica también diversas entradas en el registro de Windows para provocar que el gusano se ejecute en primer lugar cada vez que el usuario intenta ejecutar un archivo con extensión .EXE, .REG, .SCR, .COM, .BAT o .PIF.
Además previene el uso de REGEDIT, en lo que parece un intento de dificultar que el usuario pueda editar el registro para limpiar las modificaciones realizadas por el gusano. Esto lo consigue con la siguiente entrada:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System "DisableRegistryTools" = 01 00 00 00
Para propagarse por e-mail a otros usuarios, el gusano busca direcciones de correo a las que enviarse en los archivos con extensión HT*, .ASP, .EML, .WAB, .DBX y .MBX.
De forma periódica presenta al usuario una ventana que simula ser un error de MAPI32, donde informa al usuario que algunos datos han sido dañados y necesita restaurarlos para poder reconfigurar su cuenta de correo para recibir y enviar mensajes. De nuevo el gusano hace gala de una interfaz muy cuidada, donde solicita entre otros datos la dirección de correo del usuario, nombre de usuario, contraseña y servidores smtp y pop3.
Swen también intenta desactivar todas las protecciones con las que cuente el sistema. Para ello contiene en su código un amplio listado de nombres de procesos que finalizará si encuentra en memoria, la mayoría correspondiente a antivirus, firewalls y otras utilidades de seguridad.
El creador de este gusano también ha querido llevar una estadística del número de sistemas que consigue infectar. Para ello Swen, la primera vez que se ejecuta en un sistema, envía una petición HTTP a un servidor web donde mantiene un contador de visitas.
Más información en las siguientes direcciones:

http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=158

http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=50601

http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=40743

http://vil.nai.com/vil/content/v_100662.htm

http://www.sophos.com/virusinfo/analyses/w32gibef.html

http://www.sarc.com/avcenter/venc/data/w32.swen.a@mm.html

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A

http://www.vsantivirus.com/swen-a.htm

-¿Cómo evitarlo?

No aceptando DCC en el IRC, no se ejecutando nunca archivos adjuntos en el correo y, en el caso concreto de Microsoft, que sepamos que nunca distribuye actualizaciones o parches por e-mail.
Si ya lo has pillado, tienes herramientas de desinfección gratuita en

http://www.alerta-antivirus.es/virus/ver_pag.html?tema=V&articulo=9&pagina=0


**** VBS_GAGGLE.B **** -= Hago Spam por query en #santiago-del-estero y no me entero xD=-

Es un virus escrito en Visual Basic que llega por email con cualquiera de las siguientes caracteristicas:
Con el asunto:"Su computadora es un Zombi?"
Con el mensaje:"Debido al reciente ataque a los servidores raiz DNS de la red,... , afectadas por un RAT (Troyano de Acceso Remoto),..., en la pagina adjunta. www.gratisweb.com/**/gaghiel.html"
Con el adjunto: "PcZombi.html"
o
Con el asunto: "VirtualLetter"
Con el mensaje: "Una targeta virtual le ha sido enviada desde esta direccion de correo. los datos del remitente de la targeta y donde verla, en la pagina adjunta,..., email enviado sin acentos www.gratisweb.com/**/gaghiel.html"

Con el adjunto: "VirtualLetter.html"
o
Con el asunto: "Te envio la info que me pediste"
Con el mensaje: "Hola, se me perdio el papel q' me diste con tu mail, ojala no me haya equivocado al escribirla. Te envio la info q' me pediste,..., Adios www.gratisweb.com/**/gaghiel.html"
Con el adjunto: "InformacionCuentas.html"
o
Con el asunto: "Windows y Osama Ben Laden"
Con el mensaje: "Debido a las recientes declaraciones de un mienbro de Al-Qaida(Red de Ben Laden),...,Microsoft a negado esto,..., en la pagina adjunta www.gratisweb.com/**/gaghiel.html"
o
Con el adjunto: "RAT seguridad.html"
Usa MAPI (Messaging Application Programming Interface) para enviarse masivamente por mail a toda la libreta de contactos y emails dentro de los siguentes archivos: HTML, HTM, HTA, PHP, ASP, SHTML, SHTM, PHTM, PHTML, HTW, PLG, SFC.
También se propaga vía mIRC.
En el IRC se propaga por medio de DCC como alguno de los siguientes archivos:
Patty.html
Adivinanza.htm
HackearWebs.htm
CitasEnLaRed.htm
Gaghiel.htm
La persona infectada envía, además, un privado a los que entran o salen del canal con alguno de los siguientes asuntos:
Videos, mp3, libros y demas recursos gratis en http://www.grat web.com/machinedramon/gaghiel.html
Estas Aburrido? Entonces visita http://www.grat web.com/machinedramon/gaghiel.html ,la pagina con el mejor entretenimiento
Quieres saber como Hackear una Web, esto y todo sobre el Hacking, Cracking y Virii en http://www.grat web.com/machinedramon/gaghiel.html
Solo o Sola? Encuentra a alguien con quien hablar o algo más, entra al Chat de http://www.grat web.com/machinedramon/gaghiel.html
Quieres saber sobre fantasmas, vampiros y demonios o simplemente asustarte un rato, entonces visita http://www.grat web.com/machinedramon1/gaghiel.html Una vez infectado muestra el cartel: "Gaghiel Oracion antes de entrar al internet: Satelite nuestro que estas en el cielo, Acelerado sea tu link,Venga a nosotros tu hipertexto,Hagase tu conexion en lo real como en lo virtual,Danos hoy el download de cada dia, Perdona el cafe en el Teclado,Asi como nosotros perdonamos a nuestros proveedores, No nos dejes caer la conexion, Y libranos de todo Virus,En nombre del Server, del Modem y del santo User-name.Log-in."

y borra todos los archivos de todos los discos duros.

-¿Cómo evitarlo?

Como siempre, las medidas de precaución mínimas. No aceptar DCC, Evitar abrir páginas web que nos proponga un "spammer" por privado; si es un amigo nuestro le preguntaremos que página es esa, y si nuestro amigo insiste en que no nos ha puesto ninguna web en un privado, evitaremos abrirla y le advetiremos de que tiene un virus. Si al visitar una página web nuestro navegador nos advierte de un posible código malicioso, lo mejor es hacerle caso xD
Si ya lo hemos "pillado", las medidas a adoptar son las siguientes: Ejecutar Regedit.exe
Buscar la clave HKEY_LOCAL_MACHINE>Software> Microsoft>Windows>CurrentVersion
Borrar la clave a su derecha: "Run Domain Manager"
HKEY_LOCAL_MACHINE>Software> Microsoft>Windows>CurrentVersion>Run
Borrar la clave a su derecha: "Gaghiel"
HKEY_CURRENT_USER>Software
Borrar la clave a su derecha: "Gedzac Labs"
Actualizar el antivirus, reiniciar y escanear el pc.
Puedes escaanear y limpiar tu pc con un buen antivirus on-line actualizado en la página:

 http://housecall.antivirus.com/housecall/start_pcc.asp

o con el antivirus on-line que encontrarás más abajo, en ésta misma página por gentileza de Pandasoftware


P ALIGN=LEFT STYLE="font-weight: medium; text-decoration: none">Encontrarás una información muy detallada sobre éste virus en

 http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2044


**** mIRC/Lirva**** -= Gusano =-

-mIRC/Lirva es un gusano peligroso porque:
* Se propaga rápidamente por diversas vías: correo electrónico, el programa de intercambio de ficheros por Internet KaZaA y las aplicaciones de chat: IRC e ICQ.
* Paraliza el funcionamiento de programas antivirus, entre otros, en los ordenadores afectados, ya que finaliza numerosos procesos.
* Busca contraseñas en los ordenadores infectados y las envía por correo electrónico.
Cuando la infección del equipo se realiza a través del correo electrónico, resulta muy fácil infectarse con mIRC/Lirva, ya que se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook.
Para conseguirlo, aprovecha una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los ficheros de los mensajes de correo.

Síntomas Visibles
mIRC/Lirva resulta sencillo de reconocer, puesto que los días 7, 11 y 24 de cada mes abre el navegador de Internet conectándose a la página http://www.avril-lavigne.com.
A continuación aparecen en pantalla una serie de elipses superpuestas que van variando de color y un texto en la esquina superior izquierda de la pantalla que muestra el siguiente mensaje:
* "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg".

-¿Cómo evitarlo?

-La mejor medida preventiva para evitar infectarnos por coreo electrónico es desactivar la vista previa del outlook express

Informción obtenida de la página http://www.pandasoftware.com


**** Gigger **** -= Gusano en javascript =-

-Un nuevo gusano, escrito en JavaScript, está empezando a circular. Se distribuye mediante Microsoft Outlook y mIRC, con un comportamiento especialmente agresivo.

-El gusano se distribuye mediante un mensaje con el siguiente aspecto:

Tema: "Outlook Express Update"

Texto del mensaje: MSNSofware Co.

Archivo asociado: Mmsn_offline.htm

-Este mensaje induce a pensar al receptor acerca de la posible existencia de una actualización del programa de correo Outlook. Si el usuario abre el archivo saciado, el gusano entra en acción.

-¿Qué hace?

-En primer lugar crea cuatro archivos en el sistema infectado:

* C:\Bla.hta * C:\B.htm * C:\Windows\Samples\Wsh\Charts.js * C:\Windows\Help\Mmsm_offline.htm

-A continuación, añade la siguiente línea al archivo AUTOEXEC.BAT

ECHO y|format c:

-Esta línea puede llegar a provocar, si el sistema operativo está en lengua inglesa, que al reiniciar la máquina se proceda a formatear la unidad de disco duro C:.

-Para intentar su propagación mediante mIRC, crea un archivo SCRIPT.INI, que contiene el código del gusano. Este código es autoenviado a cada usuario que se conecta al mismo canal donde esté conectado el usuario infectado con el virus.

-También añade en el registro del sistema las siguientes entradas:

* HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting

Host\Settings\Timeout

* HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0

-También añade a la entrada

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

el valor

NAV DefAlert %Windows%\SAMPLES\WSH\Chart.vbs.

(si la entrada NAV DefAlert ya existe, por tener instalado el equipo el Norton Antivirus, modifica su valor por el que se indica arriba).

-Realizadas estas modificaciones, determina todas las unidades de disco (locales o de red) del sistema y se copia él mismo en cada unidad como

\Windows\Start Menu\Programs\StartUp\Msoe.hta

-También localiza todos los archivos del tipo .HTM, .HTML y .ASP y añade el código del virus dentro de los mismos.

-Por último, empieza a borrar todos los archivos existentes en la unidad de disco local.

-¿Cómo evitarlo?

-La mejor medida para evitar infectarnos con éste o cualquier otro virus que se transmita por DCC es, en primer lugar, asegurarnos de que en nuestro script o cliente de irc no tenemos activada la opción “autoget DCC” o aceptar automáticamente los DCC que nos envíen. (Esto lo podemos comprobar en el mirC, en DCC- opciones) y no aceptar ningún envío de desconocidos, ni siquiera de amigos sin preguntar previamente si nos han enviado algo. En caso de que nuestro amigo nos diga que no, que él no nos ha mandado nada, no debemos aceptar el envío, y debemos prevenirle de que está infectado con un virus que se autoenvía a todas las personas del canal dónde él está, a fin de que se desconecte del irc y desinfecte su equipo antes de volver a conectarse, pues algún usuario podría aceptar el fichero e infectarse a su vez.


**** Sulfnbk.exe **** -= Un virus que no es tal virus =-

-¿Qué es sulfnbk.exe?

-sulfnbk.exe es una utilidad distribuida con Windows, que permite salvar y restaurar los nombres largos de los archivos si han sido reemplazados por el formato corto compatible con MS-DOS (8.3)

-Por lo tanto, si alguien nos dice que se trata de un virus, que lo busquemos en nuestro sitema y lo borremos NO DEBEMOS HACERLO.

-Ya lo he borrado :( ¿Cómo lo recupero?

-Localizar el archivo Precopy1.cab en el CD de Windows 98 CD en el directorio Win98. Mediante alguna utilidad como Winzip abrir dicho archivo para localizar en su interior el ejecutable Sulfnbk.exe y extraerlo para copiarlo a su directorio original (C:\Windows\Command).

-También se puede extraer el archivo de la polémica con la utilidad Extract del sistema operativo, mediante la instrucción

EXTRACT /Y /L c:\windows\command PRECOPY1.CAB SULFNBK.EXE


**** LIFE_STAGES.Txt.shs **** -= Un virus más viejo que el catarro =-

-Aunque se trata de un virus que lleva ya años pululando por diversas redes y servidores de IRC, aún hay gente que se infecta con éste gusano, que aparece camuflado con la extensión .txt (la shs permanece oculta). Se trata de un típico worm o gusano que se autoenvía por DCC a todas las personas que entran o salen del canal donde se encuentra el afectado.

-¿Cómo evitarlo?

-Como cualquier virus que se transmite por DCC (ver los consejos descritos para el Gigger).

-Si ya estamos infectados debemos ir a la página

http://hey.to/remedy

y descargarnos el fixlife y ejecutarlo para desinfectarnos.



**** netol.scr **** -= Un falso salvapantallas =-

-Se trata de otro gusano que, disfrazado de salvapantallas, se autoenvía por DCC.

-¿Cómo evitarlo?

-Como cualquier virus que se transmite por DCC (ver los consejos descritos para el Gigger).

-Si ya estamos infectados debemos ir a la página

http://antinetol.cjb.net

bajarnos el archivo y ejecutarlo para desinfectarnos.


Volver