Lista de virus noscivos para tu PC

 

Ultimos virus

El virus Sasser infecta millones de ordenadores en todo el Mundo
Un nuevo gusano informático, bautizado como "Sasser", ha afectado a miles de ordenadores durante el fin de semana, y tras haber sido detectado ha mutado en una nueva variante cuya peligrosidad es de momento baja aunque las empresas del sector auguran que aumentará a partir de este lunes

 

1. ¿Cómo saber si mi PC está infectado?

El síntoma típico es que el sistema se reinicia cada pocos minutos sin ninguna acción del usuario.
En Windows XP, puede mostrarse una ventana con un mensaje muy similar al siguiente:
LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 aparece una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster o Lovsan:
Apagar el sistema
Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. 

Se perderá cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT AUTORITHY\SYSTEM

Tiempo restante para el apagado: xx:xx:xx

Mensaje
El proceso del sistema C:\WINNT\system32\lsass.exe terminó de forma inesperada indicando código 0 Windows

debe reiniciar ahora.
Además, en la mayoría de los sistemas infectados, el rendimiento del mismo se degrada notoriamente, debido a 

que el gusano lanza 128 tareas simultáneas.

 

2. ¿Qué daño puede causar Sasser a mi PC?

Este gusano no provoca ningún daño a los archivos locales de las computadoras infectadas, tampoco borra o 

cambia datos en las mismas.
Sasser afecta el servicio de Internet debido principalmente al excesivo tráfico que genera durante su intento de infección. Como resultado, los canales de transmisión pueden saturarse y el servicio de Internet será lento e intermitente.
Sin embargo, al utilizar un acceso shell y dejar abierto un servidor FTP en la máquina infectada, las posibilidades de que herramientas creadas por piratas informáticos puedan provocar daños impredecibles al sistema infectado son muy grandes.

 

3. ¿Cuáles versiones de Windows son vulnerables al ataque?

Las siguientes versiones de Windows son vulnerables al ataque del Sasser:
Windows 2000 SP2, SP3 y SP4 Windows XP y Microsoft Windows XP Service Pack 1 

Windows XP 64-Bit Edition Service Pack 1
Windows XP 64-Bit Edition Version 2003 

No son vulnerables:
Windows NT Workstation 4.0 Service Pack 6a Windows NT Server 4.0 Service Pack 6a 

Windows NT Server 4.0 Terminal Server Edition SP6 Windows Server 2003 Windows Server 2003 64-Bit Edition 

Windows 95, 98, 98 SE y Me

 

4. ¿Cómo puedo proteger mi computadora de éste gusano?

Usted debe seguir los siguientes pasos para minimizar el riesgo de infección con el Sasser:
a. Actualizar su programa antivirus y no desactivarlo mientras este conectado a Internet.
b. Instalar un cortafuegos personal y bloquear los puertos 445, 5554 y 9996 (cortafuegos como ZoneAlarm y otros, bloquean estos puertos sin necesidad de que usted lo deba indicar, si lo instala como se explica en nuestras 

páginas http://www.vsantivirus.com/za.htm).
c. Descargar y aplicar los parches recomendados por Microsoft para eliminar la vulnerabilidad LSASS.
Recuerde que la descarga y aplicación de los parches de Microsoft son importantes ya que estos evitarán que su computadora sea atacada mediante la vulnerabilidad LSASS.
Ante cualquier duda contáctenos online vía MSN a contactonet2003@hotmail.com

 

5. ¿Que es un cortafuegos y donde puedo obtenerlo?

Un cortafuegos es un programa especial que lo protege contra intrusos controlando la transferencia de datos entre Internet y su computadora. Un cortafuegos filtra programas y paquetes maliciosos. Además previene la conexión 

de aplicaciones del área protegida hacia Internet.

Para usuarios caseros recomendamos:
Cortafuegos gratuitos para uso personal:
ZoneAlarm http://www.vsantivirus.com/za.htm
Outpost Firewall http://www.protegerse.com/outpost/
Kerio Personal Firewall http://www.beeeeee.net/nautopia/kerio3.htm
En Windows XP, puede utilizar el cortafuegos integrado: Internet Connection Firewall (ICF)
Para activar ICF en Windows XP, siga estos pasos:
a. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.
b. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.
c. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".
d. Seleccione Aceptar, etc.
Cortafuegos de pago:
Kaspersky Anti-Hacker http://www.kaspersky.com/buyonline.html?chapter=964564
McAfee http://us.mcafee.com/root/offer/default.asp?id=4705&affid=0&cid=&lpname=offer%5F470%2Easp
Symantec http://www.symantec.com/sabu/nis/npf/
ZoneAlarm Pro http://www.zonelabs.com/store/content/catalog/products/zap/zap_details.jsp
Tiny Personal Firewall http://www.tinysoftware.com/home/tiny2?la=EN
Outpost Firewall http://www.protegerse.com/outpost/
Kerio Personal Firewall http://www.kerio.com/us/kpf_download.html
BlackICE PC Protection http://blackice.iss.net/product_pc_protection.php
Ante cualquier duda contáctenos online vía MSN a contactonet2003@hotmail.com

 

6. ¿Cómo instalo los parches de Windows?

Los parches MS04-011, pueden ser descargados de los siguientes enlaces:
Microsoft Windows 2000 SP2, SP3 y SP4
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=es

Microsoft Windows XP and Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es
Solo necesita descargarlos y ejecutarlos en su equipo desconectado de Internet. Un asistente lo guiará durante el proceso de instalación.
Ante cualquier duda contáctenos online vía MSN a contactonet2003@hotmail.com

 

7. No puedo descargar los parches de Microsoft porque mi computadora se reinicia constantemente.

En caso de que su computadora se reinicie en forma continua, lo mas probable es que esté infectada por el gusano Sasser. En ese caso aplique el proceso para borrar manualmente el gusano como se indica en las siguientes descripciones:
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm

W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm

Luego active al menos el cortafuegos integrado (en el caso del XP), antes de conectarse para descargar los parches mencionados.
Ante cualquier duda contáctenos online vía MSN a contactonet2003@hotmail.com

 

8. ¿Qué hago si mi computadora ya está infectada por el gusano Sasser?

En este caso usted debe verificar que su antivirus esté actualizado y ejecutar un escaneo completo a todos sus discos.
Ante cualquier duda contáctenos online vía MSN a contactonet2003@hotmail.com

 

9. Ya quité el gusano Sasser pero mi computadora se vuelve a infectar.

Los procedimientos de limpieza, sirven justamente para eso, "limpian" o remueven el gusano del equipo infectado, pero no lo protegen de ataques posteriores. Usted deberá aplicar los parches de Microsoft, y seguir las recomendaciones ya explicadas (antivirus al día, cortafuegos, etc.).
Ante cualquier duda contáctenos online vía MSN a contactonet2003@hotmail.com

10. ¿Porqué si he quitado el gusano, aún me piden que debo formatear mi equipo?

Este gusano crea un shell (una consola de comandos), que puede permitir el ingreso de casi cualquier tipo de instrucción que comprometa a nuestro sistema. También abre un servidor FTP que permite el acceso a cualquier archivo. Y no hay nada que nos asegure que por borrar al Sasser de nuestro sistema, nos libraremos de la posibilidad de que alguien haya dejado otro regalo en nuestra computadora.
Por otra parte, no hay forma de saber cuántas modificaciones del exploit del que se vale el gusano (en realidad utiliza dos), están dando vueltas por Internet, y cuantas formas maliciosas pueden llegar a crearse a partir de los mismos.
Por ello, detectar una infección con el gusano Sasser, ameritaría no solo la limpieza del sistema infectado, sino la completa reinstalación del mismo (y posterior actualización de los parches e instalación o activación de un cortafuegos), como única forma de asegurarnos contra las posibles consecuencias.
La infección con el Sasser debe ser tomada como una señal de alarma. Si ocurre, hay que seguir estos pasos:
a. Borrar el gusano como se indicó antes.
b. Respaldar la información importante (no los programas)
c. Formatear nuestros discos para asegurarnos de que el sistema está limpio realmente, y reinstalar el sistema operativo y todos los programas.
d. MUY IMPORTANTE: instalar el parche correspondiente, y activar un cortafuegos, además de mantener al día nuestros antivirus.

Nombre completo: Worm.W32/Netsky.D@MM Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.

Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003

Mecanismo principal de difusión: [MM] - Enviador masivo de correos

Tamaño (bytes): 17424 Alias:W32.Netsky.D@mm (Symantec), Win32.Netsky.D@mm (Bit Defender), Win32/Netsky.D (Enciclopedia Virus (Ontinent)), WORM_NETSKY.D (Trend Micro), W32/Netsky.d@MM (McAfee), W32/Netsky-D (Sophos), I-Worm.NetSky.d (Kaspersky (viruslist.com)), W32/Netsky.D.worm (Panda Software), Win32.Netsky.D (Computer Associates), W32/Netsky.d.eml!exe (Otros), W32/Netsky.d@MM (Sybari)

Para encontrar direcciones de correo a las que el gusano pueda enviarse a sí mismo, escanea los siguientes tipos de ficheros en todas las carpetas del sistema:

.dhtm - .cgi - .shtm - .msg - .oft - .sht - .dbx - .tbb - .adb - .doc - .wab - .asp - .uin - .rtf- .vbs - .html .htm .pl .php .txt  .eml

Usa su propio motor SMTP para enviarse a todas las direcciones encontradas de esta manera.

El correo que envía tiene las siguientes características: Asunto (uno de los siguientes)

Re: Your website Re: Your product Re: Your letter Re: Your archive Re: Your text Re: Your bill Re: Your details Re: My details Re: Word file  Re: Excel file Re: Details  Re: Approved  Re: Your software  Re: Your music Re: Here Re: Re: Re: Your document  Re: Hello  Re: Hi  Re: Re: Message Re: Your picture Re: Here is the document Re: Your document Re: Thanks! Re: Re: Thanks! Re: Re: Document Re: Document

Cuerpo del mensaje:(uno de los siguientes)

Your file is attached. Please read the attached file. Please have a look at the attached file. See the attached file for details. Here is the file. Your document is attached.

Adjunto: (uno de los siguientes)

your_website.pif  your_product.pif your_letter.pif your_archive.pif your_text.pif your_bill.pif your_details.pif document_word.pif document_excel.pif my_details.pif  all_document.pif application.pif mp3music.pif yours.pif 

document_4351.pif your_file.pif  message_details.pif  your_picture.pif document_full.pif message_part2.pif document.pif your_document.pif

Un nuevo virus, detectado por empresas de seguridad de correo electrónico, se está propagando hoy a gran velocidad por Internet, alcanzando incluso a usuarios en la Argentina. Se lo conoce como MyDoom o Norvag y se reproduce mediante un mensaje adjunto a un email, el cual, una vez abierto, se autoenvía a todas las direcciones que el usuario tiene en su libreta de contactos. Los mensajes pueden tener distintos títulos, como por ejemplo "Mail Transaction Failed", "Test" , "Error", "Hi", "Server Report" o "Hello".

El cuerpo de los mails, por su parte, tiene un texto adjunto con la leyenda "El mensaje contiene caracteres unicode y ha sido enviado como adjunto binario" ("The message contains Unicode characters and has been sent as a binary attachment", en la versión inglesa).

El virus se expande rápidamente porque hace creer a los usuarios que el archivo adjunto es simplemente un mensaje que no pudo ser entregado. Pero cuando se abre, inmediatamente infecta la computadora.

"Los textos están muy bien pensados, esa es probablemente la razón de que se propague con más rapidez que otros virus del mismo tipo porque se parece a un verdadero mensaje de error de los que se reciben luego de enviar un mail a una dirección desconocida o incorrecta", describió Francois Saget, un investigador de Network Associates. 

Descargue la herramienta de limpieza desde aqui

Conocido como "Bagle" o "Beagle", el gusano se difunde a través de un mensaje que lleva por título "Hi" y cuyo texto incluye únicamente "test :)".

Cuando una persona hace clic en el archivo adjunto a ese mensaje, el gusano se auto-envía a las direcciones de correo electrónico que encuentra en la computadora utilizando una dirección de remite falsa, seleccionada al azar entre la lista de direcciones de la máquina infectada. Al imitar una dirección de correo que resulta familiar al receptor, los expertos dicen que la persona que lo recibe tiende a confiar en el contenido.

"Desafortunadamente, hay muchos usuarios de computadoras que hacen clic en todos los correos que reciben", señaló Chris Belthoff, analista de seguridad de la empresa de seguridad informática Sophos.

El gusano "Bagle" está programado para expirar el 28 de enero, lo que, según expertos de seguridad, podría ser un signo de que el creador lo está usando como prueba antes de enviar variantes más sofisticadas en un futuro.

Mikko Hypponen, director del departamento de investigación anti-virus de la empresa F-Secure, dijo que las compañías y los usuarios privados son más susceptibles a "Bagle", ya que las grandes firmas probablemente utilicen filtros más eficaces.

"Bagle" también trata de descargar un programa desconocido desde unos 30 sitios de Internet, la mayoría de ellos ubicados en Alemania y Rusia, señaló Hypponen.

Por su parte, Mark Sunner, máximo responsable técnico de MessageLabs, dijo que, hasta el domingo, "Bagle" había hecho aparición en más de 130 países hasta el domingo.

"Bagle" fue descubierto por primera vez en Internet el 18 de enero, señaló Sunner, pero debido a su básica naturaleza, los expertos en seguridad pensaron en un principio que no se propagaría muy rápidamente. Por el contrario, "Bagle" se compara ahora con "SoBig", no tanto por su capacidad de destrucción, sino por su rápida movilidad y fecha de caducidad, así como por su posible vinculación con los "spammers" o aquellos que envían correo basura.

Si alguien cree que su computadora podría estar infectada con "Bagle", los expertos recomiendan pasar un programa antivirus y actualizar el software de seguridad que se tenga instalado.

 

Otros Virus que salieron

Idealbot nocivo troyano/backdoor termina procesos de actualización de antivirus descarga troyano roba contraseñas, etc. 15/01/04

Agobot.FQ nocivo gusano/troyano/backdoor aprovecha vulnerabilidades RPC roba información del sistema claves de software, etc. 13/01/04

Agobot.FD destructivo gusano/troyano/backdoor aprovecha vulnerabilidades RPC ocasiona múltiples estragos 09/01/04

Mimail.P gusano de Correo simula contener ofertas de PayPal roba información de tarjetas de crédito y del sistema, etc. 08/01/04

Bugbros gusano de Correo usa técnica Spoofing simula ser enviado por Soporte de Microsoft con una supuesta actualización 06/01/04

Randex.X destructivo troyano/backdoor infecta redes con recursos compartidos roba información a través de Correo y Chat controla remotamente sistemas 02/01/04

CBH nocivo troyano/backdoor captura las teclas digitadas y envía la información al hacker a través de puertos TCP no asignados 29/12/03

BookMarker troyano simula ser ejecutable de "plug-ins" para visualizar algunas páginas web crea accesos a páginas pornográficas 22/12/03

Gluber gusano de Correo masivo con contenido político usa Spoofing y vulnerabilidad iFrame infecta con solo visualizar el mensaje 19/12/03

Sober.B gusano de Correo extrae direcciones de una diversidad de extensiones usa 2 archivos residentes en memoria que se auto-regeneran 19/12/03

Cayam gusano de Correo y P2P simula ser enviado por el popular portal de ventas en línea eBay conmina e llenar datos roba información de tarjetas de crédito 17/12/03

UprootKit destructivo troyano/backdoor controla remotamente sistemas causa diversos estragos evade la acción de los firewalls 16/12/03

Randex.BD destructivo troyano/backdoor ingresa vía el IRC a sistemas compartidos con contraseñas débiles 10/12/03

Mas info www.perantivirus.com

 

El tristemente celebre Sobig.F ya es el virus del año. En pocos días infectó a miles y miles de computadoras en todo el mundo. Sólo en la Argentina se metió en más de 70 mil sistemas. Y junto con sus primos Blaster y Nachi.A puso en jake a la Internet criolla. 

A diferencia de estos dos últimos que pueden ingresar a una PC por la Web, Sobig.F se mete solamente por el programa de correo electrónico. 

Asunto: Cualquiera de los siguientes: Re: Thank you!  - Thank you! - Re: Details - Re: Re: My details - Re: Approved - Re: Your application - Re: Wicked screensaver - Re: That movie

Cuerpo del Mensaje: Alguno de los siguientes: 

See the attached file for details.

Please see the attached file for details.

Archivo Adjunto: Alguno de la siguiente lista: your_document.pif - document_all.pif - thank_you.pif - your_details.pif  - details.pif - document_9446.pif - application.pif - wicked_scr.scr - movie0045.pif 

El problema mayor es que sus golpes son poco convencionales. No pega donde más duele. Parece ser que su objetivo principal no es dañar archivos. Hasta ahora, lo único que logró Sobig.F es saturar el sistema de correo electrónico. Aunque muchos especialistas sospechan que fue diseñado para que las PC infectadas comiencen a enviar automáticamente e-mails de publicidad, o sea, spam.

Cuando una persona se infecta, de inmediato y sin saberlo, le manda el virus a sus contactos de la libreta de direcciones de su programa de correo. Si sus contactos se infectan, comienzan a reenviarlo. Así, en pocos minutos, la plaga se expande y se satura el sistema de correo.

Por suerte, en Internet hay dos tipos de herramientas gratis que ayudan a solucionar tamaño problema. Una de ellas sorprende y detiene a Sobig.F antes de su ingreso al sistema. Se llama Sobig Virus Stopper y se encarga de bloquear los e-mail portadores de este gusano directamente desde el servidor. La idea es que no lleguen a ser descargados a la máquina y así evitar la propagación del virus y el con sumo innecesario del ancho de banda.

Kelar.A y Kelar.B, y la versión E del famoso Blaster. Estos códigos maliciosos se unen a la creciente lista de virus que hacen uso de la vulnerabilidad descubierta en algunas versiones de Windows, y que ha sido denominada como RPC DCOM.

Las variantes A y B de Kelar son muy similares y están diseñadas para introducirse en los equipos -aprovechando la mencionada vulnerabilidad- a través del puerto 135. Una vez en la PC, descargan una herramienta de hacking llamada HackTool/NTRootKit que permite ganar privilegios de administrador en la máquina afectada. De esta manera, puede ocultar procesos, capturar pulsaciones del teclado, ejecutar ficheros o bloquear la computadora. Además, Kelar.A y B se conectan a varios servidores de IRC desde los que envía información sobre la máquina afectada al creador del gusano.

Por su parte, la variante E del gusano Blaster también aprovecha la vulnerabilidad RPC DCOM. Se trata de un gusano muy similar a sus predecesores. Se distingue de ellos en aspectos tales como el nombre del archivo que genera en el equipo afectado que, en este caso, es MSLAUGH.EXE. Blaster.E está diseñado para realizar un ataque de denegación de servicio (DoS) al sitio web kimble.org, siempre que la fecha del sistema se encuentre entre los días 16 de agosto y 31 de diciembre de 2003.

 

 

CONCEPTOS

Presentación
Historia de los Virus
Hackers, crackers...
Técnicas de Virus
Infector Rápido
Infector Lento
Modo Companion
Estrategia Parse
Estilo Blindado
Técnica Stealth
Virus Polimórficos
Función Tunneling
Virus Anexados
Macro Virus
Virus en VBS
Virus en Java
Virus en Vbs
Virus en SHS
Gusanos
Caballo de Troya
Envío Masivo
ANSI Bombs
Mail Bombers
Virus Hoaxes?
Cookies son Virus?
Spyware y Adware
Virus en P2P
Troyan/Backdoor

 

PREGUNTA FRECUENTES

Qué es un Virus?
Qué daños ocasionan?
Quiénes crean los Virus?
Clasificación de Virus
Síntomas de infección
Cómo contagian los Virus?
Normas preventivas?
Diskette de Emergencia?
Qué es el Boot Sector?
Tabla de Particiones?
Master Boot Record?
Método Heurístico?
Falso Positivo y Negativo?
Qué es un Antivirus?
Necesito actualizarlo?
Es fácil crear un Virus?
Cuánto Virus existen?
Qué es el Payload?
Qué es el Portable Ejecutable?
Puedo ser identificado en la Red?
Puedo navegar anónimamente?
Cómo puedo protegerme?
Conflagración bélica en Internet?
Es fácil sabotear en Internet?
Lo bueno y lo malo del E-mail?
Remover virus en Windows Me?  

Boletines y Actualizaciones?

VIRUS FAMOSOS

BouncingBall
Stoned
Brain
Vienna
Jerusalem
Dark Avenger
CIH/Chernobyl
Michelangelo
Melissa y Papa
ExploreZip
Back Orifice
Happy 99
Fix2001
Bubble Boy
Prilissa
Love Letter
Stages.SHS
NotePad
Stream
MTX
Navidad
Hybris
IceCubes
Creative/Prolin
XTC/Backdoor
Hybris.CD

AVP Enciclopedia

F-Secure Info

Symantec On Line

Virus Bulletin

Sophos Virus Info

Trend Micro Vinfo

www.e-portalsur.com.ar

Edgardo Luis Rebechi (h) Derechos Reservados