Información de Virus

Para volver a la página inicial de "Información sobre Virus", haga clic
AQUÍ

Exception.gen

El Virus de la Semana: Exception.gen
Los Virus más difundidos.
Cadenas de Solidaridad Reale

El virus de la semana

    Exception es un Java Script que permite a un applet de Java incluido en un sitio de Internet el ejecutar comandos en la máquina del usuario que visita la página.

    Existen varias versiones. Algunos modifican la apariencia del Internet Explorer, cambian la página de inicio, redirigen los enlaces del usuario o descargan archivos ejecutables. También hay algunos que cambian la firma del Outlook Express con un código html que apunta a ciertos sitios Web.

Cómo combatirlo

Para combatir este virus debe revisar el sistema con un antivirus actualizado. También debe restablecer sus especificaciones de página de inicio del Internet Explorer y de Outlook Express.

(Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales).

Los virus más difundidos

Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee:

• 1. LoveLetter
• 2. Nimda.eml
• 3. Benjamin.worm
• 4. Klez.h
• 5. Gorum.gen
• 6. NoClose
• 7. Elkern.cav.c
• 8. Exploit-BackCSS
• 9. Nimda.gen
• 10. Klez 

Cadenas de solidaridad reales

    Muchas de las cadenas que solidaridad que recibimos en nuestras cuentas de correo son falsas, y actúan como virus distribuyéndose y multiplicándose en una gran cantidad de direcciones electrónicas. Después de un tiempo de navegar en Internet, el usuario por lo general aprende a reconocerlas y a no hacerles caso.

    Pero, ¿son todos estos mensajes falsos? Una de las peores consecuencias del envío masivo de cartas en cadena con mensajes falsos es que le resta credibilidad a los reales. Muchas personas que necesitan ayuda pueden recurrir a enviar una carta, solicitando que sea distribuída, con fines totalmente serios. Pero la proliferación de basura en el correo electrónico predispone al usuario contra cualquier mensaje semejante.

    Hay mucha gente cuya conciencia los impulsa a ayudar. De hecho, la mayoría de las cartas en cadena se difunden porque muchos no desean correr el riesgo de que el mensaje sea cierto. Afortunadamente hay varios modos en que se puede verficar la veracidad de un mensaje de este tipo.

    Si el mensaje menciona un sitio Web, lo mejor es visitarlo para ver su contenido. Además, muchos sitios recolectan firmas directamente en su página, y no, (como piden la mayoría de los mensajes falsos), añadiendo el nombre y la dirección de correo antes de reenviarlo). Aún así, hay que tomar en cuenta que se puede tratar de un sitio falso. Para esto se debe usar el criterio propio.

    También pueden indicar sitios de organizaciones que han tomado cartas en el asunto, como por ejemplo Amnistía Internacional. Si la información del mensaje se encuentra en sitios semejantes es fácil reconocer su veracidad.

    También si se mencionan fechas de finalización de la campaña se puede investigar. Desde hace muchos años circulan mensajes sobre niños con cáncer que necesitaban una operación urgente. (Las cartas en cadena por lo general no incluyen fechas sobre sus "campañas". Por lo tanto no hay ninguna manera de saber el estado del asunto).

    Reenviar cartas en cadena es costoso y peligroso. Sin embargo, si una persona se siente impulsada a hacerlo, sería bueno que se informara de su veracidad. Las verdaderas cadenas de solidaridad son importantes, y sirven también para unir a la comunidad de Internet.

Frethem.K

    Frethem.K se propaga por medio del correo electrónico, y utiliza una vulnerabilidad en las versiones 5.01 y 5.5 de Internet Explorer para autoejecutarse cuando se abre el archivo adjunto o cuando el mensaje es visualizado en la vista previa de Outlook o Outlook Express de Microsoft.

    El mensaje en el que se transmite este virus tiene las siguientes características:
Asunto: Re: Your password!
Mensaje: ATTENTION!
You can access very important information by this password
DO NOT SAVE password to disk use your mind
now press cancel
Archivos Adjuntos: Decrypt-password.exe, Password.txt (Este archivo de texto contiene solamente la línea W8dqwq8q918213).

    Al ejecutarse, Frethem crea en el directorio de Windows los archivos Taskbar.exe y Winstat.ini, además de incluir en el Registro para ejecutarse cada vez que se reinicia Windows.

    Consigue también direcciones de correo electrónico en los archivos de Oulook y del Registro de Windows, y los utiliza para enviarse a sí mismo. Incluye un motor SMTP, por lo que puede autoenviarse sin necesidad de un cliente de correo como Oulook Express. Además de enviarse a las diferentes direcciones de correo electrónico intenta conectarse con varios sitios en Internet.

Cómo combatirlo

Reinicie Windows en Modo Seguro (Safe Mode).

Abra el Explorador de Windows, y en el directorio en el que Window esté instalado busque y elimine los archivos Taskbar.exe y Winstat.ini.

Abra el Editor de Registro. Para hacerlo oprima el botón de Inicio (Start), elija Ejecutar (Run) y escriba Regedit. Oprima Aceptar.

En el panel de la izquierda del Editor de Registro abra la siguiente ruta: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Marque Run, y el panel de la dereche busque y elimine la entrada Task Bar y elimínela.

Siempre en el Editor de Registro, abra la siguiente ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
También aquí busque la entrada Task Bar en el panel de la derecha y elimínelo.

Revise la máquina con uno o varios antivirus actualizados.

(Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales).

Funlove.4099

El Virus de la Semana: Funlove.4099
Los Virus más difundidos.
El Spam y las Cartas en Cadena

    Este virus infecta los archivos ejecutables de tipo Win32, como .exe, .scr, y .ocx, en Windows 9x y NT 4.0. Se une a la última sección PE del archivo. Busca todas las carpetas compartidas en red con permiso de escritura para infectar sus archivos. Para infectar archivos de sistema de windows NT el virus parchea la revisión de integridad.

Cómo combatirlo

    Para remover este virus, se debe utilizar un programa de antivirus actualizado. Además, es conveniente disponer de discos flexibles de arranque, que incluyan las utilidades básicas, para usarlos en caso de emergencia.

Los virus más difundidos

Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee:

• 1. Nimda.eml
• 2. LoveLetter
• 3. Nimda
• 4. Nimda.htm
• 5. BadTrans
• 6. Magistr.b
• 7. Magistr.a
• 8. Haptime.a
• 9. Spaces.GR 
• 10. Exploit-MIME

El Spam y las Cartas en Cadena

    Muchas personas consideran que reenviar una carta en cadena no es realmente malo. Pocas veces se piensa en la cantidad de gente que recibe este tipo de correo, o en los recursos de la Red que se gastan inútilmente transmitiendo estos mensajes.

    Ya habíamos mencionado en boletines anteriores la semejanza que existe entre una carta en cadena y un gusano de Internet. Ambos tienen el objetivo de propagarse lo más posible, ambos pueden producir problemas en los servicios de la Red, y ambos dependen del usuario para actuar.

    Deseamos ahora prevenir sobre otro posible riesgo: la captura de direcciones de correo para Spam. (El Spam es como se le llama al correo masivo y no solicitado, enviado principalmente como medio de propaganda).

    Para cualquier persona es incómodo recibir correo masivo. Ahora bien, si consideramos que cada vez que se envía una carta en cadena se incluyen los datos de los remitentes y los destinatarios, el resultado es una gran colección de direcciones de correo válidas, que pueden ser utilizadas por otras personas para el envío de Spam. De hecho, es posible que los que envían este tipo de correo inicien las cartas en cadena, con el objetivo de conseguir una larga lista de correos electrónicos.

    Como vemos, esta es otra buena razón para reflexionar antes de reenviar las cartas en cadena que recibimos.

El Virus de la Semana: Funso (Worm_Menace, AOL.PWSteal)
Los Virus más difundidos.
Falsa Alarma: El "virus" JDBGMGR.EXE

El virus de la semana

Funso

    Funso, también conocido como Worm_Menace y AOL.PWSteal,  es del tipo gusano. Está escrito en Visual Basic 6.0. Se trasmite a sí mismo por medio del AOL6, y trata de robar las contraseñas de AOL del usuario. Cuando se ejecuta por primera vez, se muestra una ventana de error con el siguiente mensaje: An unknown has error ocurred. De esta manera previene su detección al instalarse en el directorio de Windows del sistema. También modifica el registro para ejecutarse cada vez que se reinicia la computadora.

    El mensaje por medio del que se transmite tiene las siguientes características:

Asunto: Fwd: This is great! = ) 
Mensaje: You guys have to download this! This really is funny! 
Archivo Adjunto: SOFUNNY.EXE

Cómo combatirlo

Oprima el botón Start (Inicio). En el menú que se presenta elija Run (Ejecutar) y en la ventana de diálogo escriba Regedit. Oprima Enter (OK). Esto abrirá el editor de registro.

Una vez en el editor de registro, en el panel de la izquierda abra la carpeta HKEY_LOCAL_MACHINE. (Puede hacerlo oprimiendo del signo "+" junto al nombre de la carpeta). En esta carpeta habra el subdirectorio Software. En éste abra Microsoft, en éste Windows, en éste CurrentVersion, y en éste marque la carpeta Run.

En en panel de la derecha, busque cualquier entrada de registro que tenga los siguientes datos:
msdos423=[directorio de Windows donde se instaló el virus]\msdos423.exe. Tome nota del directorio de Windows donde se indica que se instaló el nuevo registro. 

Siempre en el panel de la derecha, marque este registro, y oprima la tecla Suprimir (Delete).

Cierre el Editor de Registro.

Abra el Explorador de Windows. En él busque la carpeta de Windows, y en ella busque el directorio donde el Editor de Registro señalaba la instalación del virus. En este directorio busque el archivo MSDOS423.INI y elimínelo.

Reinicie la computadora.

Revise el sistema con un antivirus actualizado.

(Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales)

Alerta de Virus: GIGGER.A

Contenido:

El Virus de la Semana: Gigger.a
Los Virus más difundidos.
Falsa Alarma: El "Virus" Sulfnbk.exe

El virus de la semana

Gigger.A

    Gigger.A es un virus del tipo gusano, escrito en Java Script. Se propaga por medio del correo electrónico, a través del Outlook y Outlook Express, y también a través de los canales de chat, usando el mIRC (como MMSN_OFFLINE.HTM). Al activarse, puede alterar los archivos del disco duro, borrando su contenido y dejándolos con longitud cero. Además, incluye una rutina que puede formatear el disco duro al reiniciarse la máquina después de la infección.

Los mensajes con los que se autoenvía presentan las siguientes características:

Asunto: Outlook Express Update
Mensaje: MSNSofware.com
Archivo adjunto: MMSN_OFFLINE.HTM

Cómo combatirlo

Si se detecta el virus Giger.a, es importante eliminarlo antes de reiniciar la computadora. 

Revise el sistema con un programa de antivirus actualizado, y elimine los archivos que aparezcan como Gigger.

En Windows 95 y 98, haga click en el boton de Inicio (Star), seleccione Ejecutar (Run), escriba SYSEDIT y oprima Aceptar (Enter). Esto abrirá el editor de configuración de sistema.

Seleccione la ventana C:\AUTOEXEC.BAT y elimine las líneas que contengan la siguiente instrucción:
Echoy|formatc:

Cierre el editor de configuración de sistema, y cuando se le pregunte si desea guardar los cambios, indique que sí.

Haga click nuevamente en el botón de Inicio (Star), seleccione Ejecutar (Run), escriba REGEDIT y oprima Aceptar (Enter). Esto abrirá el editor de registro de Windows.

En el panel izquierdo del editor de registro, abra la carpeta HKEY_LOCAL_MACHINE. En ella abra software, en ella abra Microsoft, en ella abra Windows, en ella abra CurrentVersion, y en ella seleccione la carpeta Run.

En el panel de la derecha, busque la entrada NAV DefAlert "C:\WINDOWS\help\mmsn_offline.htm". Selecciónela con el botón derecho del mouse, y elija Eliminar (Delete). Cuando se le pregunte si está seguro de que desea eliminar la entrada, indique que sí.

Siempre sobre el editor de registro, abra las carpetas HKEY_CURRENT_USER, Software, Microsoft, Windows Scripting Host, Settings, Timeout. Haga click con el botón derecho del Mouse en Timeout, y elija Eliminar (Delete). Acepte cuando se le pregunte si desea eliminar la entrada.

Abra de la misma forma las carpetas HKEY_CURRENT_USER, Software, TheGrave. Selecione TheGrave y elimínelo de la misma manera.

Guarde los cambios en el editor de registro y ciérrelo.

Reinicie su computadora.

(Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales)

Los virus más difundidos
Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee:

• 1. Nimda.eml
• 2. LoveLetter
• 3. Nimda
• 4. Nimda.htm
• 5. BadTrans
• 6. Magistr.b
• 7. Magistr.a
• 8. Haptime.a
• 9. Spaces.GR
• 10. Exploit-MIME

Falsa Alarma:

El "virus" Sulfnbk.exe

    Cuando se recibe una alerta de virus, es aconsejable tener cuidado. En muchos casos puede ser una amenaza real, por lo que hay que tomar las precauciones necesarias. Pero con frecuencia, lo que recibimos es una carta en cadena, o parte de una histeria masiva.

    En el año 2001 comenzó a difundirse por internet un mensaje en el que se prevenía sobre un supuesto virus, llamado Sulfnbk.exe. Actualmente este mensaje está empezando nuevamente a circular. Éste es un caso más de histeria colectiva, pues en realidad no existe tal virus, aunque sí haya un archivo con ese nombre, que forma parte del sistema de Windows.

    Es posible que una persona haya recibido un archivo adjunto con ese nombre, producido por un virus que se envía a sí mismo, probablemente el Magistr, que utiliza la lista de correos de la máquina infectada para propagarse. La persona en cuestión envió una alerta a varias personas más, quienes a su vez lo enviaron a otros, y así consecutivamente. Los destinatarios que recibieron la alarma revisaron sus computadoras y encontraron el archivo correspondiente, pues forma parte de Windows. En la confusión, se pensó que se trataba de un nuevo virus llamado Sulfnbk.exe. La alarma comenzó en abril de 2001, y para finales de mayo se había convertido en una verdadera histeria masiva, llegándose a afirmar que se activaría en determinadas fechas y que borraría toda la información del disco duro.

    Si un usuario de Windows revisa su computadora podrá encontrar el archivo Sulfnbk.exe. Es un utilitario estándar, que permite restaurar los nombres largos de archivo cuando se desinstala Windows98. Aunque puede ser infectado por un virus, el Magistr por ejemplo, no es un virus real. El hecho de que exista un archivo con este nombre contribuyó a difundir la histeria.

    Éste es sólo uno de los muchos casos en que la confusión y la falta de información permiten la difusión de una falsa alarma. No es la primera vez, y no será la última. Vale la pena tomar ésto en cuenta cuando recibamos una alarma de virus. Lo mejor siempre será verificar la información en los sitios especializados.

Good Luck

Falsa Alarma:

    Recientemente varias agencias noticiosas anunciaron la aparición de un nuevo virus del tipo troyano, activado a distancia, con la capacidad de autodestruirse y dañar todos los datos del sistema operativo, trabajando de manera "invisible". 
Aparentemente, el origen de esta alarma se encuentra en construcciones teóricas sobre la posibilidad de que se llegara a desarrollar un virus indetectable, con objetivos terroristas o antiterroristas. La "noticia" fue publicada el miércoles 30 de enero en el diario Le Fígaro, de París, Francia, y se le llamaba "el virus informático incontrolable. Se supone que la fuente para la noticia era un informe confidencial de la Interpol, en el que, por cierto, no se dice que este virus haya sido detectado en la Red.
Es probable que varios proveedores de antivirus utilizaran este virus teórico como una forma de publicidad, para hacer circular el rumor de la nueva amenaza con el fin de aumentar la venta de sus productos. Estas maniobras publicitarias son unánimemente condenadas por los fabricantes de antivirus responsables.
Esta falsa alarma fue detectada poco tiempo después de su inicio, por lo que tal vez no llegue a extenderse tanto como otras, por ejemplo, la historia del Sulfnbk.exe, que no es un virus sino un programa estándar de Windows, pero que al pensarse que era un virus se produjo una histeria masiva.

CUIDADO TODOS.

SI LES LLEGA UN MAIL DE UN USUARIO LLAMADO: HA HA HA HA

Y EL ASUNTO DEL MAIL ES "ENANITO Y BLANCANIEVES", O ALGUNA OTRA VERSIÓN (SEGURO QUE ESE VA A SER EL ASUNTO) (INCLUSO LES CUENTA UNA HISTORIA SOBRE BLANCA NIEVES) NO LO ABRAN.
ASOCIADO AL MAIL VIENE UN EJECUTABLE, LLAMADO "EL ENANITO.EXE" TRAE UN VIRUS MORTAL.
DESTRUYE EL DISCO DURO, AFECTA TODOS LOS ARCHIVOS Y BORRA GRAN PARTE DE LOS QUE POSEAN EN EL DISCO PRINCIPAL O ACCESORIOS.
LOS ANTIVIRUS AUN NO LO DETECTAN.

Happy 99

Cómo llega: Por correo electrónico, con la apariencia de un archivo ejecutable. El virus crea un archivo llamado ska.exe, y comienza a enviar automáticamente una copia del virus con cada e-mail que mande el usuario.

Cómo se manifiesta: Llega con el nombre de happy99.exe. Nunca hay que hacer clic sobre ese archivo.

Cómo se elimina: Borrando los archivos ska.exe y ska.dll. Además hay que renombrar la copia de resguardo que el mismo virus crea. Se llaman wsock32.ska. Hay que cambiarles la extensión de .ska a .dll.

Luego borrar happy99.exe. Para más seguridad es recomendable instalar algún antivirus actualizado.

I Love You

Cómo llega: Por difundirse rápidamente por e-mail, este virus causó estragos en mayo de este año: afectó nada menos que a 50 millones de computadoras. Si se opera con el programa de correo Outlook, el virus se reenvía automáticamente a todas las claves de correo que se encuentran en las carpetas de direcciones.

Su poder reside justamente en su efectiva forma de distribución, y no así en su poder de destrucción. Es que, en rigor, no afecta a los archivos más importantes de un sistema. Sólo daña archivos multimedia. Por ejemplo .mp3 y .jpg

Cómo se manifiesta: Aparece en un archivo adosado al mail, con el nombre LOVE-LETTER-FOR-YOU.TXT.vbs No hay que cliquear sobre ese archivo, de lo contrario el virus ingresa en la PC.

Cómo se elimina: Si I Love You entró en la PC, lo primero que hay que hacer es borrarlo. Pero no basta con sacarlo de la Bandeja de entrada.

También hay que eliminarlo de la Papelera de reciclaje. Luego hay que ir a Inicio, Buscar, y tipiar allí el nombre de los siguientes archivos:
LOVE-LETTER-FOR-YOU.txt.vbs y
MSKernel132.vbs
Estos dos documentos se alojan en la carpeta Windows System. Una vez ubicados, hay que borrarlos. Del mismo modo, habrá que deshacerse del archivo Win32DLL .vbs, de la carpeta Windows.
Pero, ojo. Además hay que pasarle un limpiador del virus.

El "virus" JDBGMGR.EXE

    Si recibe un mensaje en que le avisan de un virus nuevo llamado JDBGMGR.EXE, por favor no lo reenvíe ni haga caso a lo que le dice.

    Recientemente ha estado circulando en Internet un mensaje sobre esta supuesta amenaza. Asegura que se transmite por medio del Messenger de Microsoft y por la libreta de direcciones. Como es usual en este tipo de mensajes, asegura que no puede ser detectado por los antivirus de Norton y McAffee. Luego da las instrucciones para localizarlo en la carpeta de Windows del disco duro y eliminarlo. Por último, y como es costumbre en las alarmas falsas y las cartas de cadena, pide que el mensaje sea enviado a la mayor cantidad de gente posible.

    Si se revisa la computadora de esta manera, es muy probable que sí se pueda encontrar el archivo jdbgmgr.exe. No es un virus, sino un programa de Windows que, aunque no sea un archivo vital, no debe ser borrado. Es cierto que puede ser infectado por un virus, como muchos otros programas y archivos, pero se trata en realidad de una utilidad de Windows.

    A mediados del año 2001 se propagó en Internet un aviso semejante, el famoso SULFNBK.EXE. Muchas personas eliminaron este utilitario de Windows, y tuvieron que recuperarlo después. El caso del jdbgmgr.exe es muy semejante.

    Cuando se hace caso de un mensaje de este tipo y se reenvía a todas las personas de nuestra libreta de direcciones, el resultado es casi el mismo que si estuviéramos enviando un virus tipo gusano. Después de todo, el principal objetivo de un gusano de Internet es la de propagarse lo más posible.

    Si además de eso empezamos a eliminar archivos de nuestra computadora sólo porque alguien nos lo dice, la consecuencia será prácticamente la misma que si hubiéramos recibido un virus destructivo. En efecto, es como un virus que funciona manualmente, aprovechándose de la falta de información y del temor del usuario para operar.

    Todos queremos evitar los problemas que nos pueden causar los virus. Por esto no tiene sentido causar los mismos daños a la información de la computadora por un mensaje del que realmente no sabemos la procedencia.

Kazoa (Benjamín)

El Virus de la Semana: Kazoa (Benjamin)
Los Virus más difundidos.
Sobre el Envío de Archivos Adjuntos

    Kazaa es el software de intercambio de archivos más utilizado en Internet. Recientemente se descubrió un virus que amenaza a los usuarios de Kazaa. Este virus no es especialmente peligroso. Lo que hace es llenar de datos basura los discos duros o bloquear conecciones dentro de Kazaa.

    Cuando se instala en la computadora crea copias de sí mismo con más de 3000 nombres distintos, que coinciden con programas muy buscados dentro de Kazaa. Estos archivos pueden ser descargados entonces por otro usuario, cuya computadora se infectará a su vez.

    Si el archivo se descarga y se ejecuta, aparecerá un mensaje falso de error, semejante a los siguiente:

Access error #03A:94574: Invalid pointer operation 
File possibly corrupted. 

    En este momento el virus se habrá activado e instalado en el sistema. Crea una entrada en el editor de registro para activarse cada vez que se reinicia el sistema, y procederá a hacer múltiples copias de sí mismo con diferentes nombres. 

    Aparentemente uno de los creadores de este virus concedió una entrevista, y afirmó que su objetivo era atacar el intercambio ilegal de programas y la pornografía infantil.

Cómo combatirlo

Abra el Editor de Registro, oprimiendo la tecla Inicio (Start), eligiendo la opción Ejecutar (Run) y escribiendo Regedit en la ventana que se habre. Oprima Aceptar.

En el panel izquierdo del editor,haciendo click en el signo de "+" junto a las carpetas correspondientes, abra la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion.

En la carpeta CurretnVersion marque la carpeta "Run". En el panel de la derecha se mostrará su contenido. Busque y elimine la siguiente entrada: 
System-Service = C:\Windows\System\Explorer.scr (Para eliminarla, haga clic sobre ella con el botón derecho del Mouse y elija Eliminar (Delete).

Cierre el Editor de Registro, aceptando si se le pregunta si desea guardar los cambios.

Abra el explorador de Windows, busque en el directorio de Windows la carpeta System, y en esa carpeta busque el archivo Explorer.scr. Si lo encuentra, elimínelo.

Regrese al directorio de Windows, busque la carpeta Temp, y ahí busque otra carpeta llamada sys32. Si la encuentra, elimínela con todo su contenido.

Reinicie su computadora, y revísela con un programa de antivirus actualizado.

(Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales)

Los virus más difundidos

Éstos son los virus más difundidos en el mundo en este momento, según datos de Trend Micro:

• 1. Klez H
• 2. Funlove.4099
• 3. Elkern.d
• 4. Klez.E
• 5. Nimda.A
• 6. Sircam.A
• 7. Exception.gen
• 8. Magistr.B
• 9. Nimda.E
• 10. Nimda.A-O

Sobre el Envío de Archivos Adjuntos

    Es de conocimiento general que la mayoría de los virus se transmiten por medio de archivos adjuntos (attachments) en el correo electrónico. Es por esta razón que debemos tener cuidado cuando los recibimos, para no exponernos a una posible infección. Lo mejor es contactar a la persona que nos envió el archivo adjunto para asegurarnos de su contenido.

    Sin embargo uno no solo recibe archivos adjuntos, sino que también los envía. Para esto también hay que tomar algunas precauciones, principalmente si el destinatario no se comunica con nosotros.

    Primero hay que asegurarse de que su cuenta de correo pueda recibir nuestro mensaje. Esto es muy importante sobre todo si enviamos archivos de gran tamaño, pues es posible que no pueda almacenarse en su correo. Además, como cortesía deberíamos preguntar a las otras personas si desean recibir archivos adjuntos de nuestra parte.

    Naturalmente debemos estar seguros de que el archivo que estamos enviando no contiene virus. Si es un archivo que nosotros mismos hemos recibido en nuestro correo sin saber su verdadera procedencia, lo mejor es no retransmitirlo. Si es un archivo personal, es conveniente examinarlo con un programa de antivirus antes de enviarlo.

    El destinatario también puede tener sus dudas sobre nuestro mensaje, por lo que es aconsejable incluir una nota informando de la razón del envío del adjunto, su contenido y su nombre, para que el destinatario no piense que se trata de un virus.

    Los archivos adjuntos son una buena manera de enviar información por medio del correo electrónico. Es una herramienta muy útil, y si se sabe usar correctamente se pueden reducir los riesgos de infecciones virales en nuestras computadoras.

Un virus peligroso que parece una falsa alarma

Distintos usuarios de computadoras en todo el mundo están recibiendo en estos días un e-mail que contiene un virus peligroso llamado Magistrate (o W32Magistr@MM). Lo preocupante es que este virus llega en una forma muy parecida a la de una falsa alerta que se viene difundiendo desde hace unas semanas y que hizo que muchísimas personas borren de su disco rígido un archivo de Windows (sulfnbk.exe). Así informó el sitio ZDNet.
Por eso, el riesgo es que ahora estos mismos usuarios hagan caso omiso al nuevo e-mail. Este puede contener hasta dos archivos adjuntos y, si es ejecutado, puede hacer caer el sistema de la computadora.
Magistrate es un gusano que infecta los archivos de Windows y, además se autopropaga por medio de la lista de direcciones del usuario. También es capaz de enviar documentos de Word a todas las direcciones que figuran en los sistemas de correo electrónico.
Como sucedió con la alerta falsa sulfnbk.exe, el e-mail que contiene al virus Magistrate se difunde súper rápido: el que lo recibe suele creerse que es un aviso que puede rescatar a un amigo del desastre y lo envía a todos los conocidos.

Symantec:
www.symantec.com

Vmyths:
www.vmyths.com

Salu2

penuela@abaconet.com.ar
penuela71@tutopia.com
ICQ # 13452882

MUY URGENTE
¡¡¡PÁSALO A CUALQUIER PERSONA QUE TENGA DIRECCIÓN DE CORREO ELECTRÓNICO!!!

Si recibes un mensaje cuyo asunto diga "Se necesitan agallas para decir Jesús" (o en ingles: "It takes Guts to say Jesús").¡¡¡ NO LO ABRAS!!! pues borrara todo en tu disco duro. AOL sostiene que se trata de un virus muy peligroso, mas aún que el conocido "Melissa", y que en el momento NO HAY REMEDIO en su contra.
Un individuo muy enfermo logro utilizar la función de refórmate de Norton Utilities causando el borrado completo de todos los documentos archivados en el disco duro.
Este virus ha sido diseñado para trabajar con Netscape Navigator y con Microsoft Internet Explorer. Destruye computadores compatibles con Macintosh e IBM. Este es un virus nuevo y muy maligno, el cual es desconocido por mucha gente.
Por favor Daniel, pasa esta advertencia a todas tus direcciones y a tus amistades en línea, para parar esta amenaza. Practica medidas de precaución y adviértele a cualquier persona que tenga acceso a tu computadora. Envíale esta advertencia a cualquier persona que tenga acceso a Internet.

Fernando

Melissa 2

Cómo llega: Entra a la computadora a través de un archivo adjunto (attach) de un e-mail. Se pega a la función macro de las versiones de Word 97 y 2000.

Cómo se manifiesta: El attach llega con el nombre List.doc. No hay que ejecutarlo, de lo contrario el virus ingresa al sistema.

Cómo se elimina: Hay que activar la aplicación que trae Word para detectar este tipo de virus. Para ello hay que entrar en Herramientas, hacer clic en Opciones y abrir la solapa General. Allí, hay que tildar Protección antivirus en macros. Si se lo detecta, hay que correr un antivirus pero con su última actualización.

Información suministrada por Infovedia@ener.com.ar

Nuevo gusano

Comenzó a circular el virus "My Party"

Un nuevo virus informático conocido como "My Party" ("Mi fiesta") comenzó a extenderse a través del correo electrónico por Estados Unidos y Europa, advirtieron especialistas en sistemas.

Este virus, cuya denominación técnica es W32/Myparty@MM, es del tipo "gusano" y no se considera destructivo. Se extiende utilizando el programa de correo electrónico de Microsoft Outlook Express, y utiliza la agenda de direcciones del usuario para infectar otras computadoras.

El virus llega con un mensaje titulado "New photos from my party!" ("Nuevas fotos de mi fiesta"), y contiene un fichero (llamado www.myparty.yahoo.com), con aspecto inocuo, ya que parece un enlace al popular portal de Internet, donde supuestamente se pueden ver las fotografías. El cuerpo del mensaje contiene el siguiente texto (en inglés): "Hola! Mi fiesta fue increíble. Te envío las nuevas fotos en un fichero. Si podes hacé copias de color de las fotos. Gracias!". Una vez que el usuario abre el mensaje, el virus se ejecuta y se copia a sí mismo en el disco duro del ordenador con el nombre "REGCTRL.EXE", precisó el fabricante de antivirus Panda Software.

El virus dejará de actuar mañana, ya que estaba programado para que entrase en acción entre el 25 y el 29 de enero, dijeron los expertos informáticos, que creen que el autor puede ser un adolescente ruso. Por otro lado, se detalló que "My Party" no afecta a los ordenadores que tienen teclados con caracteres del alfabeto cirílico, según los fabricantes de programas antivirus.

La compañía especializada en seguridad informática MessageLabs señaló que ha detectado unas mil copias de este virus, pero que el número de correos infectados ha ido descendiendo a lo largo del día.

Asunto: new photos from my party!

Mensaje: Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Archivo adjunto: www.myparty.yahoo.com

Aunque aparentemente sea un link a un sitio en Internet, en realidad al hacer doble clik en él se activará el virus.

Cómo combatirlo

Para eliminar manualmente este virus, se debe reiniciar la computadora y abrir Windows en modo a prueba de fallos.

Si utiliza Windows 95, cierre todos los programas, haga clik en el botón de Inicio (Start) y seleccione Apagar Sistema.
Apague la computadora, aguarde como mínimo 30 segundos antes de volver a encenderla.
Al aparecer el mensaje "Iniciando Windows 95" (Startin Windows 95) oprima la tecla F8. Con esto aparecerá usualmente un menú de opciones, en el que deberá seleccionar "Modo a prueba de fallos" (Safe Mode). 
De ésta manera Window iniciará en el modo a prueba de fallos, que se indicará en las cuatro esquinas de la pantalla. Se verá un poco extraño, pues no se activarán muchas de las opciones normales.

Si utiliza Windows 98 o Millenium, haga click en el botón de Inicio (Start). Seleccione la opción Ejecutar (Run) y en la ventana que aparece escriba MSCONFIG. Oprima Aceptar (OK). Esto abrirá el programa de configuración de sistema.

Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá el Programa de configuración del sistema.

En la pestaña "General", haga click sobre el botón "Avanzado" (Advanced).

En Configuración marque la casilla "Activar Menú de inicio".

Confirme los cambios y apague la computadora. Espere como mínimo 30 segundos y vuelva a encenderla.

Al aparecer el Menú de Inicio bajo MS-DOS seleccione "Modo a prueba de fallos" y presione Enter (Aceptar).

Para volver a la normalidad el sistema, repita este procedimiento, pero desmarcando la opción "Activar Menú de inicio".

Una vez que esté trabajando en Windows en modo a prueba de fallos, puede proceder a eliminar el virus.

Si utiliza Windows 95, 98 o Millenium, haga click en el botón de inicio, seleccione Buscar (Search), seleccione Archivos o Carpetas (Files or Folders) y oprima Enter. 
En el buscador, escriba REGCTRL.EXE y presione ENTER. Si el buscador encuentra un archivo con el nombre REGCTR.EXE, haga click con el botón derecho del mouse y seleccione Eliminar (Delete). Reinicie la computadora.

Si utiliza Windows NT, 2000 o XP, oprima simultáneamente las teclas CTRL, ALT y SUPR. En la ventana que se abre seleccione Task Manger. Ésto abrirá el Administrador de Tareas.

Una vez en el Administrador de tareas, seleccione la pestaña Procesos. Busque en la lista de procesos una entrada llamada "MSSTASK.EXE". Si lo encuentra, haga click en el botón de Terminar Proceso.

En cualquier versión de Windows, luego de realizar los procedimientos anteriores, revise su computadora con un programa de antivirus actualizado.

(Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales)

Un virus que castiga la tentación

Comenzó a circular por la Red un virus llamado Naked Wife (esposa desnuda). La plaga llega vía E-mail con el asunto FW:Naked Wife y con un archivo adosado de nombre Naked Wife.exe. Pero al ejecutar el archivo, en vez de material pornográfico, se activa un peligroso virus.

Al hacer clic sobre NakedWife.exe, este lanza una película en flash -una tecnología de animación muy utilizada en la Red- y, mientras tanto, empiezan a desaparecer algunos archivos el disco rígido. Además, el virus se reenvía a todos los contactos de la libreta de direcciones del Outlook (el programa de correo electrónico) del usuario.

Los infectados no podrán reiniciar sus equipos y tendrán que reinstalar el sistema operativo.

Una vez finalizado el corto animado se despliega en pantalla un mensaje que dice: "You are now FUCKED! (c) 2001 by BGK (Bill Gates Killer)". Algo así como "Ahora así que estás jodido (c) 2001 por el Asesino de Bill Gates".

Fuente www.terra.com

MUCHA ATENCIÓN

En la red está circulando un nuevo virus. El mismo es enviado vía E-mail como un dato adjunto, con extensión "pif".

A continuación detallamos los datos del archivo adjunto:

NEW_NAPSTER_site.TXT.pif (18,5) Kb

Con este E-mail y archivo adjunto, tratan de engañarlo como que le mandan una nueva versión del conocido programa "NAPSTER", para bajar música de Internet.
No se deje engañar. No lo habrá ni por casualidad.

Nimda arrasa con todo

Desde hace varios años, los usuarios y empresas han venido sufriendo el ataque de diferentes tipos de virus, que tienen dos características de las que nadie duda: cada vez son más complejos, y causan más daño. Y el Nimda cumple con esa pauta, al combinar varios atributos que ya habíamos visto en virus anteriores. Por un lado, al infectar una máquina, se reenvía a otros usuarios a través de la libreta de direcciones del Outlook. Pero por otro lado, también es capaz de explotar, a la manera del Código Rojo, los diferentes agujeros de seguridad del servidor Web Microsoft Internet Information Server, e introducirse en un sistema sin que medie error alguno del administrador. Como si fuera poco, también puede reproducirse como gusano dentro de las redes. Un virus todo terreno, como se ve.

Pero a diferencia del Sircam, que necesitaba que el usuario abriera el mensaje adjunto, el Nimda usa una falla de seguridad del Explorer, e infecta un sistema a través de un mensaje HTML. O sea: basta que el usuario vea el mensaje para que el virus entre en el sistema.

¿Y qué más hace el virus? Permite tomar el control de los sistemas a los que ingresa, a la manera del BackOrifice. Y además, infecta las páginas Web contenidas en ese servidor con un código en Javascript. Y cada usuario que visita esas páginas recibe un archivo de correo electrónico, el “readme. eml”, que se ejecuta automáticamente por la vulnerabilidad del Explorer que nombramos en el párrafo anterior. O sea: no es necesaria ninguna participación del usuario para infectar su máquina o su sistema.

En teoría, la versión 6 del Explorer está libre de esta vulnerabilidad. En el caso de que aún tengas la versión 5, 5.01 ó 5.5, podés proteger tu sistema usando los patches disponibles en http://www.microsoft.com/windows/ie/downloads/recommended/default.asp. Esto evita infectarse automáticamente a través del Javascript. Aunque si abren el archivo adjunto que trae el mail enviado por el Nimda, que es el “readme.exe”, desde ya infectarán su computadora. Para actualizar los antivirus, pueden ir a las siguientes direcciones:

McAfee: http://www.mcafee.com/anti-virus/viruses/nimda/default.asp?cid=2444
Nortonhttp://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
AVP: http://www.avp.ru/updates.asp
Panda: http://virus.pandasoftware.com/
Trendmicro: http://www.antivirus.com/pc-cillin/vinfo/

La rapidez con la que se ha expandido el Nimda es realmente notable. Sólo en Estados Unidos, más de 100 mil servidores Web han sido infectados por el virus.

Además del Nimda, otro virus se está esparciendo por la red en estos días. Es el “magistr B”, que tiene la particularidad de destruir los archivos con terminación NTZ y desactivar el funcionamiento del firewall ZoneAlarm, para que el usuario no detecte ninguna conexión extraña.

Microsoft abriría su sistema Passport a terceras empresas
Busca extender la aceptación del sistema

La compañía Microsoft anunció que abrirá su sistema de autenticación Passport a terceras empresas, en un esfuerzo de lograr una aceptación más amplia de sus servicios y acallar las críticas que señalaban que la intención de la firma era monopolizar una enorme cantidad de datos de millones de usuarios de Internet.

El sistema de autenticación Passport es la base de Hailstorm, el sistema que está desarrollando Microsoft, y que construirá un servicio de directorio, por el cual los usuarios sólo deberán autenticarse una vez para acceder a miles de servicios. Por ejemplo, comprar en la Red, acceder a cuenta de e-mail, usar servicios financieros, entre otros.

La novedad es que Microsoft permitiría a terceras empresas a ligarse con su directorio Passport a través de vínculos seguros. En el futuro, se prevé incluso que otras empresas podrán entregar administrar cuentas de Passport, aunque Microsoft seguirá hosteando el servicio de autenticación.

Salu2

penuela@abaconet.com.ar
penuela71@tutopia.com
ICQ # 13452882

No Close

El Virus de la Semana: NoClose
Los Virus más difundidos.
Mitos sobre virus: "Si un mensaje menciona a una organización conocida, debe ser cierto."

El virus de la semana

NoClose

    NoClose es un troyano no destructivo pero bastante incómodo. Es un Java Script que, al ser ejecutado, abre una gran cantidad de ventanas del Internet Explorer conectadas a varios sitios de Internet que están incluídos en el código del virus. Luego miniza las ventanas, de forma que al usuario se le dificulta ampliarlas o cerrarlas. el número de ventanas abiertas puede agotar los recursos de la conección. Por lo general el virus se instala en la computadora al abrir sitios en Internet que lo incluyen en su código de HTML.

Cómo combatirlo

    Para eliminar el NoClose de la computadora, se debe revisar el sistema con un antivirus actualizado.

(Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales)

Los virus más difundidos

Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee:

• 1. LoveLetter
• 2. Benjamin.worm
• 3. Nimda.eml
• 4. Gorum.gen
• 5. Klez.h
• 6. Nimda 
• 7. Nimda.gen
• 8. Elkern.cav.c
• 9. Happy.b
• 10. NoClose

Mitos sobre virus:

"Si un mensaje menciona a una organización conocida, debe ser cierto."

    Muchas de las falsas alarmas (hoaxes) y cartas en cadena que recibimos en la que nos instan a protegernos de un nuevo virus y comunicarlo a todos nuestros conocidos, incluyen nombres de personas e instituciones reconocidas. 

    Por ejemplo, dicen que fue anunciado por CNN, McAffee y Microsoft. También, como en el caso de los conocidos mensajes que amenzan con el cierre de una cuenta en Hotmail si no se reenvía el correo, mencionan a personas a cargo de un servicio.

    Este es una de las características más comunes de las cartas en cadena: el apelar a personas y organizaciones conocidas con las que intentan adquirir verosimilitud. En muchos casos las personas que se mencionan ni siquiera existen.

    Los mensajes en cadena no mencionan las direcciones de las organizaciones sobre las que intentan apoyarse. No incluyen enlaces a CNN, Microsoft, ni a ninguna de las personas que menciona. Solamente pide que se reenvíe el mensaje tal y como está.

    Si aún tomando esto en cuenta tenemos una duda sobre la posible veracidad del mensaje, lo mejor es informarse directamente en los sitios que se mencionan. CNN tiene su sitio en Internet, así como Microsoft, McAffee y tanto otros con cuya reputación los originadores de cartas en cadena intentan converser al público a enviar continuamente mensajes inútiles.

    Si nos informamos antes de decidir si debemos reenviar uno de estos mensajes, podremos estar seguros de su exactitud, y evitaremos que varios desconocidos se aprovechen de nuestra buena fe y de nuestra inexperiencia para jugarnos una broma pesada, conseguir nuestras direcciones de correo y molestar a otras personas.

ATENCIÓN ADAL MARY, NOS ENVÍA UN AVISO

REENVIEMOSLO A NUESTROS AMIGOS, PARA PREVENIRLOS:

MAIL DE MARY

SI LES LLEGA UN ARCHIVO CON EL NOMBRE OHGHDJOH.EXE
NO LO ABRAN!!!!!! TIENE UN VIRUS,,,A MI ME HA LLEGADO...

MARY

Solución contra el Pretty Park

Según pude ver, en el último tiempo varias personas fueron infectadas con el PrettyPark.
Acá les mando algunos comentarios y las instrucciones para sacarlo del sistema. Espero que puedan arreglar el problema. Cualquier duda escríbanme o llámenme al 15 4446-8026 ó al 4566-2493 int 35 Marcelo Alvarez malvarez@unete.com
Una vez ejecutado, el programa se copie a si mismo en el directorio de sistema de Windows (generalmente c:\WINDOWS\SYSTEM\) bajo el nombre de FILES32.VXD y crea una nueva entrada en la tabla de registros del sistema operativo según el siguiente detalle:
\HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command A pesar de su extensión, el archivo FILES32.VXD no es un controlador VXD de Windows 95/98, en realidad se trata de un programa ejecutable de Windows. Luego da instalarse en el sistema, PE_PrettyPark intentará iniciar une conexión a Internet para ejecutar algunas rutinas muy particulares. Una de estas rutina. consiste en conectarse a determinados servidores IRC para enviar información del usuario afectado. Este gusano rastreará el sistema en busca de información como: claves de acceso a Internet, números de teléfono, nombres y claves de acceso de conexiones RAS (Remote Access Service). códigos de ICQ, configuración de sistemas remotos, estructura de directorios, archivos, etc. A continuación presentamos la lista de servidores IRC con los cuales este programa intenta conectarse: irc.twiny.net, irc.steelth.net, Irc.grclier.net irc.club-internet.fr, ircnet. irc.aol.com, irc.emn.fr, irc.anet.com, irc.insat.com, irc.ncal.verio.net, irc.cltnet.com, irc.skybel.net, irc.eurecom.fr y Irc.easynet.com.uk
La segunda y peligrosa rutina intentará enviar automáticamente una copia del gusano por Internet utilizando el programa de correo electrónico del usuario. Esta Información la obtiene de la libreta a. direcciones de Windows <Windows Address Book). Estos son algunos detalles del mensaje:
Título: "C:\CoolProgs\Pretty Park.exe" Cuerpo del mensaje: No contiene ningún mensaje
Archivo adjunto: incluye una copia del propio gusano en un archivo ejecutable (.EXE) De esta forma el virus conseguirá reproducirse muy rápidamente. El proceso de infección y distribución se repetirá de la misma forma con todos y cada uno de los destinatarios que ejecuten el archivo que recibieron del emisor ya infectado.

¿Cómo eliminar este programa una vez instalado?
1. Eliminar el archivo que contiene al gusano PrettyPark (Pretty Park.exe)
2. Eliminar el archivo FILES32.VXD que se encuentra en la carpeta \Windows\System\
3. Ejecutar 'regedlt' para editar la tabla de registros de Windows y modificar el valor de la siguiente entrada \HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command
El valor modificado por este programa es: FILES32.VXD "%1" %* Para eliminado reemplace el valor anterior por: "%1" %*

IMPORTANTE:
Si fue afectado por este programa debe alertar a todos aquellos usuarios que figuren en su libreta de direcciones.

Rodok.A

    Rodok.A es un gusano programado en VisualBasic 6. Es conocido también como Henpeck y Fleming. Este virus se propaga por medio de MSN Messenger enviando mensajes que contienen una dirección URL hacia una copia de sí mismo en un servidor remoto. También intenta descargar un archivo ejecutable que funciona como un troyano de puerta trasera. Muestra en el Messenger el siguiente mensaje:

    "Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does! http:// (Dirección removida) / BR2002.exe <-- There you can download it! give me advices on what to upgrade please!!". 

    En el mensaje se pide que se pruebe un nuevo programa, pero si se acepta se descargarán actualizaciones del gusano y un programa troyano.

    El gusano intenta descargar el troyano de la dirección http://(Dirección removida).net/downl0ad/CS-Keygen.exe y guardarla en el directorio raíz del disco duro con el nombre C:\hehe2397824.exe. Si este archivo es ejecutado crea una copia de sí mismo en c:\WINDOWS\WinUpdat.exeupdate.ur.address, y añade una línea en el Registro de Windows para ser ejecutado cada vez que se enciende la computadora. Al activarse puede permitir el acceso a la máquina de otras personas, comprometiendo la seguridad del sistema. 

Cómo combatirlo

    Abra el Explorador de Windows, localice y elimine los siguientes archivos:

C:\update35784.exe
C:\hehe2397824.exe
C:\WINDOWS\WinUpdat.exeupdate.ur.address

(C:\Windows es por lo general la carpeta donde se instalan los componentes de Windows. Si se han instalado en una carpeta diferente se debe sustituir la dirección.)

    Haga click con el botón derecho sobre el ícono de la papelera de reciclaje y selecciones Vaciar Papelera.

    Para eliminar las claves del Registro, haga click en el botón de Inicio (Start) seleccione Ejecutar (Run) y en la ventana que se abre escriba Regedit. Oprima Aceptar (Enter). Puede abrir también rápidamente la ventana de ejecución oprimiendo simultáneamente la tecla de ventana de Windows y la tecla R.

    Una vez que se ha abierto el editor de registro, abra en el panel de la izquierda las siguientes carpetas y subcarpetas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion.
En CurrentVersion seleccione la carpeta Run para mostrar su contenido en el panel de la derecha. 

    En el panel de la derecha busque y elimine la siguiente entrada:
WinUpdat = C:\WINDOWS\WinUpdat.exeupdate.ur.address.

    Cierre el editor de registro. Reinicie la computadora, y luego revísela con uno o más antivirus actualizados.

(Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales)

Virus SIRCAM

El "Sircam", se distribuye a través del Outlook
Un nuevo virus siembra pánico y confusión en la Red
Se llama Sircam se distribuye velozmente por la Red. Se propaga a través del programa de correo electrónico. Las empresas antivirus brindan información diferente sobre el origen y las consecuencias de la plaga. Te mostramos una guía en 10 pasos para sacar el virus de la PC.

Guía con 10 pasos sacar el virus Sircam de la PC.

Nadie sabe todavía bien de que se trata, pero seguramente el virus Sircam pasará a la historia. Ya sea por la velocidad en que se propagó por la Red o por la confusión que sembró en las propias empresas de seguridad informática.

Ocurre que a diferencia de los virus tradicionales -que muchas veces suelen usar como carnada la pornografía- este toma el nombre de un archivo personal del disco rígido de la PC infectada y lo reenvía a toda la lista de la libreta de direcciones del usuario con el siguiente mensaje en el cuerpo del E-mail:

Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.

Puede que el cuerpo del mensaje esté en inglés, en ese caso sería:

Hi! How are you?
I send you this file in order to have your advice
See you later.
Thanks

Cuando un usuario recibe este E-mail e intenta abrir el archivo adosado, automáticamente se infecta la PC y el virus se reenvía a todos sus contactos. El virus se copia a sí mismo en la carpeta Recycled del disco rígido y modifica el registro de Windows para que se ejecute el virus cada vez que se quiere abrir un programa.

Lo increíble de este virus es que las empresas de seguridad informática no terminan de ponerse de acuerdo sobre cosas tan básicas como su origen, sobre sus consecuencias o sobre la familia de virus a la que pertenece.

Según un relevamiento realizado por Wired News, esta es la información brindada por las diferentes empresas de seguridad.

Panda Software: Sostiene que se trata de un virus destructivo que satura de capacidad el disco rígido.
Network Associates: Un ejecutivo de la empresa declaró a Wired que el virus renombra los documentos que contienen imágenes o fragmentos de video. También sostuvo que el virus fue creado en Rusia.
Trend Micro: Para ellos, y siempre según Wired, el virus no es destructivo.
Symantec: El virus infecta la PC según la forma en que esta muestre la fecha.

Cómo extirpar el virus Sircam de la PC en 10 pasos

1. Hacer clic en el botón Inicio de Windows, luego en Ejecutar y allí escribir "command.com" (sin las comillas) y hacer clic en Aceptar.

2. Escribir "cd\windows" (sin comillas) y presionar Enter.

3. Escribir "copy regedit.exe regedit.com" (sin las comillas) y presionar Enter.

4. Escribir "regedit.com" (sin las comillas) y presionar Enter.

5. Navegar por las carpetas hasta llegar a HKEY_CLASSES_ROOT\Exefile\Shell\open\command

6. Encontrará una clave llamada "Predeterminado" con el siguiente valor: C:\recycled\Sirc32.exe" "%1" %

7. Hacer dos clics en la entrada y borrar la primera parte para que quede de la siguiente manera: "%1" %

8. Hacer clic en Aceptar y cerrar el Editor del Registro.

9. Reiniciar la máquina.

10. Una vez reiniciada la PC, descargue el archivo pqremove.com y ejecútelo.

Supernova

Supernova es un gusano de Internet que utiliza el popular servicio de intercambio de archivos Kazaa y el MSN Messenger para propagarse. Para esto se copia a sí mismo en la carpeta de archivos compartidos de Kazaa, con nombres de programas, películas y juegos populares para atraer a los usuarios y provocar su descarga. Cuando el archivo es ejecutado, el gusano muestra un mensaje falso de error:

Application attempted to read memory at 0xFFFFFFFFh
Terminating application

Luego se copia en la carpeta de archivos compartidos, y crea una copia en la carpeta de sistema de Windows con un nombre elegido aleatoriamente entre los siguientes:
Alles-ist-vorbei.exe
BigMac.exe
Blaargh.exe
Cheese-Burger.exe
Desktop-shooting.exe
Hello-Kitty.exe
También crea una entrada en el Registro de Windows para ser ejecutado cada vez que el sistema se reinicia. Muestra también un icono en el escritorio con el nombre de Hello-Kitty.exe. Utiliza además la Libreta de Direcciones de MSN Messenger para enviarse como un mensaje con alguno de los siguientes títulos:
Funny, check it out
Hehe, check this out :-)
Hehe, this is fun :-)
LOL!! Check this out :)
LOL!! See this :D

Crea también un archivo de texto llamado w32.Supernova, que contiene la siguiente línea:
Patch the leaks or the ship will sink (Parche las goteras o el barco se hundirá).
Este gusano es conocido también como Supova.Worm, Kitty.Worm, Kitty, WORM_SURNOVA.A, SURNOVA.A, Worm.P2P.Surnova o Supova.

CÓMO COMBATIRLO

Abra el Administrador de Procesos (Crtl + Alt + Del ó Supr). En la sección de Procesos, busque el que tiene el nombre AAAAAA, márquelo y oprima el botón Terminar Proceso (End Process). Cierre el administrador de procesos.
Abra el Editor de Registro. Para esto oprima el botón Inicio (Star), elija Ejecutar (Run) y en la ventana que se abre escriba Regedit. En el panel de la izquierda, abra las carpetas y subcarpetas correspondientes a la siguiente ruta:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run.

Marque Run, y en la carpeta de la derecha localice las entradas que contienen el siguiente valor: Supernova.
Marque esas entradas, oprima el botón derecho del mouse y elija Eliminar.
Cierre el editor de Registro.
Abra el Explorador de Windows (Consejo: Para abrir rápidamente el Explorador de Window, presione simultáneamente la tecla de Windows y la letra "e").
En el Explorador, abra la carpeta de sistema de Windows, y busque los siguientes archivos:
Alles-ist-vorbei.exe
BigMac.exe
Blaargh.exe
Cheese-Burger.exe
Desktop-shooting.exe
Hello-Kitty.exe

Si encuentra alguno de estos archivos, elimínelo.
Busque también un archivo de texto cuyo nombre sea un número aleatorio de hasta doce dígitos. Si encuentra un archivo con esa descripción, ábralo con un editor de texto, preferiblemente el Bloc de Notas. Puede abrir este programa oprimiendo el botón de Inicio, en el que elije Programas, en donde abre Accesorios. Ahí encontrará usualmente el Bloc de Notas.
Si al abrir el archivo aparece el texto "Patch the leaks or the ship will sink", cierre el Bloc de Notas y elimine el archivo.
Reinicie la computadora, y examínela con uno o varios antivirus actualizados.
(Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales)

LOS VIRUS MÁS DIFUNDIDOS

Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee:
1. LoveLetter
2. Nimda
3. Nimda.eml
4. Supova.worm
5. NoClose
6. Benjamin.a.worm
7. Klez.h
8. Nimda.htm
9. Nimda.gen
10. Exploit-MIME.gen

OfficENTER

Este nuevo virus ha sido descripto en la última entrega de TecTimes. Puede consultarse en http://www.tectimes.com/secciones/notas.asp?codnota=11004

Para quienes buscan pareja TROJ_MATCHER.A, nuevo virus para Outlook.

Este virus, que lleva por nombre TROJ_MATCHER.A, es un gusano troyano que ha sido creado en Visual Basic 6.0.
El virus se propaga a través del correo electrónico reenviándose a la libreta de direcciones de Windows del usuario infectado. TROJ_MATCHER.A se hace pasar por un "programa de emparejamiento amoroso" (Love Matching Program) y utiliza el componente Microsoft Script Control de Visual Basic para propagarse, utilizando el cliente de correo instalado por defecto.

El correo electrónico en inglés que reenvía el virus es el siguiente:

Asunto: Matcher
Texto del mensaje: Want to find your love mates!! Try this its cool... Looks and Attitude matching to opposite sex.
Archivo adjunto: Matcher.exe
Trend Micro ha actualizado el fichero de virus de su página web (patrón de virus 880).
Por otra parte, los clientes de Trend Micro también pueden utilizar el producto de filtrado de contenidos eManager* para InterScan* VirusWall*, para bloquear los correos electrónicos con el archivo adjunto MATCHER.EXE o el asunto MATCHER. Además, los usuarios de procesadores personales pueden revisarlos con HouseCall de Trend Micro, un servicio gratuito de análisis y detección de virus a través de Internet, que se encuentra en http://housecall.antivirus.com.
Panda Antivirus también cuenta con el antídoto correspondiente en su sitio.
"Esto parece una copia de mala calidad del virus Melissa -afirmó David Perry, director global de educación de Trend Micro-. Desafortunadamente, la gente todavía cae en la trampa. Esperamos que se tomen este aviso con seriedad y no abra ningún archivo adjunto .exe".

Esto es para tenerlo muy pero muy en cuenta

VIRUS SIN CURA!!!
SI RECIBE UN E-MAIL TITULADO "UP-GRADE INTERNET2" NO LO ABRAN, CONTIENE UN EJECUTABLE QUE SE LLAMA PERRIN.EXE. BORRA TODA LA INFORMACIÓN DE DISCO DURO Y SE REFUGIA EN LA MEMORIA. CADA VEZ QUE
SE CARGUE LA INFORMACIÓN EN EL DISCO DURO, LOS BORRARA DE NUEVO, DEJANDO INUTILIZABLE LA COMPUTADORA.

ESTE VIRUS ES MUY PELIGROSO. AUN NO EXISTE ANTIVIRUS.

Aquí también va un listado de los E-mails que no deben abrirse porque contienen virus, y que pueden venir como anexo a un E-mail. Se los debe borrar sin abrirlos, y así la computadora estará segura.

LOS VIRUS SON:
1) buddylst.exe
2) calcu18r.exe
3) deathpr.exe
4) einstein.exe
5) happ.exe
6) girls.exe
7) happy99.exe
8) japanese.exe
9) keypress.exe
10) kitty.exe
11) monday.exe
12) teletubb.exe
13) The Phantom Menace
14) prettypark.exe &g t;
15) UP-GRADE INTERNET 2
16) perrin.exe
17) I love Yo
18) CELCOM Screen Saver o CELSAVER.EXE
19) Win a Holiday (e-mail)
20) JOIN THE CREW O PENPALS
21) EAT SHIT
Es el ultimo y mas peligroso; ataca directamente el
archivo REGEDIT")

Llega en un mensaje titulado "FreePizza"
NO LO ABRAN NUNCA. NO ABRAS NADA CON ESTOS TÍTULOS.

Up-Grade Internet 2

VIRUS...SI RECIBEN UN E-MAIL TITULADO "UP-GRADE INTERNET2" NO LO ABRAN, CONTIENE UN EJECUTABLE QUE SE LLAMA PERRIN. EXE. BORRA TODA LA INFORMACIÓN DE DISCO DURO Y SE REFUGIA EN LA MEMORIA.
CADA VEZ QUE SE CARGUE LA INFORMACIÓN EN EL DISCO DURO, LOS BORRARA DE NUEVO, DEJANDO INUTILIZABLE A LA COMPUTADORA. ESTA INFORMACIÓN FUE PUBLICADA AYER EN LA PAGINA WEB DE LA CNN.
ESTE VIRUS ES MUY PELIGROSO. AUN NO EXISTE ANTIVIRUS.
ADEMÁS AQUÍ VA UN LISTADO ENVIADO POR IBM DE LOS E-MAIL QUE NO DEBEN ABRIRSE PORQUE TIENEN VIRUS Y QUE PUEDEN VENIR COMO ANEXOS A UN E-MAIL.
SE LOS DEBEN BORRAR SIN ABRIRLOS, Y ASÍ LA COMPUTADORA ESTARÁ SEGURA

LOS VIRUS SON:
1) buddylst.exe
2) calcu18r.exe
3) deathpr.exe
4) einstein.exe
5) happ.exe
6) girls.exe
7) happy99.exe
8) japanese.exe
9) keypress.exe
10) kitty..exe
11) monday.exe
12) teletubb.exe
13) The Phantom Menace
14) prettypark.exe
15) UP-GRADE INTERNET2
16) perrin.exe
17) I love You
18) CELCOM Screen Saver o CELSAVER.EXE
19) Win a Holiday (e-mail)
20) JOIN THE CREW O PENPALS
21) lovelette-for you.TXT-pif
No Abran un archivo de CAVEME que contiene adjunto este archivo.
NO ABRAS NADA CON ESTOS TITULOS.

"Vote"

De: Smartguy

Este nuevo gusano nunca habría saltado desde algunas casas antivirus a los medios de no ser por las referencias al World Trade Center (las torres gemelas) y la inminente guerra que parece se avecina, que lo han convertido en marketing para algunos y en carne de noticia para otros. Aunque sus efectos dañinos han sido muy anunciados, al fin y al cabo la parte más fácil de programar y que no le asegura su distribución masiva, no se esperan infecciones significativas.

"Vote" se ha convertido en objeto de discordia entre las propias casas antivirus. Mientras que algunas lo situaban en las primeras horas como "InTheWild" (distribución generalizada), otras lo catalogan ya como un "hype" (exageración).

En estos momentos la actividad de este gusano en España y en los países latinos tiende a cero. Al hecho de que se presente en inglés hay que sumar que se autoenvía en un mensaje de manera muy obvia y fácil de identificar, con textos fijos y adjuntado como un ejecutable (WTC.EXE). En principio, EE.UU. es el país donde podría darse la mayor propagación, ya que simula una encuesta sobre la posible e inminente guerra. Sin embargo, la simpleza del gusano hace pensar que no vaya a mayores y que se pueda neutralizar en pocos días.

"Vote Virus" es uno más de esos gusanos que aprovecha Outlook, el cliente de correo de Microsoft, para distribuirse entre todos los contactos de la libreta de direcciones. Una vez infectado un sistema, las acciones más destacadas consisten en intentar eliminar varios productos antivirus, borrar el directorio de Windows y formatear la unidad C:. Además, modifica la página de inicio de Internet Explorer para apuntar a un troyano que una vez instalado roba contraseñas del sistema infectado.

Aunque a primera vista parezca sofisticado por la cantidad de acciones dañinas que lleva a cabo, la realidad es otra bien distinta. Escrito en Visual Basic 5, necesita que el sistema a infectar tenga instalado el Runtime de Visual Basic (MSVBVM50.DLL) para poder ejecutarse. En el apartado técnico este gusano no aporta nada, se limita a copiar otros virus similares, por lo que el autor debería ser catalogado de nivel mediocre.

Así se presenta

El gusano se presenta en el archivo "WTC.EXE", iniciales del World Trade Center (las torres gemelas), adjunto en un mensaje de correo electrónico que simula ser una especie de encuesta sobre la inminente guerra que se vecina:

Asunto: Fwd:Peace BeTweeN AmeriCa And IsLaM !

Cuerpo: Hi iS iT A waR Against AmeriCa Or IsLaM !?
Let´s Vote To Live in Peace!

Análisis y carga dañina

Al abrir el archivo "WTC.EXE" se infecta el sistema con dos módulos escritos en Visual Basic Script que se encuentran almacenados dentro del ejecutable. El primero de ellos, "MixDaLaL.vbs" se copia en el directorio Windows y se ejecuta de forma inmediata. Su misión consiste en buscar todos los archivos con extensión .HTM y .HTML, tanto en las unidades locales como en las de red, y ponerles el siguiente atributo de oculto después de sobrescribirlos con el texto:

AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It´s Our Turn >>> ZaCkEr is So Sorry For You.

El segundo de los módulos, "ZaCker.vbs", se ubica en el directorio de sistema de Windows y se ejecuta cada vez que iniciemos el sistema, para lo que necesita modificar la siguiente entrada en el registro de Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ Norton.Thar=C:\WINDOWS\SYSTEM\ZaCker.vbs

La misión de "ZaCker.vbs" consiste en borrar todos los archivos del directorio Windows, sobreescribe el AUTOEXEC.BAT para que la próxima vez que se inicie el ordenador lleve a cabo un FORMAT C:, y reinicia Windows tras mostrar una ventana con el texto:

"I promiss We WiLL Rule The World Again...By The Way,You Are Captured By ZaCker !!!"

Otras de las acciones del gusano consiste en modificar la página de inicio de Internet Explorer, de manera que cuando abrimos el navegador por defecto apuntará a una dirección en Yahoo (us.f1.yahoofs.com) para bajarse el archivo "TimeUpdate.exe". Este troyano se copia en el directorio del sistema de Windows con el nombre "MSCTVR32.EXE" y crea una entrada en el registro de Windows para ejecutarse cada vez que se inicie el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft MMedia support=MSCTVR32.EXE

La características del troyano son las estándar en este tipo de especímenes: robar los datos del acceso telefónico a redes (nombres de usuario, contraseñas y números de teléfonos), números de identificación del ICQ, abrir puertas traseras, etc.

Como medida de autoprotección y supervivencia, el gusano elimina los siguientes directorios que se corresponden con la ubicación por defecto de algunos programas antivirus:

C:\Program Files\AntiVirus Toolkit Pro
C:\eSafeProtect
C:\Program Files\Command Software\F-PROT95
C:\PC-Cillin 95
C:\PC-Cillin 97
C:\Program Files\Quick Heal
C:\Program Files\FWIN32
C:\Program Files\FindVirus
C:\ToolkitFindVirus
C:\f-macro
C:\Program Files\McAfeeVirus\Scan95
C:\Program Files\Norton AntiVirus
C:\TBAVW95
C:\VS95

Prevención y desinfección

La prevención es de lo más sencilla, simplemente deberemos eliminar cualquier mensaje que nos llegue con el asunto y cuerpo mencionados, y jamás abrir el archivo adjunto "WTC.EXE". Como regla general, recordamos el consejo de no abrir archivos adjuntos no solicitados. La eliminación tampoco presenta mayores problemas. Si hemos ejecutado por error el archivo "WTC.EXE", deberemos permanecer en Windows, sin reiniciar el sistema, y con un editor de textos eliminaremos la línea del AUTOEXEC.BAT que hace referencia al formato de la unidad C: (echo y ¦ format C:). A continuación ejecutamos la utilidad REGEDIT.EXE para eliminar las entradas que el gusano introduce en el registro de Windows, ya comentadas con anterioridad, y que provocan que se active al iniciar el sistema.

Asimismo, debemos configurar la página inicial de Internet Explorer con la dirección que deseemos, para evitar que apunte al troyano. Por último deberemos buscar y eliminar los ejecutables (.EXE) y los scripts (.VBS) que hemos descrito en este análisis.

Debemos tener en cuenta que el gusano habrá sobrescrito todos los archivos .HTM y .HTML a su alcance, por lo que deberemos restaurarlos si contamos con copia de seguridad. Para agilizar la identificación de los archivos modificados, podemos hacer una búsqueda de los ficheros *.HTM *.HTML con tamaño máximo de 1 Kb. Otra posibilidad es que el gusano haya eliminado nuestro antivirus, en tal caso habrá que instalarlo de nuevo. Los principales antivirus del mercado ya reconocen a "Vote Virus", por lo que se recomienda a sus usuarios actualicen los productos.

Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=1067

Más información:

Vote Virus: un nuevo gusano tan oportunista como dañino
http://iblnews.com/news/noticia.php3?id=21319

Vote-virus (WTC) not widespread
http://www.f-secure.com/v-descs/vote.shtml

World Trade Center worm calls for vote on war
http://www.sophos.com/virusinfo/articles/votea.html

Win32.Vote.A@mm
http://www.avx-es.com/alert/win32.vote.a.php

W32/Vote@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99212

W32/Vote
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Vote

TROJ_VOTE.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VOTE.A

W32.Vote.A@mm
http://www.symantec.com/avcenter/venc/data/w32.vote.a@mm.html

Bernardo Quintero
bernardo@hispasec.com

Virus W32.Winux

La aparición de un nuevo virus ha vuelto a poner en alerta a todos los sistemas informáticos del mundo, ya que, aunque no es muy peligroso, es la primera vez que un virus puede afectar tanto a Windows como a Linux.
El nuevo virus W32.Winux, así llamado por Central Command, compañía antivirus que ha notificado su aparición, no es destructivo y no parece haber infectado ningún sistema por el momento. Sin embargo, según Keith Peer, presidente de la compañía, "el virus ha sentado precedente, ya que hasta ahora no pensábamos que esto fuera posible; luego, supone un paso más para los creadores de virus".
Tal y como ha explicado Central Command, W32.Winux es capaz de infectar todos los programas que funcionan bajo el sistema operativo de código abierto Linux y Windows, incluyendo 95, 98, Me, NT y 2000. En cuanto a su forma de actuar, el virus se propaga a través de un documento adjunto a un e-mail o cuando el usuario abre un programa infectado, de modo que, una vez activado, busca cualquier aplicación de Windows o Linux de al menos 100 KB y procede a infectarlas.
Según Central Command, que recibió la noticia del virus a través de un e-mail anónimo procedente de la República Checa, el responsable podría ser un programador llamado Benny, que afirma pertenecer a 29A, un grupo de creadores de virus. Esta asociación parece ser, además, la responsable de anteriores virus que, aunque no son destructivos, se han considerado como muy innovadores en sentido técnico.
W32.Winux está escrito en un lenguaje informático primitivo, llamado assembly language (ensamblador). Según los expertos, esto es lo que hace posible que pueda infectar ambos sistemas operativos, a pesar de lo cual no se extiende muy rápidamente. Según Keith Peer, el virus sólo se desarrolla en PCs con procesadores Intel Pentium, lo que significa que no puede alcanzar a los servidores de Sun Microsystems que funcionan con Linux. Además, a diferencia de los últimos virus que han aparecido, como Melissa o I love you, el W32.Winux no se autoenvía a través del correo electrónico al resto de las direcciones.
En el sitio www.avx.com, Central Command ya ha puesto el antídoto desarrollado específicamente para este mal informático.

W32.Badtrans.B@mm

Como saber si tu sistema está infectado:

Te recomiendo chequear tu sistema de manera simple para saber si tiene el virus.

* Utilizando el explorador de archivos (herramientas / buscar /archivos o carpetas) busque kernel32.exe
Si lo encuentra estará instalado en windows/system. Importante: vas a encontrar un archivo llamado kernel32.dll NO TE PREOCUPES, ese Sí es un archivo del sistema.
* Si estás infectado, trate de NO conectarte a internet hasta eliminarlo, ya que se auto-envía continuamente.

Como eliminar el virus:

* En principio si tiene instalado algún antivirus, actualize en el sitio que corresponda y hágalo correr.
* Si no tiene antivirus puede hacer un chequeo vía internet en los siguientes sitios (aún sin ser usuario de ese software):
Panda Antivirus: www.pandaantivirus.com.ar
Norton Antivirus: www.symantec.com/region/mx/homecomputing
VirusScan: www.mcafee.com/myapps/clinic

Como última medida podés eliminarlo manualmente de la siguiente manera:

1) Inicie tu PC en modo a prueba de fallos (de otro modo no te dejará borrarlo).
2) Busque y borre con tu explorador preferido los siguientes archivos (siempre en la carpeta c:\windows\system\).
kernel32.exe (el gusano).
kdll.dll (troyano que captura el teclado).
cp_25389.nls (registro de captura del troyano).
protocol.dll (registro con todas las direcciones a las que se envía).
3) Abrí el registro de sistema y borre la siguiente línea:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Kernel32 = kernel32.exe
(En la barra de tareas: inicio/ejecutar colocá regedit y se abrirá el editor del registro. En edición/buscar coloque la línea que quiere encontrar -o la palabra clave kernel32.exe-).
4) Nuevamente en inicio/ejecutar coloque msconfig. Abrí la pestaña INICIO y deshabilite (quite el tilde) a todas las opciones donde figure la palabra kernel32.exe (tal vez no figure) sin importar que otra cosa haya en la línea.
5) Borrá TODOS (T-O-D-O-S !!!) los e-mail recibidos sospechosos de virus, tanto de la 'bandeja de entrada' como de 'elementos eliminados' (al principio te indiqué como identificarlos).
6) Listo, pero por ahora. Cargá un antivirus confiable para prevenir nuevas infecciones, pues es una plaga.
7) Envía esta información a todos aquellos posibles infectados por tu intermedio.

Esta es la información:
Nuevo virus encontrado:
Nombre: Win95-BigBrother

Su desinfección de momento es imposible. Llega como un e-mail con el asunto "big-brother". Para infectarse simplemente hay que abrir el mensaje. Si recibe un correo con ese asunto: BORRELO o su ordenador quedara infectado por el BigBrother.
Características: Una de las cosas que lo hace más peligroso es que es muy difícil de detectar salvo para ojos expertos. Su principal característica es que se dedica a "espiar" el ordenador infectado y es capaz de enviar información de nuestro disco duro a un servidor mirror situado en Europa del Este. Este servidor recoge y cataloga la información recibida: passwords, nombres de usuario, cuentas bancarias con sus contraseñas para luego usarlas en su provecho por el creador del virus. Incluso en ordenadores con WebCam es capaz de ponerla en funcionamiento y enviar instantáneas nuestras cada 30 segundos, de esta forma se convierte en un verdadero Gran Hermano. Aunque la mayor parte de la gente no dispone de webcam el hecho de que lea las passwords lo hace realmente peligroso. Desinfección: De momento es imposible, aunque estamos trabajando en ello. Medidas a tomar: No abrir ningún correos con el asunto Big Brother y avisar al remitente porque estará infectado sin saberlo y nos estará mandando el virus cada vez que se conecte a internet.

Nuevo Virus!!!! WTC

Esto me vino desde Estado Unidos de Norteamérica, "ATENCIÓN".
Acaba de divulgarse por todas las cadenas noticiosas la información sobre la existencia de un nuevo virus poderosísimo relacionado con el atentado terrorista a las torres gemelas.

Características:
Es enviado a través del correo electrónico bajo el "Asunto" o "Subject" : "Paz entre América y el Islam" u "Oremos por la paz entre América y el Islam" y se adjunta un archivo : "WTC.Exe"
No tiene aún antivirus, por lo que hay que eliminarlo al instante.
Por favor reenvíe este mensaje a la mayor cantidad de personas posibles.

Yaha.e

Este gusano llega por medio del correo electrónico como un archivo adjunto con formato UPX . Al ejecutarse crea una copia de sí mismo en el directorio de la Papelera de Reciclaje con un nombre de cuatro letras elegidas al azar, y cambia sus atributos a "ocultos".

Luego revisa la computadora para detectar direcciones de correo electrónico de diversas fuentes y que contengan las letras "ht" y procede a autoenviarse. Tiene su propio cliente SMTP, por lo que no necesita el Outlook ni otro cliente de correo. Elige el asunto, el mensaje y el nombre del archivo adjunto de forma aleatoria dentro de una lista.

También trata de determinar si se están ejecutando varios procesos de antivirus y cortafuegos, para deshabilitarlos. Cuando se ejecuta por primera vez muestra diferentes mensajes en varios colores, simulando ser un protector de pantalla.

CÓMO COMBATIRLO

Oprima el botón de Inicio (Start) y en el menú oprima el botón Ejecutar (Run). En la ventana que se abre escriba lo siguiente: Command /c Rename C:\Windows\Regedit.exe Regedit.com. (Si el directorio de Windows no está en C:, debe cambiar la referencia para que mencione el directorio en el que se encuentra).

El objetivo de este procedimiento es cambiar el nombre del Editor de Registro que es utilizado por el virus. Es muy importante tener cuidado con los cambios que se hagan en el editor, pues un error puede producir problemas con los programas, pérdida de datos o archivos corruptos. Cambie solamente las entradas que se indican.

Cuando se haya cambiado el nombre del Editor de Registro a un .com, con el procedimiento anterior, oprima el botón de Inicio, en el menú oprima el botón Ejecutar y escriba Regedit.com.

En la ventana de la izquiera, abra la carpeta HKEY_CLASSES_ROOT, en ella abra "exefile", en ella abra "shell", en ella abra "open" y en ella marque la carpeta "command".

En el panel de la derecha busque la entrada (Predeterminado) = "c:\recycled\xxxxxxx %1 %*". Las letras xxxxxxx indican el nombre que le virus a adoptado. Haga clic con el botón derecho del mouse en la palabra "Predeterminado" y elija "modificar". En la información del valor borre la entrada y escriba "%1" %*, (o sea que debe escribir comillas, porcentaje, 1, comillas, espacio, porcentaje, asterisco).

Salga del Editor de Registro, confirme los cambios, y reinicie la computadora.

Cuando la computadora se haya reiniciado, oprima el botón de Inicio, seleccione Ejecutar, y escriba Command /c Rename C:\Windows\Regedit.com Regedit.exe. El objetivo es el de volver a darle al Editor de Registro su nombre original.

Revise el sistema con un antivirus actualizado para remover las copias del virus del sistema.
(Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales)

LOS VIRUS MÁS DIFUNDIDOS

Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee:

1. LoveLetter
2. Gorum.gen
3. Nimda.eml
4. Benjamin.worm
5. Klez.h
6. Magistr.a
7. Elkern.cav.c
8. NoClose
9. Exploit-MIME.gen.b
10. Klez

MITOS SOBRE VIRUS

Puedo saber quién me envió un virus por su dirección

Hace tiempo, cuando se recibía un virus, era posible saber si procedía de la computadora infectada de un amigo o conocido, con lo que se le podía prevenir para que revisara su máquina. Sin embargo, la complejidad de los virus está llegando a un punto en que es posible recibir un virus "de parte de alguien" que no lo envió.

El virus Klez.h tiene su propio motor SMTP, por lo que no necesita un cliente de correo como el Outlook o el Eudora para enviarse, y tiene la capacidad de incluir remitentes fantasmas, elegidos de entre las direcciones de correo de la máquina afectada. En resumen, se puede recibir un mensaje de la máquina de una persona, que indica que fue enviada desde otro lugar.

Por ejemplo, en Infotarget.com mantenemos una vigilancia constante de los sistemas con los que trabajamos. Podemos garantizar así que los boletines que enviamos están libres de virus. Sin embargo muchas personas tienen nuestra dirección en sus equipos, y de esas máquinas, sobre las que no tenemos ningún tipo de control, se envían mensajes infectados con nuestro nombre como remitente.

De igual manera, si recibe un mensaje con un virus ya no es seguro que quien figure como remitente sea el dueño de la máquina infectada. Puede ser que muchos de sus conocidos reciban virus que lo mencionen a usted como remitente, sin que su máquina esté realmente infectada.

Esta capacidad de los virus es relativamente nueva. Muchas veces sí podemos avisar a nuestros amigos que su computadora está enviando virus. Sin embargo ya no podemos estar completamente seguros de quien es el que nos envió el archivo infectado, lo que debemos tomar en cuenta cuando deseamos responder.

Para volver a la página inicial de "Información sobre Virus", haga clic
AQUÍ