Ya que estan proliferando los foros para anunciar nuevos malware, por favor de ahora en adelante anunciarlos todos aqui y asi no estamos abriendo exceso de hilos que se quedan sin respuestas.
OFICIAL: Anuncios de nuevos virus, gusanos, troyanos, etc
- Iniciador del tema Krieg
- Fecha de inicio
Adware a cambio de vídeos y música en P2P
13/12/2005. PandaLabs ha detectado la difusión por diversos medios en Internet de una serie de ficheros que supuestamente contienen música y vídeo, pero que además encierran un regalo envenenado: para poder disfrutar de ellos, se debe acceder a instalar adware. La excusa es la consecución de una licencia para poder reproducir los archivos, que implica la aceptación de la instalación del adware. Se da la circunstancia además de que los ficheros recibidos hasta el momento por PandaLabs no contienen realmente ningún tipo de vídeo ni música, aunque no se descarta que esto pueda ocurrir. Estos ficheros son detectados por Panda Software como WmaDownloader.B.
El problema comienza con la descarga, por parte del usuario, de un supuesto fichero de vídeo (*.wmv) o de audio (*.wma). En el momento en que el usuario pretende ejecutar dichos archivos para visualizarlos en su ordenador, éstos muestran una ventana que pide al usuario la adquisición de una licencia. En ella se explica que para obtenerla gratuitamente, el usuario debe instalar IST Toolbar, un conocido adware que es usado como puerta de entrada para muchas otras amenazas.
“Pese a que se advierte al usuario de la instalación del adware, y se invita al usuario a visitar el acuerdo de licencia, ésta está formulada en términos claramente abusivos, y además se aprovecha de la circunstancia de que poca gente entiende las implicaciones que tiene instalar este adware y el impacto que puede llegar a tener en su equipo, ya que por medio de él acceden muchas otras amenazas al sistema”, comenta Luis Corrons, director de PandaLabs. “Además, no debemos olvidar que en las muestras recibidas por PandaLabs el sistema es aún más fraudulento, ya que ni siquiera hay video o audio realmente tras los archivos”.
En el momento en que se muestra esta ventana, a su vez se solicita la instalación de un control ActiveX, que es el propio IST Toolbar mencionado en la ventana. Si el usuario no acepta la instalación, el usuario no se infectará, así como tampoco podrá reproducir el vídeo y audio. Si el usuario acepta, se descargará IST Toolbar (detectado por Panda Software como ISTBar), infectando el sistema, lo que permite reproducir el fichero, en caso de haberlo. Aparecerá así mismo una ventana anunciando la adquisición de la licencia.
Sin embargo, puede que esto no siempre sea así, como comenta Luis Corrons: “La advertencia de instalación del ActiveX no se mostrará en equipos cuya configuración de seguridad esté en nivel bajo, algo que puede ocurrir porque el propio usuario lo configure de esta manera, o porque alguna otra especie de malware con la capacidad de modificarlos haya actuado previamente. Por ello, es muy importante revisar la configuración del navegador para neutralizar la instalación de controles ActiveX de dudosa procedencia”. Todo este proceso sólo es válido para equipos que tengan instalado en sus sistemas Windows Media Player 9 ó una versión posterior.
El problema comienza con la descarga, por parte del usuario, de un supuesto fichero de vídeo (*.wmv) o de audio (*.wma). En el momento en que el usuario pretende ejecutar dichos archivos para visualizarlos en su ordenador, éstos muestran una ventana que pide al usuario la adquisición de una licencia. En ella se explica que para obtenerla gratuitamente, el usuario debe instalar IST Toolbar, un conocido adware que es usado como puerta de entrada para muchas otras amenazas.
“Pese a que se advierte al usuario de la instalación del adware, y se invita al usuario a visitar el acuerdo de licencia, ésta está formulada en términos claramente abusivos, y además se aprovecha de la circunstancia de que poca gente entiende las implicaciones que tiene instalar este adware y el impacto que puede llegar a tener en su equipo, ya que por medio de él acceden muchas otras amenazas al sistema”, comenta Luis Corrons, director de PandaLabs. “Además, no debemos olvidar que en las muestras recibidas por PandaLabs el sistema es aún más fraudulento, ya que ni siquiera hay video o audio realmente tras los archivos”.
En el momento en que se muestra esta ventana, a su vez se solicita la instalación de un control ActiveX, que es el propio IST Toolbar mencionado en la ventana. Si el usuario no acepta la instalación, el usuario no se infectará, así como tampoco podrá reproducir el vídeo y audio. Si el usuario acepta, se descargará IST Toolbar (detectado por Panda Software como ISTBar), infectando el sistema, lo que permite reproducir el fichero, en caso de haberlo. Aparecerá así mismo una ventana anunciando la adquisición de la licencia.
Sin embargo, puede que esto no siempre sea así, como comenta Luis Corrons: “La advertencia de instalación del ActiveX no se mostrará en equipos cuya configuración de seguridad esté en nivel bajo, algo que puede ocurrir porque el propio usuario lo configure de esta manera, o porque alguna otra especie de malware con la capacidad de modificarlos haya actuado previamente. Por ello, es muy importante revisar la configuración del navegador para neutralizar la instalación de controles ActiveX de dudosa procedencia”. Todo este proceso sólo es válido para equipos que tengan instalado en sus sistemas Windows Media Player 9 ó una versión posterior.
esta circulando por las listas de correo un exploit que funciona via web, me parece que es el resultado de explotar esto:
http://secunia.com/advisories/18255/
Si alguien quiere infectar su windows xp:
http://unio[remueva]nseek.com/d/t1/wmf_exp.htm
http://69.50[remueva].183.34/m.html
http://69.50.183[remueva].34/xpl.wmf
no me responsabilizo por discos formateados y/o algun otro daño
http://secunia.com/advisories/18255/
Si alguien quiere infectar su windows xp:
http://unio[remueva]nseek.com/d/t1/wmf_exp.htm
http://69.50[remueva].183.34/m.html
http://69.50.183[remueva].34/xpl.wmf
no me responsabilizo por discos formateados y/o algun otro daño
Bueno aqui va un anucnio que vi por una web
salu2
[/FONT]
[FONT=Verdana, Arial, Helvetica, sans-serif]
salu2
[/FONT]
Esto me llego por el correo corporativo.
ESTO ES MUY URGENTE!!!!!!!!!!!!!!!!! hola!!!!!
Dile a todos los contactos que tengas que no acepten como contacto a:
sonia_cabrilis es de hotmail, es un virus que formatea tu equipo y si tus contactos lo aceptan lo tendrás tu también, avísales, solo da copiar y Pegar es urgente!!!!!! TIENES QUE TENER MUCHO CUIDADO...
SI TE SALE UN AVISO PARA AÑADIR A ALGUIEN EN TU MESSENGER CON LA
DIRECCIÓN:
" brujita_tierna69@hotmail.com "
NO LO ACEPTES!!! ES UN NUEVO VIRUS EXTREMADAMENTE POTENTE QUE SE TRANSMITE TODOS TUS CONTACTOS Y TE FORMATEA EL ORDENADOR. ¡¡¡ESTO ES MUY IMPORTANTE!!!
MÁNDALE ESTE MAIL A TODA LA GENTE QUE TENGAS EN TU LISTA DE DIRECCIONES MSN). POR FAVOR, ESTO TIENE QUE SABERLO TODO EL MUNDO, PORQUE SI NO LO MANDAS, A TI TAMBIÉN TE PUEDE AFECTAR, PORQUE SI ERES CONTACTO DE UNA PERSONA QUE LO ACEPTO, A TI TAMBIÉN TE LLEGA EL VIRUS.
Y TAMBIÉN: Puedes recibir un mail en una presentación de PowerPoint aparentemente inofensiva, titulado:
La vida es bella.pps
Si lo recibes NO ABRAS EL ARCHIVO BAJO NINGUNA CIRCUNSTANCIA. Y bórralo inmediatamente. Si abres ese archivo aparecerá en tu monitor un mensaje: Ahora es tarde, su vida no es más bella", enseguida PERDERÁS TODO LO QUE TENGAS EN TU PC y la persona que lo envió tendrá acceso a tu nombre, e-mail y password. Se trata de un nuevo virus que comenzó a circular el sábado por la tarde.
NECESITAMOS HACER TODO LO POSIBLE PARA DETENER ESE VIRUS
La UOL ya confirmó su peligrosidad y los Software antivirus no están aptos para destruirlo. El virus fue creado por un hacker que se autodenomina EL DUEÑO DE LA VIDA y tiene en mente destruir las PC domésticas en su lucha contra Microsoft Por eso viene disfrazado con una extensión pps. COPIA ESTE MAIL PARA TODOS TUS AMIGOS RECUERDA: SI LO ENVÍAS A TUS AMIGOS, NOS BENEFICIAS A TODOS
No se que tan cierto sea.
ESTO ES MUY URGENTE!!!!!!!!!!!!!!!!! hola!!!!!
Dile a todos los contactos que tengas que no acepten como contacto a:
sonia_cabrilis es de hotmail, es un virus que formatea tu equipo y si tus contactos lo aceptan lo tendrás tu también, avísales, solo da copiar y Pegar es urgente!!!!!! TIENES QUE TENER MUCHO CUIDADO...
SI TE SALE UN AVISO PARA AÑADIR A ALGUIEN EN TU MESSENGER CON LA
DIRECCIÓN:
" brujita_tierna69@hotmail.com "
NO LO ACEPTES!!! ES UN NUEVO VIRUS EXTREMADAMENTE POTENTE QUE SE TRANSMITE TODOS TUS CONTACTOS Y TE FORMATEA EL ORDENADOR. ¡¡¡ESTO ES MUY IMPORTANTE!!!
MÁNDALE ESTE MAIL A TODA LA GENTE QUE TENGAS EN TU LISTA DE DIRECCIONES MSN). POR FAVOR, ESTO TIENE QUE SABERLO TODO EL MUNDO, PORQUE SI NO LO MANDAS, A TI TAMBIÉN TE PUEDE AFECTAR, PORQUE SI ERES CONTACTO DE UNA PERSONA QUE LO ACEPTO, A TI TAMBIÉN TE LLEGA EL VIRUS.
Y TAMBIÉN: Puedes recibir un mail en una presentación de PowerPoint aparentemente inofensiva, titulado:
La vida es bella.pps
Si lo recibes NO ABRAS EL ARCHIVO BAJO NINGUNA CIRCUNSTANCIA. Y bórralo inmediatamente. Si abres ese archivo aparecerá en tu monitor un mensaje: Ahora es tarde, su vida no es más bella", enseguida PERDERÁS TODO LO QUE TENGAS EN TU PC y la persona que lo envió tendrá acceso a tu nombre, e-mail y password. Se trata de un nuevo virus que comenzó a circular el sábado por la tarde.
NECESITAMOS HACER TODO LO POSIBLE PARA DETENER ESE VIRUS
La UOL ya confirmó su peligrosidad y los Software antivirus no están aptos para destruirlo. El virus fue creado por un hacker que se autodenomina EL DUEÑO DE LA VIDA y tiene en mente destruir las PC domésticas en su lucha contra Microsoft Por eso viene disfrazado con una extensión pps. COPIA ESTE MAIL PARA TODOS TUS AMIGOS RECUERDA: SI LO ENVÍAS A TUS AMIGOS, NOS BENEFICIAS A TODOS
No se que tan cierto sea.
VIRUS: WIN32/MYTOB.TB
> INFORMACION
Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC.
> CARACTERISTICAS
Crea el siguiente archivo en el sistema infectado:
c:\windows\system32\msclt.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
El gusano modifica algunas de la siguiente entrada del registro para ejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft
\Windows\CurrentVersion\Run
Microsoft client for NT = msclt.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
Microsoft client for NT = msclt.exe
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = N
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = Explorer.exe msclt.exe
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Microsoft client for NT = msclt.exe
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
Microsoft client for NT = msclt.exe
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Restrictanonymous = 1
HKLM\SYSTEM\CurrentControlSet
\Services\SharedAccess
Start = 4
HKLM\SYSTEM\CurrentControlSet
\Services\wuauserv
Start = 4
El gusano se propaga en mensajes con algunos de los siguientes archivos como adjuntos:
animation_icon_pack.exe
animation_icons.zip
critical_update.zip
document.TXT.exe
document_saved.zip
document1.DOC.scr
file.TXT.scr
free sms install.zip
free_smser_install.exe
free_stuff_2394.zip
images_packed_with_winzip.ZIP.exe
install_update.exe
messenger_icons.zip
messgr_icon_install.exe
new version (messenger).zip
pictures_winzip.zip
readme.DOC.scr
secret (important).zip
story_read_this.zip
Upgrade_messenger.exe
Modifica el archivo HOSTS con el siguiente texto, para que los sitios indicados allí no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
downloads-eu1 .kaspersky-labs .com
downloads-eu2 .kaspersky-labs .com
downloads-eu3 .kaspersky-labs .com
downloads-eu4 .kaspersky-labs .com
downloads-us1 .kaspersky-labs .com
downloads-us2 .kaspersky-labs .com
downloads-us3 .kaspersky-labs .com
downloads-us4 .kaspersky-labs .com
f-secure .com
ftp .avp .com
ftp .ca .com
ftp .customer .symantec .com
ftp .dispatch .mcafee .com
ftp .download .mcafee .com
ftp .downloads1 .kaspersky-labs .com
ftp .downloads2 .kaspersky-labs .com
ftp .downloads3 .kaspersky-labs .com
ftp .downloads4 .kaspersky-labs .com
ftp .downloads-eu1 .kaspersky-labs .com
ftp .downloads-eu2 .kaspersky-labs .com
ftp .downloads-eu3 .kaspersky-labs .com
ftp .downloads-eu4 .kaspersky-labs .com
ftp .downloads-us1 .kaspersky-labs .com
ftp .downloads-us2 .kaspersky-labs .com
ftp .downloads-us3 .kaspersky-labs .com
ftp .downloads-us4 .kaspersky-labs .com
ftp .f-secure .com
ftp .grisoft .com
ftp .kaspersky .com
ftp .kaspersky-labs .com
ftp .liveupdate .symantec .com
ftp .liveupdate .symantecliveupdate .com
ftp .mast .mcafee .com
ftp .mcafee .com
ftp .my-etrust .com
ftp .nai .com
ftp .networkassociates .com
ftp .norton .com
ftp .rads .mcafee .com
ftp .sandbox .norman .com
ftp .secure .nai .com
ftp .securityresponse .symantec .com
ftp .sophos .com
ftp .symantec .com
ftp .symantecliveupdate .com
ftp .symatec .com
ftp .trendmicro .com
ftp .uk .trendmicro-europe .com
ftp .update .symantec .com
ftp .updates .symantec .com
ftp .updates1 .kaspersky-labs .com
ftp .updates2 .kaspersky-labs .com
ftp .updates3 .kaspersky-labs .com
ftp .updates4 .kaspersky-labs .com
ftp .us .mcafee .com
ftp .viruslist .com
grisoft .com
kaspersky .com
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
localhost
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
norton .com
pandasoftware .com
rads .mcafee .com
sandbox .norman .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
symantecliveupdate .com
symatec .com
trendmicro .com
uk .trendmicro-europe .com
update .symantec .com
updates .symantec .com
updates1 .kaspersky-labs .com
updates2 .kaspersky-labs .com
updates3 .kaspersky-labs .com
updates4 .kaspersky-labs .com
us .mcafee .com
viruslist .com
virusscan .jotti .org
virustotal .com
www .avp .com
www .ca .com
www .customer .symantec .com
www .dispatch .mcafee .com
www .download .mcafee .com
www .downloads1 .kaspersky-labs .com
www .downloads2 .kaspersky-labs .com
www .downloads3 .kaspersky-labs .com
www .downloads4 .kaspersky-labs .com
www .downloads-eu1 .kaspersky-labs .com
www .downloads-eu2 .kaspersky-labs .com
www .downloads-eu3 .kaspersky-labs .com
www .downloads-eu4 .kaspersky-labs .com
www .downloads-us1 .kaspersky-labs .com
www .downloads-us2 .kaspersky-labs .com
www .downloads-us3 .kaspersky-labs .com
www .downloads-us4 .kaspersky-labs .com
www .f-secure .com
www .grisoft .com
www .kaspersky .com
www .kaspersky-labs .com
www .liveupdate .symantec .com
www .liveupdate .symantecliveupdate .com
www .mast .mcafee .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .norton .com
www .pandasoftware .com
www .rads .mcafee .com
www .sandbox .norman .com
www .secure .nai .com
www .securityresponse .symantec .com
www .sophos .com
www .symantec .com
www .symantecliveupdate .com
www .symatec .com
www .trendmicro .com
www .uk .trendmicro-europe .com
www .update .symantec .com
www .updates .symantec .com
www .updates1 .kaspersky-labs .com
www .updates2 .kaspersky-labs .com
www .updates3 .kaspersky-labs .com
www .updates4 .kaspersky-labs .com
www .us .mcafee .com
www .viruslist .com
www .virustotal .com
El componente BOT que el gusano ejecuta, intenta conectarse a un canal de IRC en un servidor determinado, y queda a la espera de comandos de un usuario remoto.
Un atacante podrá realizar las siguientes acciones en el equipo infectado:
Actualizarse a si mismo
Borrar archivos
Descargar archivos
Ejecutar archivos
Ejecutar otros comandos de IRC
Obtener información del equipo infectado
Reiniciar la computadora
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna Nombre, la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en las siguientes claves del registro:
HKCU\Software\Microsoft
\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
6. En Windows NT, 2000 y XP, abra la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
7. Modifique bajo la columna "Nombre", la entrada "Shell", para que solo contenga lo siguiente:
Shell = explorer.exe
8. Cierre el editor del Registro del sistema.
9. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
10. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione Seleccionar el programa de una lista, Aceptar, y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE Utilizar siempre el programa seleccionado para abrir este tipo de archivos.
11. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
12. Acepte guardar los cambios al salir del bloc de notas.
12. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
> INFORMACION
Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC.
> CARACTERISTICAS
Crea el siguiente archivo en el sistema infectado:
c:\windows\system32\msclt.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
El gusano modifica algunas de la siguiente entrada del registro para ejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft
\Windows\CurrentVersion\Run
Microsoft client for NT = msclt.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
Microsoft client for NT = msclt.exe
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = N
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = Explorer.exe msclt.exe
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Microsoft client for NT = msclt.exe
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
Microsoft client for NT = msclt.exe
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Restrictanonymous = 1
HKLM\SYSTEM\CurrentControlSet
\Services\SharedAccess
Start = 4
HKLM\SYSTEM\CurrentControlSet
\Services\wuauserv
Start = 4
El gusano se propaga en mensajes con algunos de los siguientes archivos como adjuntos:
animation_icon_pack.exe
animation_icons.zip
critical_update.zip
document.TXT.exe
document_saved.zip
document1.DOC.scr
file.TXT.scr
free sms install.zip
free_smser_install.exe
free_stuff_2394.zip
images_packed_with_winzip.ZIP.exe
install_update.exe
messenger_icons.zip
messgr_icon_install.exe
new version (messenger).zip
pictures_winzip.zip
readme.DOC.scr
secret (important).zip
story_read_this.zip
Upgrade_messenger.exe
Modifica el archivo HOSTS con el siguiente texto, para que los sitios indicados allí no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
downloads-eu1 .kaspersky-labs .com
downloads-eu2 .kaspersky-labs .com
downloads-eu3 .kaspersky-labs .com
downloads-eu4 .kaspersky-labs .com
downloads-us1 .kaspersky-labs .com
downloads-us2 .kaspersky-labs .com
downloads-us3 .kaspersky-labs .com
downloads-us4 .kaspersky-labs .com
f-secure .com
ftp .avp .com
ftp .ca .com
ftp .customer .symantec .com
ftp .dispatch .mcafee .com
ftp .download .mcafee .com
ftp .downloads1 .kaspersky-labs .com
ftp .downloads2 .kaspersky-labs .com
ftp .downloads3 .kaspersky-labs .com
ftp .downloads4 .kaspersky-labs .com
ftp .downloads-eu1 .kaspersky-labs .com
ftp .downloads-eu2 .kaspersky-labs .com
ftp .downloads-eu3 .kaspersky-labs .com
ftp .downloads-eu4 .kaspersky-labs .com
ftp .downloads-us1 .kaspersky-labs .com
ftp .downloads-us2 .kaspersky-labs .com
ftp .downloads-us3 .kaspersky-labs .com
ftp .downloads-us4 .kaspersky-labs .com
ftp .f-secure .com
ftp .grisoft .com
ftp .kaspersky .com
ftp .kaspersky-labs .com
ftp .liveupdate .symantec .com
ftp .liveupdate .symantecliveupdate .com
ftp .mast .mcafee .com
ftp .mcafee .com
ftp .my-etrust .com
ftp .nai .com
ftp .networkassociates .com
ftp .norton .com
ftp .rads .mcafee .com
ftp .sandbox .norman .com
ftp .secure .nai .com
ftp .securityresponse .symantec .com
ftp .sophos .com
ftp .symantec .com
ftp .symantecliveupdate .com
ftp .symatec .com
ftp .trendmicro .com
ftp .uk .trendmicro-europe .com
ftp .update .symantec .com
ftp .updates .symantec .com
ftp .updates1 .kaspersky-labs .com
ftp .updates2 .kaspersky-labs .com
ftp .updates3 .kaspersky-labs .com
ftp .updates4 .kaspersky-labs .com
ftp .us .mcafee .com
ftp .viruslist .com
grisoft .com
kaspersky .com
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
localhost
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
norton .com
pandasoftware .com
rads .mcafee .com
sandbox .norman .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
symantecliveupdate .com
symatec .com
trendmicro .com
uk .trendmicro-europe .com
update .symantec .com
updates .symantec .com
updates1 .kaspersky-labs .com
updates2 .kaspersky-labs .com
updates3 .kaspersky-labs .com
updates4 .kaspersky-labs .com
us .mcafee .com
viruslist .com
virusscan .jotti .org
virustotal .com
www .avp .com
www .ca .com
www .customer .symantec .com
www .dispatch .mcafee .com
www .download .mcafee .com
www .downloads1 .kaspersky-labs .com
www .downloads2 .kaspersky-labs .com
www .downloads3 .kaspersky-labs .com
www .downloads4 .kaspersky-labs .com
www .downloads-eu1 .kaspersky-labs .com
www .downloads-eu2 .kaspersky-labs .com
www .downloads-eu3 .kaspersky-labs .com
www .downloads-eu4 .kaspersky-labs .com
www .downloads-us1 .kaspersky-labs .com
www .downloads-us2 .kaspersky-labs .com
www .downloads-us3 .kaspersky-labs .com
www .downloads-us4 .kaspersky-labs .com
www .f-secure .com
www .grisoft .com
www .kaspersky .com
www .kaspersky-labs .com
www .liveupdate .symantec .com
www .liveupdate .symantecliveupdate .com
www .mast .mcafee .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .norton .com
www .pandasoftware .com
www .rads .mcafee .com
www .sandbox .norman .com
www .secure .nai .com
www .securityresponse .symantec .com
www .sophos .com
www .symantec .com
www .symantecliveupdate .com
www .symatec .com
www .trendmicro .com
www .uk .trendmicro-europe .com
www .update .symantec .com
www .updates .symantec .com
www .updates1 .kaspersky-labs .com
www .updates2 .kaspersky-labs .com
www .updates3 .kaspersky-labs .com
www .updates4 .kaspersky-labs .com
www .us .mcafee .com
www .viruslist .com
www .virustotal .com
El componente BOT que el gusano ejecuta, intenta conectarse a un canal de IRC en un servidor determinado, y queda a la espera de comandos de un usuario remoto.
Un atacante podrá realizar las siguientes acciones en el equipo infectado:
Actualizarse a si mismo
Borrar archivos
Descargar archivos
Ejecutar archivos
Ejecutar otros comandos de IRC
Obtener información del equipo infectado
Reiniciar la computadora
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna Nombre, la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en las siguientes claves del registro:
HKCU\Software\Microsoft
\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
6. En Windows NT, 2000 y XP, abra la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
7. Modifique bajo la columna "Nombre", la entrada "Shell", para que solo contenga lo siguiente:
Shell = explorer.exe
8. Cierre el editor del Registro del sistema.
9. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
10. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione Seleccionar el programa de una lista, Aceptar, y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE Utilizar siempre el programa seleccionado para abrir este tipo de archivos.
11. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
12. Acepte guardar los cambios al salir del bloc de notas.
12. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Troyano Borra tu musica, porno y warez
me encontre una información que este troyano (Trojan/Erazor-A) además de deshabilitar malware de la competencia, borra la musica, porno y warez de los directorios P2P; especificamente busca los directorios de descarga MP3, AVI, MPEG, WMV, Gif, Zip y borra todos los archivos que tengan estas extensiones.
me encontre una información que este troyano (Trojan/Erazor-A) además de deshabilitar malware de la competencia, borra la musica, porno y warez de los directorios P2P; especificamente busca los directorios de descarga MP3, AVI, MPEG, WMV, Gif, Zip y borra todos los archivos que tengan estas extensiones.
Ejecución de código arbitrario en Microsoft Word 2002 y Word 2003
Se ha encontrado una vulnerabilidad en Microsoft Word que puede ser
aprovechada por atacantes para comprometer el sistema.
El fallo se debe a un desbordamiento de búfer no detallado que puede
derivar en la ejecución de código arbitrario.
Es importante destacar que la vulnerabilidad está siendo activamente
aprovechada por atacantes a través, principalmente, de correos con
adjuntos y que en principio descarga otros componentes dañinos para
el sistema.
El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word
2003. Hay que señalar que otros documentos de Office (como Excel o
PowerPoint) pueden emplearse como vectores de ataque si incluyen
documentos Word embebidos.
No existe parche oficial, se recomienda no abrir archivos Office que
provengan de fuentes no confiables.
Se ha encontrado una vulnerabilidad en Microsoft Word que puede ser
aprovechada por atacantes para comprometer el sistema.
El fallo se debe a un desbordamiento de búfer no detallado que puede
derivar en la ejecución de código arbitrario.
Es importante destacar que la vulnerabilidad está siendo activamente
aprovechada por atacantes a través, principalmente, de correos con
adjuntos y que en principio descarga otros componentes dañinos para
el sistema.
El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word
2003. Hay que señalar que otros documentos de Office (como Excel o
PowerPoint) pueden emplearse como vectores de ataque si incluyen
documentos Word embebidos.
No existe parche oficial, se recomienda no abrir archivos Office que
provengan de fuentes no confiables.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2766/comentar
Más Información:
Microsoft Word Vulnerability
http://www.us-cert.gov/cas/techalerts/TA06-139A.html
Targeted attack: experience from the trenches (NEW)
http://isc.sans.org/diary.php?storyid=1345
Se ha encontrado una vulnerabilidad en Microsoft Word que puede ser
aprovechada por atacantes para comprometer el sistema.
El fallo se debe a un desbordamiento de búfer no detallado que puede
derivar en la ejecución de código arbitrario.
Es importante destacar que la vulnerabilidad está siendo activamente
aprovechada por atacantes a través, principalmente, de correos con
adjuntos y que en principio descarga otros componentes dañinos para
el sistema.
El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word
2003. Hay que señalar que otros documentos de Office (como Excel o
PowerPoint) pueden emplearse como vectores de ataque si incluyen
documentos Word embebidos.
No existe parche oficial, se recomienda no abrir archivos Office que
provengan de fuentes no confiables.
Se ha encontrado una vulnerabilidad en Microsoft Word que puede ser
aprovechada por atacantes para comprometer el sistema.
El fallo se debe a un desbordamiento de búfer no detallado que puede
derivar en la ejecución de código arbitrario.
Es importante destacar que la vulnerabilidad está siendo activamente
aprovechada por atacantes a través, principalmente, de correos con
adjuntos y que en principio descarga otros componentes dañinos para
el sistema.
El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word
2003. Hay que señalar que otros documentos de Office (como Excel o
PowerPoint) pueden emplearse como vectores de ataque si incluyen
documentos Word embebidos.
No existe parche oficial, se recomienda no abrir archivos Office que
provengan de fuentes no confiables.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2766/comentar
Más Información:
Microsoft Word Vulnerability
http://www.us-cert.gov/cas/techalerts/TA06-139A.html
Targeted attack: experience from the trenches (NEW)
http://isc.sans.org/diary.php?storyid=1345
vulnerabilidad en Firefox 1.5.0.3
Una vulnerabilidad en Firefox 1.5.0.3 y posiblemente anteriores, puede provocar una denegación de servicio en el navegador.
El problema ocurre por la forma en que Firefox maneja las etiquetas de imágenes. Una prueba de concepto publicada en Internet provoca la apertura de más de 100 ventanas de correo, utilizando la etiqueta "img src=" con una sentencia "mailto:".
Algunas investigaciones indican la posibilidad de utilizar esto para la ejecución de otra clase de código, pero no se conocen al momento actual pruebas de concepto o exploits relacionados.
Software afectado:
- Mozilla Firefox 1.5.0.3 (y anteriores)
Solución:
No existe una solución oficial al momento actual. Se recomienda la deshabilitación de JavaScript.
Relacionados:
Firefox 1.5.0.3 - DoS
http://www.securityfocus.com/archive...30/30/threaded
Updated: Confirmed bug in Firefox 1.5.0.3
http://www.securityview.org/confirme...efox-1503.html
Alerta: Denegación de servicio en Firefox 1.5.0.3
sahw.com/wp/archivos/2006/05/11/alerta-denegacion-de-servicio-en-firefox-1503/
Firefox 1.5.0.3 Vulnerability Update
http://www.isc.sans.org/diary.php?storyid=1327
Fuente: http://www.vsantivirus.com/vul-firefox-imgsrc.htm
Una vulnerabilidad en Firefox 1.5.0.3 y posiblemente anteriores, puede provocar una denegación de servicio en el navegador.
El problema ocurre por la forma en que Firefox maneja las etiquetas de imágenes. Una prueba de concepto publicada en Internet provoca la apertura de más de 100 ventanas de correo, utilizando la etiqueta "img src=" con una sentencia "mailto:".
Algunas investigaciones indican la posibilidad de utilizar esto para la ejecución de otra clase de código, pero no se conocen al momento actual pruebas de concepto o exploits relacionados.
Software afectado:
- Mozilla Firefox 1.5.0.3 (y anteriores)
Solución:
No existe una solución oficial al momento actual. Se recomienda la deshabilitación de JavaScript.
Relacionados:
Firefox 1.5.0.3 - DoS
http://www.securityfocus.com/archive...30/30/threaded
Updated: Confirmed bug in Firefox 1.5.0.3
http://www.securityview.org/confirme...efox-1503.html
Alerta: Denegación de servicio en Firefox 1.5.0.3
sahw.com/wp/archivos/2006/05/11/alerta-denegacion-de-servicio-en-firefox-1503/
Firefox 1.5.0.3 Vulnerability Update
http://www.isc.sans.org/diary.php?storyid=1327
Fuente: http://www.vsantivirus.com/vul-firefox-imgsrc.htm
#1
Troyano se oculta en un calendario de partidos de la Copa del Mundo
Ha sido descubierto un nuevo troyano que se hace pasar por un calendario de partidos de la Copa del Mundo de fútbol 2006.
Llamado Troj/Haxdoor-IN, este troyano, disimulado en mensajes que contienen un enlace a Internet, es enviado en masa. El mensaje ofrece a los aficionados de fútbol un calendario gratuito que les permite seguir la evolución de su equipo favorito. Una vez instalado, el programa malicioso permite a los piratas acceder a los ordenadores con fines criminales.
Todos los mensajes identificados hasta el momento están escritos en alemán, pero es muy probable que los autores no tarden en enviarlo en otros idiomas con el objetivo de aumentar sus víctimas potenciales.
La Copa del Mundo es uno de los eventos deportivos más significativos del año, y apasiona a millones de aficionados del mundo entero. No es extraño que los autores de virus aprovechen esta oportunidad para engañar a la gente e infectar sus ordenadores para sus fines.
Los expertos recuerdan que no es la primera vez que los hackers se aprovechan de este tipo de evento deportivo. El año pasado, el gusano Sober-N ofrecía entradas al campeonato con el fin de embaucar a usuarios desprotegidos. En 2002, el virus VBS/Chick-F se sirvió del deseo de los empleados que querían seguir en vivo y en directo los resultados de los partidos de la Copa del Mundo en Corea y en Japón. En 1998, para la Copa del Mundo en Francia, otro virus proponía a los internautas apostar por el equipo ganador. Una "mala" opción podía causar la perdida de los datos del disco duro.
No nos sorprendería descubrir otras tentativas de esta índole durante las semanas que quedan para la Copa. Hay que permanecer extremadamente cauteloso ante toda proposición tentadora enviada por email y relacionada con este evento deportivo y apuestas de fútbol, ya que se puede tratar de virus, troyanos u otro tipo de estafas.
Troyano se oculta en un calendario de partidos de la Copa del Mundo
Ha sido descubierto un nuevo troyano que se hace pasar por un calendario de partidos de la Copa del Mundo de fútbol 2006.
Llamado Troj/Haxdoor-IN, este troyano, disimulado en mensajes que contienen un enlace a Internet, es enviado en masa. El mensaje ofrece a los aficionados de fútbol un calendario gratuito que les permite seguir la evolución de su equipo favorito. Una vez instalado, el programa malicioso permite a los piratas acceder a los ordenadores con fines criminales.
Todos los mensajes identificados hasta el momento están escritos en alemán, pero es muy probable que los autores no tarden en enviarlo en otros idiomas con el objetivo de aumentar sus víctimas potenciales.
La Copa del Mundo es uno de los eventos deportivos más significativos del año, y apasiona a millones de aficionados del mundo entero. No es extraño que los autores de virus aprovechen esta oportunidad para engañar a la gente e infectar sus ordenadores para sus fines.
Los expertos recuerdan que no es la primera vez que los hackers se aprovechan de este tipo de evento deportivo. El año pasado, el gusano Sober-N ofrecía entradas al campeonato con el fin de embaucar a usuarios desprotegidos. En 2002, el virus VBS/Chick-F se sirvió del deseo de los empleados que querían seguir en vivo y en directo los resultados de los partidos de la Copa del Mundo en Corea y en Japón. En 1998, para la Copa del Mundo en Francia, otro virus proponía a los internautas apostar por el equipo ganador. Una "mala" opción podía causar la perdida de los datos del disco duro.
No nos sorprendería descubrir otras tentativas de esta índole durante las semanas que quedan para la Copa. Hay que permanecer extremadamente cauteloso ante toda proposición tentadora enviada por email y relacionada con este evento deportivo y apuestas de fútbol, ya que se puede tratar de virus, troyanos u otro tipo de estafas.
bueno mas info
saludos
McAfee confirma el crecimiento del número de amenazas
[12-07-2006]
La firma ha anunciado un hecho significativo en el crecimiento de las amenazas a las que se enfrentan las empresas y los usuarios finales.
Los Laboratorios McAfee Avert han lanzado esta semana la protección para la amenaza número 200.000 de su base de datos, demostrando un descenso del 60 por ciento en la cantidad de tiempo que ha llevado duplicar el número de amenazas en su base de datos desde septiembre de 2004.
Stuart McClure, vicepresidente de investigación global y amenazas en McAfee, comentó que, "aunque la concienciación en seguridad sigue aumentando, los hackers y los creadores de códigos maliciosos están lanzando amenazas más rápido que nunca, con aproximadamente un 200 por ciento más de amenazas maliciosas al día que hace dos años."
Mientras que los bots siguen siendo la principal causa de este dramático crecimiento, las explotaciones de vulnerabilidades y las descargas les siguen de cerca. Las amenazas del e-mail, que fueron un elevado porcentaje de las amenazas en 2004, han tenido un crecimiento mucho menor en los últimos dos años en comparación a otras categorías de malware.
En el año 2004, McAfee sumó 27.340 nuevas amenazas a su base de datos. En el año 2005 añadió 56.880 amenazas. Desde el 1 de enero de 2006, McAfee ha sumado aproximadamente 32.000 nuevas amenazas a su base de datos y está en camino de sobrepasar 60.000 nuevas amenazas a finales de este año. Dadas las tendencias actuales, McAfee prevé que la amenaza número 400.000 será identificada en menos de dos años. McAfee recomienda tanto las empresas como los usuarios domésticos que estén protegidos, y que se actualicen continuamente con los últimos DAT, que instalen los parches más recientes, y que implementen soluciones multicapa para detectar y bloquear los ataques.
saludos
McAfee confirma el crecimiento del número de amenazas
[12-07-2006]
La firma ha anunciado un hecho significativo en el crecimiento de las amenazas a las que se enfrentan las empresas y los usuarios finales.
Los Laboratorios McAfee Avert han lanzado esta semana la protección para la amenaza número 200.000 de su base de datos, demostrando un descenso del 60 por ciento en la cantidad de tiempo que ha llevado duplicar el número de amenazas en su base de datos desde septiembre de 2004.
Stuart McClure, vicepresidente de investigación global y amenazas en McAfee, comentó que, "aunque la concienciación en seguridad sigue aumentando, los hackers y los creadores de códigos maliciosos están lanzando amenazas más rápido que nunca, con aproximadamente un 200 por ciento más de amenazas maliciosas al día que hace dos años."
Mientras que los bots siguen siendo la principal causa de este dramático crecimiento, las explotaciones de vulnerabilidades y las descargas les siguen de cerca. Las amenazas del e-mail, que fueron un elevado porcentaje de las amenazas en 2004, han tenido un crecimiento mucho menor en los últimos dos años en comparación a otras categorías de malware.
En el año 2004, McAfee sumó 27.340 nuevas amenazas a su base de datos. En el año 2005 añadió 56.880 amenazas. Desde el 1 de enero de 2006, McAfee ha sumado aproximadamente 32.000 nuevas amenazas a su base de datos y está en camino de sobrepasar 60.000 nuevas amenazas a finales de este año. Dadas las tendencias actuales, McAfee prevé que la amenaza número 400.000 será identificada en menos de dos años. McAfee recomienda tanto las empresas como los usuarios domésticos que estén protegidos, y que se actualicen continuamente con los últimos DAT, que instalen los parches más recientes, y que implementen soluciones multicapa para detectar y bloquear los ataques.
[SIZE=+0]
El Centro de Operaciones contra Amenazas (TOC) de IronPort detectó y reportó el virus 3 horas y 38 minutos antes que el resto de los proveedores tradicionales de antivirus.
13/07/2006 - México - IronPort System Inc. detectó y reportó oportunamente la aparición de Kukudro-A, un peligroso virus troyano que llego a través del concepto de "worth to see", "prices", "Hi", o "Hello. Se trata de un virus particularmente peligroso que se encontró dentro de un documento de Word aparentemente inofensivo que paso desapercibido por la mayoría de los filtros de archivos adjuntos.
Sin embargo, los virus outbreak filters de Ironport protegieron a los clientes durante el periodo crítico entre el inicio del ataque del virus y la emisión de una solución antivirus. Durante el reciente ataque de la variante de Kukudro-A, los Outbreak Filters protegieron a los clientes 3 horas y 38 minutos antes que el resto de los proveedores tradicionales de soluciones antivirus.
Jorge Padres, Director General de Ironport en América Latina y México comento al respecto “Esta tendencia de ataques continuará ya que ningún administrador de TI bloquea documentos de word con filtros para archivos adjuntos; los creadores de virus lo saben y están utilizando cada vez con más frecuencia archivos adjuntos de excel, word y pdf para difundir sus virus. Por ello, señalo que los Virus Outbreak Filtres de la compañía protegen a sus clientes durante periodos críticos comprendidos entre el primer brote de cualquier ataque de virus y la distribución de una solución antivirus como la ocurrida recientemente”
Los mensajes del correo electrónico que aún emplea Kukudro-A para propagarse tienen características variables. La característica más importante de este virus es que se comporta de manera inusual: actúa como un dropper - fichero ejecutable que contiene varios tipos de virus en su interior, y que las configuraciones de seguridad no son útiles contra Kukudro-A, incluso cuando el nivel de seguridad de Microsoft Word está en lo más alto. Utiliza archivos adjuntos poco conocidos que normalmente no son bloqueados por los filtros tradicionales: Kukudro-A emplea una secuencia de instrucciones u operaciones que se definen para que un programa las realice de forma automática y secuencial. De hecho, Kukudro-A se incrusta en archivos MS Word, lo que hace que se convierta en un particular peligro. Una vez abierto el archivo, se activa la vulnerabilidad de Microsoft Word y el virus se instala automáticamente. Esto permite que los hackers tengan el acceso a la PC infectada; copien, editen, eliminen archivos y capture imágenes de pantalla, adueñandose así de la computadora utilizandola para enviar spam y albergar sypaware y por si fuera poco instalar a distancia key loggers y screen scrapers en la PC infectada para así robar información personal, confidencial y financiera sin que el usuario se de cuenta.
Que les parece ???????????
Detectan peligroso virus oculto en documentos de Word
[/SIZE]
El Centro de Operaciones contra Amenazas (TOC) de IronPort detectó y reportó el virus 3 horas y 38 minutos antes que el resto de los proveedores tradicionales de antivirus.
13/07/2006 - México - IronPort System Inc. detectó y reportó oportunamente la aparición de Kukudro-A, un peligroso virus troyano que llego a través del concepto de "worth to see", "prices", "Hi", o "Hello. Se trata de un virus particularmente peligroso que se encontró dentro de un documento de Word aparentemente inofensivo que paso desapercibido por la mayoría de los filtros de archivos adjuntos.
Sin embargo, los virus outbreak filters de Ironport protegieron a los clientes durante el periodo crítico entre el inicio del ataque del virus y la emisión de una solución antivirus. Durante el reciente ataque de la variante de Kukudro-A, los Outbreak Filters protegieron a los clientes 3 horas y 38 minutos antes que el resto de los proveedores tradicionales de soluciones antivirus.
Jorge Padres, Director General de Ironport en América Latina y México comento al respecto “Esta tendencia de ataques continuará ya que ningún administrador de TI bloquea documentos de word con filtros para archivos adjuntos; los creadores de virus lo saben y están utilizando cada vez con más frecuencia archivos adjuntos de excel, word y pdf para difundir sus virus. Por ello, señalo que los Virus Outbreak Filtres de la compañía protegen a sus clientes durante periodos críticos comprendidos entre el primer brote de cualquier ataque de virus y la distribución de una solución antivirus como la ocurrida recientemente”
Los mensajes del correo electrónico que aún emplea Kukudro-A para propagarse tienen características variables. La característica más importante de este virus es que se comporta de manera inusual: actúa como un dropper - fichero ejecutable que contiene varios tipos de virus en su interior, y que las configuraciones de seguridad no son útiles contra Kukudro-A, incluso cuando el nivel de seguridad de Microsoft Word está en lo más alto. Utiliza archivos adjuntos poco conocidos que normalmente no son bloqueados por los filtros tradicionales: Kukudro-A emplea una secuencia de instrucciones u operaciones que se definen para que un programa las realice de forma automática y secuencial. De hecho, Kukudro-A se incrusta en archivos MS Word, lo que hace que se convierta en un particular peligro. Una vez abierto el archivo, se activa la vulnerabilidad de Microsoft Word y el virus se instala automáticamente. Esto permite que los hackers tengan el acceso a la PC infectada; copien, editen, eliminen archivos y capture imágenes de pantalla, adueñandose así de la computadora utilizandola para enviar spam y albergar sypaware y por si fuera poco instalar a distancia key loggers y screen scrapers en la PC infectada para así robar información personal, confidencial y financiera sin que el usuario se de cuenta.
Que les parece ???????????
Nuevo gusano simula ser herramienta que desinfecta PCs
miren esta noticia
Nuevo gusano simula ser herramienta que desinfecta PCs
escrito por diarioti.com miércoles, 27 de septiembre de 2006
PandaLabs ha detectado envíos masivos de spam conteniendo archivos infectados con el gusano Spamta.CY.
PandaLabs ha detectado varias incidencias causadas por este nuevo gusano en los equipos de los usuarios.
Spamta.CY llega al computador en un mensaje de correo electrónico de asunto variable, ya que es escogido a partir de una lista de opciones. Por su parte, en el cuerpo del mismo puede leerse un texto avisando al usuario que desde su computador se están enviando correos electrónicos debido a la infección de un supuesto código malicioso.
Dicho e-mail incluye un archivo con nombre variable, como doc.dat.exe, body.zip o test.elm.exe, que en realidad contiene a Spamta.CY. En caso de ser ejecutado, el gusano abre el bloc de notas de Windows mostrando una serie de caracteres sin sentido. Al mismo tiempo, busca direcciones que se encuentren almacenadas en el sistema, a las que se envía utilizando su propio motor SMTP.
“De nuevo, la ingeniería social vuelve a causar problemas. No es la primera vez que un código malicioso se distribuye haciéndose pasar por una aplicación de seguridad, pero aún así muchos usuarios siguen ejecutando archivos maliciosos que utilizan este tipo de reclamos. Ello vuelve a poner de manifiesto la necesidad de confiar la seguridad a soluciones tecnológicas que determinen la naturaleza del contenido de un archivo de forma objetiva, y no al instinto", afirma Luis Corrons, director de PandaLabs.+
http://www.noticiasinformaticas.inf...ula-ser-herramienta-que-desinfecta-pcs-2.html
miren esta noticia
Nuevo gusano simula ser herramienta que desinfecta PCs
escrito por diarioti.com miércoles, 27 de septiembre de 2006
PandaLabs ha detectado varias incidencias causadas por este nuevo gusano en los equipos de los usuarios.
Spamta.CY llega al computador en un mensaje de correo electrónico de asunto variable, ya que es escogido a partir de una lista de opciones. Por su parte, en el cuerpo del mismo puede leerse un texto avisando al usuario que desde su computador se están enviando correos electrónicos debido a la infección de un supuesto código malicioso.
Dicho e-mail incluye un archivo con nombre variable, como doc.dat.exe, body.zip o test.elm.exe, que en realidad contiene a Spamta.CY. En caso de ser ejecutado, el gusano abre el bloc de notas de Windows mostrando una serie de caracteres sin sentido. Al mismo tiempo, busca direcciones que se encuentren almacenadas en el sistema, a las que se envía utilizando su propio motor SMTP.
“De nuevo, la ingeniería social vuelve a causar problemas. No es la primera vez que un código malicioso se distribuye haciéndose pasar por una aplicación de seguridad, pero aún así muchos usuarios siguen ejecutando archivos maliciosos que utilizan este tipo de reclamos. Ello vuelve a poner de manifiesto la necesidad de confiar la seguridad a soluciones tecnológicas que determinen la naturaleza del contenido de un archivo de forma objetiva, y no al instinto", afirma Luis Corrons, director de PandaLabs.+
http://www.noticiasinformaticas.inf...ula-ser-herramienta-que-desinfecta-pcs-2.html
señores a cada nada se ejecuta o me sale un mago merlin en la pantalla...me sale un mensaje del mago, diciendo que "porque estoy tanto tiempo sentado en el pc o idioteces asi,," lo peor es que se me esta regando en la red de mi cafe..que hago?? el nod no lo encuentra...
