Enciclopedia de Virus

SIST. OPERATIVOS

DATOS DE INTERES

SERVICIOS

MISCELANEAS

SOBRE MACCARE

PAGINA DE INICIO

Enciclopedia de Virus

Adore

AntiCNTE Boot

Aristotle.480

BatBoy.1111

BAT_CHODER911: Virus informáticos que podrían interferir servicios para la comunidad afectando no solo a los usuarios de PCs. conocido como 911, es un nuevo y malintencionado gusano del cual ya se han recibido reportes de infección. Tanto el NIPC (National Infrastructure Protection Centes) de USA y el mismo FBI confirmaron su existencia sugiriendo tomar todas las precauciones necesarias para evitar su reproducción y activación.

Este peligroso gusano incluye varios tipos de activaciones destructivas que ponen en riesgo desde la información del usuario hasta un servicio de emergencias para la comunidad. Dentro de las diferentes activaciones que incluye BAT_CHODER911 podemos destacar: dar formato a las unidades de disco, copiarse a sí mismo a través de Internet para afectar a otros usuarios y marcar el 911 utilizando el Modem del sistema.

BAT_QUERTY: también conocido como Pif.worm, es un nuevo virus que nos ha sido reportado muchas veces durante esta ultima semana. BAT_QUERTY se expande a través del mIRC enviando un archivo infectado (nombre del archivo: movie.avi.pif) a los usuarios de un canal activo de chat.

Una vez que el usuario ejecuta el archivo, BAT_QUERTY se activa y se copia a sí mismo a los directorios de Windows y Windows startup. Este además sobre escribe el "script.ini", el cual es parte del programa mIRC. Todas estas acciones aseguran que BAT_QUERTY sea cargado al reiniciar el sistema y que sea copiado a otros usuarios.

Backdoor/Acid.1.0

Backdoor/Cafeini.09

Backdoor/DeepThroat3.1

Backdoor/DonaldDick.154

Backdoor/GDoor.B

Backdoor/MoonPie.10

Backdoor/SecretService

Backdoor/Subseven.2

BackDoor/XTCP

Bck/Deepthroat.20

BCK/G_Door.C

Bck/IpxCtrl

BCK/NetSphere.131

BCK/Sub7.Apocalypse

Bck/SubSeven.22

BCK/Unin68.120320

Bleah

BAT/Worm.Firkin.C

BubbleBoy: Se trata de un nuevo gusano que se distribuye automáticamente por Internet y que incorpora una novedosa técnica de activación. Este gusano puede ser activado automáticamente sin que el usuario haga un click sobre algún archivo adjunto al mensaje de correo electrónico. Es importante destacar que dentro de su código no contiene ninguna rutina maliciosa. BubbleBoy hasta ahora no se ha distribuido ampliamente por Internet y no hemos recibidos muchos reportes que confirmen la presencia del mismo, pero su innovadora técnica de infección le otorga grandes posibilidades de distribución. El código del virus está desarrollado en Visual Basic Script y requiere Internet Explorer 5 con Windows Script Host instalado y Microsoft Outlook o Outlook Express para funcionar correctamente.

Burglar.1150A

Cascade.1701.A

Civil_War.586

COBRA.f: Nombre del virus: W97M/Cobra.f. Se trata de una variante de W97M/Cobra. Severidad del virus: Extremadamente destructivo y de gran impacto.

Borra todos los archivos de los sistemas de archivos de Windows 95, infecta el archivo normal.dot y luego envía 30 mensajes a direcciones de la agenda del programa de correo. Características del virus: Chequea si el día coincide con el mes corriente y en caso afirmativo, ejecuta la tarea oculta DELTREE en la unidad actual C:. Es un archivo de Windows 95/98 y por lo tanto no funciona en Windows NT.Método de infección: Al abrir el archivo adjunto al mensaje.

Bajo NINGUNA CIRCUNSTANCIA se debe abrir el archivo atachado al mensaje cuya referencia es “Important Message From Microsoft Via xyz (donde xyz es el nombre de usuario registrado en Word)” y cuyo texto "Important document".

Constructor/BW.100

CORNER: ¡EL 1er. VIRUS DE LA APLICACIÓN PROJECT DE MICROSOFT!

Corner (Project, P98M) es el primer virus de macro que puede infectar la aplicación Project de Microsoft. Infecta tanto Word como Project.

Cuando se abre un documento infectado en Word 97 o 2000, P98M/Corner chequea si se está ejecutando Project y en caso afirmativo, se infecta.

La parte de Word es una infección de tipo simple. Se expande cuando se cierra un archivo infectado. En ese momento, establece los parámetros de seguridad de Office 2000 en el nivel más bajo, inhabilita el menú "Herramientas/Macros" y desactiva la protección contra macros. Después de todo esto, el virus se copia a todos los documentos abiertos.

Corner no puede infectar Word 2000 a menos que el usuario haya cambiado previamente los parámetros de seguridad a nivel medio o bajo.

Para infectar el programa Project, el virus añade un documento de esta aplicación nuevo y en blanco, insertando el código del virus en el módulo "ThisProject".

Cuando se abre un documento de Microsoft Project 98 infectado, Corner.A infecta toda la aplicación.
La parte del virus para MSProject es no residente. Se replica durante la desactivación del documento project (después de que previamente se haya abierto un documento infectado).

El virus infecta las aplicaciones de Word abriendo e insertando el código del virus en la plantilla global "ThisDocument". Este proceso está oculto para el usuario.

Corner.A contiene los siguientes comentarios al final de su código:

"I never realized the lengths I'd have to go
All the darkest corners of a sense
I didn't know
Just for one moment
hearing someone call
Looked beyond the day in hand
There's nothing there at all
Project98/Word97-2k Closer"
El texto es de la canción "Veinticuatro horas" de Joy Division.
El virus Corner no hace otra cosa que replicarse.
ECONOMIC DATA advierte de la necesidad de tener un buen software anti-virus instalado lo más actualizado posible. Póngase en contacto con nosotros, le atenderemos con mucho gusto.

Cruel

DeDouble.7200

Diablo

Drip

Edwin

Exe.Bug.A

EXPLORE ZIP: (ZippedFiles), La Nueva Plaga que Amenaza SUS SISTEMAS. Se está extendiendo, al igual que el virus Melissa, rápidamente a través de Internet. Es tan veloz que llegan noticias de infección de cientos de ciudades, incluso de USA, Alemania, Noruega, Israel y la República Checa. Se espera su difusión total en pocas horas.
Este virus tiene apariencia de cadena de texto y soporta un payload muy destructivo. Llega al usuario a través de un e-mail adjunto. Cuando este se abre, el virus hojeará el inbox del programa de correo Outlook de Microsoft y enviará una copia a cada mensaje.

Por ejemplo, si un usuario X ha recibido recientemente un e-mail de Y con el Asunto: Por favor chequea estos números, el PC del receptor enviará automáticamente un mensaje similar a este:

"De: X
A: Y
Asunto: RE: Por favor chequea estos números
Hola Y
He recibido tu e-mail y ....... Hecha un vistazo a los documentos adjuntos comprimidos........
Attachment: zipped_files.exe"

El attachment parece un archivo comprimido con WinZip. Cuando el receptor intenta descomprimirlo haciendo doble click sobre él, obtendrá un mensaje de error de Winzip informando que el archivo está corrupto. Además, al difundirse como una cadena de texto, el virus intentará sobre-escribir los archivos del usuario con las extensiones: DOC, XLS, PPT, ASM, CPP, de cualquier unidad que sea accesible, incluso unidades de red.
Si el emisor está utilizando un sistema de correo distinto de Outlook, ExploreZip no podrá difundirse más. Sin embargo, dañará los archivos del emisor. El virus opera bajo Windows 95, 98 y NT.

FIREBURN: Se trata de una nueva amenaza escrita en Visual Basic script que se difunde via Outlook y mIRC.

Cuando se ejecuta el script de Visual Basic, guarda una copia de sí mismo en [directorio de windows]\rundll32.vbs y altera el registro de modo que se ejecute este programa cuando se reinicia el equipo.

Los registros que modifica son:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSrundll32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner

El virus intenta descubrir si el directorio de Windows es C:\Programme. En caso afirmativo, los efectos del virus aparecerán en alemán; en caso negativo, aparecerán en inglés. Luego elige un nombre de archivo al azar de una lista de nombres de archivos catalogados como X.

A continuación, el script busca el cliente mIRC Internet Relay Chat en c:\MIRC o en [carpeta de archivos de programas]\mirc. Si lo encuentra, sobrescribe el archivo script.ini con otro nuevo. de modo que si alguien escribe la palabra "sex" en el canal, el archivo le es enviado desde el directorio Sistema de Windows. Cualquiera que mencione "virus", "worm" o "script" es ignorado.

El paso siguiente que da el script es crear un email que se envía como copia oculta a todos los contactos de la agenda de Outlook. El email contiene el virus con un archivo atachado con el nombre elegido previamente. El formato del correo electrónico es:
Asunto: Moin, alles klar? (en alemán)
Hi, how are you) (en inglés)

Hi, wie geht's dir?
Guck dir mal das Photo im Anhang an, ist echt geil ;)
bye, bis dann...

o bien,

Hi, look at that nice Pic attached!
Watching it is a must ;)
cu later...

Posteriormente, el email es borrado de la carpeta de elementos enviados, de modo que la víctima no se dará cuenta de lo que ha hecho.

El día 20 de junio, el virus muestra un mensaje:

I'm proud to say that you are infected by Fireburn!

Cuando se cierra la ventana de este mensaje, se actualiza el registro para inhabilitar el ratón y el teclado la próxima vez que se arranque el PC.

FIRKIN: El gusano Firkin o Chode se difunde a través de PC's conectados a Internet atacando la línea de emergencia hotline - 911, utilizada principalmente en Norteamérica e intentando colapsar los servicios que ofrecen (ataque DoS).

Firkin está escrito totalmente en lenguaje DOS e infecta sistemas Windows con disco duro compartido a través de Internet. Un gran número de usuarios comparten su disco duro y al conectarse a Internet, cualquiera puede acceder a ellos. El gusano Firkin utiliza esta vulnerabilidad para difundirse.

Firkin busca equipos conectados a Internet con esta característica. La búsqueda apunta a PC's que estén utilizando algunos de los ISP's (Internet Service Providers) más importantes del mundo, incluso AT&T , America Online, MCI y Earthlink, para copiarse en el PC y ejecutarse en el siguiente arranque.

En ese momento, el virus puede añadir una rutina que llama al número de emergencia 911 a través de módem cada vez que el sistema infectado es arrancado. Esta rutina se copia aleatoriamente y no se encuentra en todos los PC's infectados.

Al reiniciarse un sistema que la contenga, se realiza una llamada silenciosa al 911. Las consecuencias podrían ser muy serias, posiblemente causando graves retrasos en la respuesta a llamadas reales de emergencia.

Dependiendo de la variante de Firkin, podría también intentar borrar todos los archivos de diferentes directorios del PC y mostrar mensajes en pantalla. El borrado de archivos está programado para que ocurra el día 19 de cada mes.

El código del gusano contiene diferentes cadenas de texto, incluyendo:

fOREsKIN sElf rEPIIcAToR vERSION 1.07c final CHAoS
© 2000 EMD LABS INC rAndOm dEvIStAtOr
nOt pErFECt, bUt iT sERvES iTS pUrPosE....bAtCh fIIE pROgRAMmINg

Los sistemas infectados se pueden reconocer fácilmente chequeando si la carpeta C:\Program Files contiene una nueva carpeta oculta llamada Chode, Foreskin o Dickhair. Para visualizar las carpetas ocultas con Windows Explorer, active el parámetro Whow all files de las opciones de Explorer.

Flip.MP2153.A

FRIENDMESS: Se trata de una nueva versión de este tipo de virus. El virus se copia a sí mismo en el directorio del sistema Windows con el nombre "FRIEND_MESSAGE.TXT.vbs" y después construye las siguientes cadenas en c:\autoexec.bat:
"if exist C:\WINDOWS\SYSTEM\*.* del C:\WINDOWS\SYSTEM\*.* /Q /F"
"if exist C:\WINDOWS\*.* del C:\WINDOWS\*.* /Q /F"
"if exist C:\WINDOWS\TEMP\*.* del C:\WINDOWS\TEMP\*.* /Q /F"

Nótese que c:\windows aquí es un simple ejemplo. El path se construye de forma dinámica.
Adicionalmente, el virus muestra una caja de texto con el siguiente mensaje: "If you receive this message remember forever: A precious friend in all the world like only you! So think that!"
No tiene la función para replicarse y el mensaje tiene la siguiente forma:
Asunto: Friend message
A real friend send thismessage to you
Archivo adjunto: FRIEND_MESSAGE.TXT.vbs

Form.A

GALADRIEL: EL PRIMER VIRUS PARA COREL SCRIPT. Alias: GALADRIEL
Variante: CSV.A. Es el primer virus escrito en Corel Script y es de origen español.

Infecta todos los archivos con la extensión CSC del directorio activo cuando se ejecuta un script infectado bajo CorelDraw o Photo Paint de Corel. Antes de intentar infectar un archivo, comprueba si ya está infectado, es decir, si la primera línea del archivo comienza con el texto:

REM VIRUS
Si no aparece este texto, el virus renombra el archivo como "mallorn.tmp". A continuación crea un nuevo archivo usando el nombre original del archivo que está infectando, se copia a sí mismo en él y el contenido de "mallorn.tmp" al final. Luego borra el archivo "mallorn.tmp" y continúa infectando al resto de los archivos.
Es muy probable que un usuario note la presencia del virus porque muchos scripts dejan de ejecutarse correctamente cuando se infectan y generan mensajes de error en CorelDraw:

SCRIPT <SCRIPT NAME> CONTAINS AN ERROR AND COULD NOT BE RUN

Se replica bajo CorelDraw y Photo Paint de Corel, versiones 7, 8 y 9.

No funciona bajo la suite de WordPerfect –la suite utiliza un lenguaje de macros
diferente.Tiene un efecto que aparece el 6 de junio en los sistemas operativos cuyas preferencias de idioma/país son d/mm/yy para el formato de fechas; esto incluye a España, Australia, Nueva Zelanda y Bélgica. Cuando se activa, el virus muestra una caja de mensaje con el título "GaLaDRieL ViRUS bY zAxOn/DDT" y una poesía escrita en el lenguaje de High Elves creado por J.R.R. Tolkien en su obra "El señor de los anillos".

GetIt.754

HAPPY99/W32SKA (WINDOWS 95/98):¡¡ VARIANTE DEL VIRUS HAPPY99!!. EL VIRUS QUE MÁS RÁPIDO NAVEGA Y SE DIFUNDE POR INTERNET
Sus peligrosos efectos se ven agravados debido a su increíble rapidez de propagación. HAPPY99.EXE fue identificado por primera vez a mediados de Enero del 99, y su infección se propaga como una plaga vía archivos adjuntos a e-mails y vía newsgroups. El virus modifica los e-mails y los anuncios de los newsgroups añadiendo archivos adjuntos no autorizados sin que lo sepa el usuario. De este modo puede ralentizar la red e incluso provocar un colapso en los servidores de correo.
HAPPY99 trabaja en Windows 95 y 98. Se introduce en los Pc´s a través de un archivo adjunto a un e-mail o se descarga de un newsgroup y cuando se ejecuta por primera vez muestra en pantalla una atractiva explosión de fuegos artificiales que de cara al usuario parece pertenecer al archivo adjunto, como complemento del mensaje. Pero mientras los fuegos artificiales se visualizan en pantalla, el virus modifica el archivo winsock32.dll, lo que le permitirá monitorizar los e-mails que se envían y se reciben en el equipo. Todo acceso a Internet se realiza a través del archivo winsock.dll.
De este modo, HAPPY99.EXE infecta al receptor de los e-mails o newsgroup con copias de sí mismo cada vez que el usuario del PC intenta enviar un mensaje al ciberespacio.

HOAX LUMP OF COAL: Alias: Happy New Year hoax
El siguiente mensaje es un hoax:

Warning on December 25, 1999 you may receive an email called, Lump of Coal... do not open it, it contains a deadly virus... it will erase your windows along with many other program files. Pass this on as soon as you can to get the WORD out!!! This is not a hoax... this was reported on the CBS morning news August 20, 1999.

Hay otra variante de este hoax:

Warning on December 31, 1999 you may receive an e-mail called, Happy New Year... do not open it, it contains a deadly virus... it will erase windows from your computer along with many other program files.

Pass this on as soon as you can to get the WORD out!!! This is not a hoax... this was reported on CNN on Tuesday the 2nd November 1999!!!

Si usted recibe estos mensajes, no los difunda.

HTML/HTA.Dropper

HTML/Sam

HTML/Valentin.B

I LOVE YOU : VBS/LoveLetter. Se difunde vía email como un archivo llamado LOVE-LETTER-FOR-YOU.TXT.vbs.

Este nuevo virus se difunde a una velocidad de vértigo: se ha tenido constancia de la primera incidencia a las 9:00 a.m. del 4 de mayo de 2000 en Noruega y hacia las 13:00 p.m ya se había difundido en más de 20 países. Se estima que el número total de equipos infectados es ya de decenas de miles. Esta epidemia puede exceder a la que provocó Melissa, tanto en velocidad como en destrucción.

LoveLetter se activa al ejecutar el archivo que viene atachado al e-mail de referencia “ILOVEYOU” y sobreescribe los archivos de gráficos y de música en las unidades locales y de red. Todos los archivos con las extensiones jpg, JPEG, MP3 y MP2 son sobreescritos y, por lo tanto, es necesario recuperarlos de backups.

Por defecto, las extensiones .VBS en los sistemas Windows no son visibles y los usuarios puede abrir el archivo adjunto LOVE.LETTER-FOR-YOU.TXT.vbs. por error pensando que es un inofensivo archivo .txt. Si el receptor abre el archivo, el virus utilizará Microsoft Outlook (si está instalado) para enviar un mensaje a todas las direcciones de la agenda, incluyendo aquellas de acceso global de la empresa, las cuales normalmente tienen cientos o miles de direcciones. El mensaje es como se muestra a continuación:

De: Nombre-del-usuario- infectado
Para: Nombre aleatorio de la agenda de Outlook
Asunto:ILOVEYOU

Kindly check the attached LOVELETTER coming from me.

Archivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs

Como las agendas contienen normalmente direcciones de grupos, el resultado de la activación del virus dentro de una empresa es que el primer infectado envía el mensaje a todo el mundo dentro de la organización. Después de esto, otros usuarios abrirán el mensaje y lo volverán a reenviar de nuevo a toda la gente de la empresa.
El efecto inmediato es que el servidor de correo puede verse rápidamente colapsado.

Además de enviar un email a todas las direcciones, el virus sobreescribe los scripts locales y los archivos HTML con su propio código.

El virus es probablemente de procedencia filipina. Está escrito en lenguaje VBScript. Por defecto, los programas escritos en VBScript operan solo bajo Windows 98 y Windows 2000. No obstante, los usuarios con Windows 95 y NT también son vulnerables si tienen instalada la versión 5 de Microsoft Internet Explorer.

ILOVEYOU PARA LINUX: Se ha encontrado una nueva variante del virus VBS/LoveLetter. Esta variante se ha transformado al genérico shell script de Unix y hace lo mismo que el gusano de correo electrónico escrito para Windows. Esta versión para Unix no está altamente extendida. F-Secure antivirus lo detecta ya con sus últimas actualizaciones.

INST98: Alias: Trojan.Kill_Inst98. Longitud: 5682 bytes.

Este troyano parece ser que fue distribuido a través de una versión pirateada de Windows 98. Se trata de un archivo DOS.EXE comprimido con PKLite y llamado INSTALAR.EXE Contiene varias cadenas de texto que se utilizan para ejecutar comandos batchs en ciertas ocasiones. Inst98 busca la variable COMSPEC y ejecuta el archivo COMMAND.COM con la opción /C y un comando específico. Los comandos no son visibles ya que el troyano dirige la salida a >NUL.
Cuando el troyano se ejecuta por primera vez, se copia a sí mismo como KEYB.EXE en el directorio raíz C:\.

Inst98 intenta ejecutar dos comandos batch durante su instalación inicial. El primer comando copiará el troyano en C:\ y el segundo ejecutará WB32OFF.EXE si existe. Si no es así, aparecerá el mensaje "Bad command or file name".

El troyano no modifica el archivo AUTOEXEC.BAT para ejecutar su copia cada vez que se arranque el sistema. Pero sí toma el control de los sistemas Windows donde los comandos de configuración del teclado estén presentes en AUTOEXEC.BAT (estos utilizan el archivo KEYB.COM de la carpeta WINDOWS\COMMAND\, pero el troyano que se encuentra en C:\, toma el control en su lugar).

Después del primer arranque Inst98 chequea la fecha del sistema; crea el archivo WB32OFF.TXT de la carpeta \WINDOWS\SYSTEM32\ y escribe el mes y año actual en él en formato ASCII; borra el archivo SORT.EXE; ejecuta KEYB.COM con los parámetros de teclado en español y sale.

Luego, copia KEYB.COM como SORT.COM. Más tarde, ejecutará SORT.COM y configurará el teclado Español. Pasado algún tiempo, borra KEYB.COM y su archivo KEYB.EXE de C:\ y desde luego sobre iniciará desde la carpeta \WINDOWS\COMMAND\.

El 1 de Enero del 2000 el troyano activa su payload borrando todos los archivos del disco C:. Para hacer el proceso más rápido el troyano intenta ejecutar primero SMARTDRV.

IRC/STAGES: Utiliza un extraño formato de archivo y despliega un mensaje humorístico.
Varias compañías norteamericanas e inglesas han alertado sobre la aparición durante el pasado fin de semana de un nuevo virus que se difunde vía e-mail, y que incluye atachado un archivo muy convincente, disfrazado bajo la apariencia de un inocente archivo de texto plano.

El virus, denominado 'IRC/Stages.worm', no daña los archivos de los equipos, pero puede paralizar los servidores de correo electrónico de las empresas. Se espera que en la mañana de hoy alcance una mayor difusión, debido a las
actualizaciones del correo electrónico atrasado desde el fin de semana. Sin embargo, no se prevee que sus efectos sean muy dañinos.

En realidad, este virus es un gusano que utiliza un extraño formato de archivo denominado 'Windows Scrap File". La extensión de este tipo de archivo debería ser '.shs', pero no figura. Por ello, es fácil camuflarlo con la extensión '.txt',
por lo cual simula un archivo de texto.
Se piensa que su artífice es un conocido creador de virus argentino llamado 'Zulu'.
El 'gusano' fue lanzado el 26 de mayo, aunque las primeras infecciones no han tenido lugar hasta el pasado viernes. 'Stages.worm' se difunde como Melissa, enviando copias de sí mismo a e-mails incluidos en la lista de correo de Outlock del usuario infectado.
Pero este virus sólo envía un máximo de 100 copias cada vez.

El formato en el que se presenta 'Stages.worm' suele ser el siguiente:

Subject: Funny
Body:> The male and femmale stages of life.
Attachment: LIFE_STAGES.TXT.SHS

No obstante, otros posibles 'subjects' pueden ser 'life_stages', 'jokes' u otro texto.
El fichero atachado es de 39,936 bytes, y se trata de un archivo 'Shell Scrap Object' (uno de los archivos menos predecibles, ya que puede contener cualquier cosa, incluso una aplicación 'troyana').

Tras la infección, el 'gusano' despliega el siguiente texto:

Age. Seduction lines.

17 My parents are away for the weekend.
25 My girlfriend is away for the weekend.
35 My fiancee is away for the weekend.
48 My wife is away for the weekend.
66 My second wife is dead.

Age. Favorite sport.

17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.

Age. Definition of a successful date.

17 Tongue.
25 Breakfast.
35 She didn't set back my therapy.
48 I didn't have to meet her kids.
66 got home alive.

The female stages of life:

Age. Favourite fantasy.

17 Tall, dark and hansome.
25 Tall, dark and hansome with money.
35 Tall, dark and hansome with money and a brain.
48 A man with hair.
66 A man.

Age. Ideal date.

17 He offers to pay.
25 He pays,
35 He cooks breakfast next morning.
48 He cooks breakfast next morning for the kids.
66 He can chew his breakfast.

IROK: El gusano Irok se difunde como un programa de 10001 bytes de tamaño llamado IROK.EXE. Funciona bajo Windows 95, 98, NT y Windows 2000 de Microsoft. Se replica vía e-mail con OutLook de Microsoft. No funciona con Outlook Express.
Cuando se activa IROK.EXE, el gusano modifica el sistema de manera que al reinicializar el equipo, envía un mensaje de correo electrónico a 60 direcciones e-mail robadas de OutLook, direcciones particulares o grupos de direcciones (tales como listas de mailings).
El mensaje que el gunano emite es el siguiente:

From: Nombre del usuario infectado
To (dirección de e-mil al azar del libro de direcciones)
Subject: I thought you might like to see this

Texto : I thought you might like to see this. I go it from paramount pictures website. It’s a startrek screen saver.

Attachment: IROK.EXE

El virus incluso intenta localizar el cliente chat mirc y modificarlo para propagar el virus mas allá de la vía de los canales chat, e infectará los ficheros COM y EXE localizados en el disco duro local.
Finalmente, el virus mostrará un largo mensaje en la pantalla e intentará sobreescribir los ficheros del disco duro.

IWORM_FIX2001: Alias: I-Worm.Fix2001, Fix2001
Este virus fue descubierto en septiembre de 1999. Se presentó como el archivo 'Fix2001.exe' adjunto a un mensaje de correo electrónico. La referencia del mensaje es 'Internet problem year 2000' y el texto es tanto en castellano como en inglés:

Estimado Cliente:

Rogamos actualizar y/o verificar su Sistema Operativo para el correcto funcionamiento de Internet a partir del Año 2000. Si ud. es usuario de Windows 95/98 puede hacerlo mediante el Software provisto por Microsoft (C) llamado –Fix2001—que se encuentra adjunto en este email o bien puede ser descargado del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM. Si Ud. es usuario de otros Sistemas Operativos, por favor, no deje de consultar con sus respectivos soportes técnicos.

Muchas gracias.

Administrador

Internet Customer:

We will be glad if you verify your Operative System(s) before Year 2000 to avoid problems with your Internet Connections. If you are a Windows 95/98 user, you can check your system using the Fix2001 application that is attached to this email or downloading it from Microsoft (c) WEB Site: HTTP://WWW.MICOROSFT.COM. If you are using another Operative System, please don't wait until Year 2000, ask your OS Technical Support.

Thanks.
Administrator.

Al ejecutarse, el virus se instala en el sistema y modifica el registro para que se ejecute durante las siguientes sesiones de Windows. Se copia en \Windows\System directory y muestra el mensaje:

'Your Internet Connection is already Y2K, you don't need to upgrade it'

Después de esto, el virus acaba hasta la próxima vez que se reinicie el equipo y en esa ocasión, se registrará como un proceso de los servicios del sistema con el proceso 'AMORE_TE_AMO' y las funciones Connect y Send de WSOCK32.DLL (Windows Sockets Library utilizada para conectarse a Internet).

Cuando detecta una conexión a Internet, el virus escanea los mensajes enviados y recibidos, toma las direcciones de ellos y envía una copia de sí mismo con los mensajes mostrados anteriormente.
El virus tiene unos efectos peligrosos que se activan en caso de que se corrompan las cadenas de texto del mensaje. En este caso, el virus sobrescribirá el archivo C:\COMMAND.COM con un troyano de DOS que borrará todos los datos del disco duro cuando se reinicie el sistema.

El virus tiene varias cadenas de texto internas, incluyendo plantillas de correo y un mensaje:

Fix2001
THE REAL KEY TO LIVE A HAPPY LIFE IS: BE A GOOD MAN
PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO

KW32/EXPLORERZIP.WORM.PAK: Se trata de una variante del virus ExploreZip. Su tamaño se ha reducido a la mitad respecto a éste, por lo que la mayoría de los anti-virus no actualizados no pueden detectarlo.
El virus llega al usuario mediante un archivo adjunto a un e-mail. Cuando se abre este archivo, el virus empieza a contestar a mensajes de correo electrónico haciendo que parezca que es el usuario real quien está contestando personalmente. Además, una vez que el virus infecta un equipo en una red corporativa, buscará otras estaciones de la red.

Por ejemplo, si un usuario A recibe un correo electrónico de otro usuario B con la referencia "Please, check these numbers", el equipo del usuario A enviará automáticamente un mensaje de este tipo:

De: A
Para: B
Referencia: Please, check these numbers

Hi B,

I have received your email and I shall send you a reply ASAP. Till then take a look at the attached zipped docs.

Sincerely,
A

Attachment: zipped_files.exe .

El archivo adjunto parece un archivo comprimido con Winzip. Cuando el destinatario intenta descomprimir el archivo haciendo doble click, WinZip enviará un mensaje de error. Además de difundirse mediante el envío masivo de e-mails, el virus tratará de sobrescribir los documentos del usuario en cualquier unidad accesible, incluyendo las unidades de red. Este virus se difunde si el receptor del virus tiene Outlook, pero sí causará daños en los archivos del receptor.
ZippedFiles opera bajo Windows 95, 98 y NT.

KAK: El virus Kak se activa el primer día de cada mes si la máquina es reiniciada después de las 5 p.m. Utiliza el conocido agujero en la seguridad OutLook Express para ejecutarse automáticamente cuando se visualiza un e-mail.
El gusano Kak está escrito en lenguaje Java. Funciona bajo las versiones de Windows 95/98 en Ingles y Francés; no funciona bajo Windows NT o Windows 2000. Kak se replica vía e-mail sólo si está instalado OutLook Express 5.0 - no funciona con el OutLook normal de Microsoft.

Una vez que el usuario recibe un mensaje infectado, y abre o visualiza el mensaje en la pantalla, el gusano modifica el sistema de tal forma que la próxima vez que se inicializa el equipo, la firma standar del e-mail del usuario es reemplazada con un fichero infectado HTML del virus.

Después de esto, cada mensaje de correo eléctronico enviado desde el Pc infectado contendrá el virus, e infectará cada equipo receptor tan pronto como sea abierto en OutLook Expres.

En ese momento el virus mostrará el mensaje:

Kagou-Anit-Kro$oft say not today1

Y a continuación cerrará la sesión Windows.

El agujero de seguridad de Outlook Express explotado por el gusano puede ser cerrado utilizando “Active Scripting” en Outlook Express Preferences. Microsoft [NASDAQ dispone de una actualización para solucionar este problema desde Agosto de 1.999.

VBS_LOVELETTER: peligroso virus que está distribuyéndose muy rápidamente por Internet. Podemos destacar principalmente dos características en este nuevo gusano. Una de ellas le permite distribuirse automáticamente por Internet utilizando el correo electrónico (e-mail) y las conexiones a servidores Chat (mIRC). La otra característica a destacar incluye una rutina dañina que destruye cierto tipo de información en los sistemas afectados.

LOVELETTER.B: VBS_LOVELETTER.B. El mensaje que hace aparecer es el siguiente:

Subject: Susitikim shi vakara kavos puodukui...
Body: kindly check the attached LOVELETTER coming from me.
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

LOVELETTER.B contiene estos comentarios en su código:
Modified Lameris Tammoshius / Lithuania (Tovi systems)

LOVELETTER.C: VBS_LOVELETTER.C. Mensaje: Subject: fwd: Joke. Attachment: Very Funny.vbs.

LOVELETTER.F: VBS_LOVELETTER.F. Esta variante se difunde vía email con el siguiente texto:
Asunto: Dangerous Virus Warning
There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
Archivo adjunto: virus_warning.jpg.vbs

LOVELETTER.G: VBS/LoveLetter.G es similar al original VBS/LoveLetter.A

Esta variante envía un mensaje que parece provenir desde el departamento de Soporte de Symantec. Además cambia la página de inicio de Internet Explorer apuntando a una página para adultos o a una de hackers. Esta variante no intenta descargar el "WIN-BUGSFIX.exe".

El mensaje muestra lo siguiente:
Asunto: ¡¡¡ Alerta de Virus ¡!!
Desde: support@symantec.com
Dear Symantec customer,
Symantec's Antivirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GTM
This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected.
The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to e-mail itself as an attachment.
The subject line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.txt.vbs. Once the attachment is opened, the virus replicates and sends an e-mail to all e-mail addresses listed in the address book. The virus also spreads itself via internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.
User should exercise caution when opening e-mails with this subject line, even if the e-mail is from someone they know, as that is how the virus is spread.
Symantec Corp. Today announced availability of the virus definition to detec, repair and protect users against the VBS.LoveLetter.A virus.
This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites:
http://www.symantecstore.com/AF77774211/promo/loveletter
http://www.digitalriver.com/symantec

Also as a quick solution Symantec Corp. offers Visual Basic Script to protect your PC against this worm. (See attached)

Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus.

To cure already infected PC'S download Norton Antivirus
Updated mentioned above.

Symantec Corporation - a world leader in Internet security technology.

Archivo adjunto: protect.vbs

Para los archivos con las siguientes extensiones: ".js", ".jse", ".css", ".wsh", ".sct", ".hta", ".com" y ".bat", el virus creará un nuevo archivo con el mismo nombre, pero utilizando la extensión ".vbs" y borrará el archivo original. Puesto que destruye todos los archivos ".com", el sistema no podrá ser reiniciado nunca más.

LOVELETTER.H: VBS_LOVELETTER.H. Esta variante se expande en emails con el siguiente contenido:
Asunto : Important ¡ Read carefully!!
Check the attached IMPORTANT coming from me
Archivo adjunto: IMPORTANT.TXT.vbs

LOVELETTER.I: VBS/LoveLetter.I es una variante ligeramente modificada de VBS/LoveLetter.G

LOVELETTER.J: VBS_LOVELETTER.J.Esta variante es funcionalmente idéntica a VBS/LoveLetter.A. Sin embargo, el email y el nombre del archivo adjunto se modifican.
Asunto: How to protect yourself from the ILOVEYOU bug ¡
Here's the easy way to fix the love virus.

Archivo adjunto: Virus-Protection-Instructions.bvs

LOVELETTER.K: VBS_LOVELETTER.K. Esta variante envia un mensaje con el siguiente contenido:
Asunto: Thank You For Flying With Arab Airlines
Please check if the bill is correct, by opening the attached file

Archivo adjunto: ArabAir.TXT.vbs

VBSLoveLetter.K borra archivos con extensiones ".dll" y ".exe": añade un archivo nuevo con la extensión ".vbs" y borra el archivo original. El virus localiza todos los archivos con la extensión ".sys", crea un nuevo archivo con la extensión ".vbs" y oculta el archivo original.

LOVELETTER.M: VBS_LOVELETTER.M. Se trata de una variante modificada del virus LoveLetter.A: cambia el asunto, el contenido del email y el nombre del archivo adjunto
El nuevo mensaje es el siguiente:
Asunto: Bewerbung Kreolina
Sehr geehrte Damen und Herren!
Archivo adjunto: "BEWERBUNG.TXT.vbs"

LOVELETTER.N: VBS_LOVELETTER.N. También es una variante modificada del virus LoveLetter.A. Cambioa el asunto, el contenido del email, el nombre del archivo adjunto y los archivos reemplazados.
Esta variante envia un mensaje con el siguiente contenido :
Asunto: LOOK
hehe...check this out
Archivo adjunto: "look.vbs"

LOVELETTER.O: VBS_LOVELETTER.O. Esta variante modificada del virus LoveLetter.A sólo cambia en SCRIPT.INI porque contiene el comentario "Bla Bla Bla".

LOVELETTER.P: VBS_LOVELETTER.P. Esta variante envía un email con el siguiente contenido :
Asunto: Variant Test
This is a variant to the vbs virus.
Archivo adjunto: IMPORTANT.TXT.vbs

El gusano borra todos los archivos con la extensión ".avi", ".mpeg", "qt", o ".qtm", " También oculta todos los archivos con extensión ".mpg". Después de borrarlos o esconderlos, el gusano crea una copia de los mismos utilizando el nombre de los archivos originales con la extensión adicional ."vbs"

LOVELETTER.Q: VBS_LOVELETTER..Q. El mensaje que envía esta variante es el siguiente:
Asunto: Yeah, Yeah another time to DEATH...
This is the Killer for VBS.LOVE-LETTER.WORM.
Archivo adjunto: Vir-Killer.vbs

VBS/LoveLetter.Q borra todos los archivos con extensión ".zip" o ".ar". Tambien oculta todos los archivos con extensión ".asm" o ".pas". Después de esta operación, el gusano crea una copia de los archivos borrados utilizando el nombre de archivo original con la extensión adicional ".vbs".
Esta variante no se propaga vía mIRC

LOVELETTER.R: VBS_LOVELETTER.R. se propaga en emails con el siguiente contenido:
Asunto: PresenteUOL
O UOL tem um grande presente para voce, e eh exclusivo.
Veja o arquivo em anexo.
http://www.uol.com.br
Archivo adjunto: UOL.TXT.vbs

LOVELETTER.S: VBS_LOVELETTER.S. Es una leve variación de LoveLetter.N. Oculta los archivos con la extensión .mp3 y .mp2 igual que el virus original LoveLetter.A.

LOVELETTER.T: VBS_LOVELETTER.T. Es una variante de LoveLetter.A. Cambia el asunto, el contenido del mensaje, el nombre del archivo adjunto y los archivos reemplazados.
Se trata de un gusano VBScript con cualidades de un virus. Este gusano llega a través de un mensaje de email con el siguiente formato:
Asunto: Recent Virus Attacks-Fix
Attached is a copy of a csript that will reverse the effects of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW: JOKE, Mother's Day and Lithuanian Siblings
Archivo adjunto: BAND-AID.DOC.bvs

LOVELETTER.V: VBS_LOVELETTER.V. es una variante modificada ligeramente del LoveLetter.L

LOVELETTER.W: VBS_LOVELETTER.W. Esta variante se propaga en emails con el siguiente contenido:
Asunto: IMPORTANT: Official virus and bug fix
This is an official virus and bug fix. I got it from our system admin. It may take a short while to update
Your system files after you run the attachment.
Archivo adjunto: Bug and virus fix.vbs.
Esta variante reemplaza todos los archivos con la extensión ".exe", ".com", ".dll" o ".sys". Dejará el sistema en estado inservible.

LOVELETTER.X: VBS_LOVELETTER.X. Es una variante de poca importancia de LoveLetter.A. Cambia los archivos que sustituye, el mensaje, el archivo adjunto y los archivos creados.
Es un gusano con cualidades de un virus. Este gusano llega a través de email sugiriendo ser un fix para el virus LoveLetter pero realmente es un virus. El email está en este formato:
Asunto: NEUE ANTI-VIRUS-LISTE
Hiermit senden wir Ihnen/Dir eine neue Liste mit LOVE LETTER-VIRUS Namen, die nicht geoeffnet werden sollten, bitte sofort lesen, danke.
Archivo adjunto: ANTI-VIRUS-LISTE.TXT.vbs

LOVELETTER.Y: VBS_LOVELETTER.Y. Ese trata de una variante importante de LoveLetter.A. Esta variante utiliza las mismas técnicas para reemplazar los archivos, sin embargo introduce una técnica nueva para infectar los archivos y para que el sistema los utilice. En vez de utilizar la extensión por defecto de Windows Scripting Host, obliga a que las extensiones .gif y .jpg funcionen como un archivo script.
Este es un virus VBScript con cualidades de gusano. Llegará en un mensaje por email sugiriendo ser un cuadro, sin embargo en realidad es un virus. El email tiene este formato:
Asunto: Image of the Millenium
Hi, my name is Nelma Marisa, and I'm here to present the Image of the Millenium, Just unzip Nelma.zip and read the readme File included first. Then open the image called Millenium.gif.
Thanks...
Archivo adjunto: nelma.zip

MELISSA.BG: Melissa.BG es un nuevo virus que se difunde por email adjuntándose al mensaje de correo. El email aparenta ser un curriculum y va dirigido a los directores comerciales y de marketing de las compañías.
Si el receptor abre el documento con el curriculum, se activará un virus de macro que va incorporado enviándose a todas las direcciones de la agenda de Microsoft Outlook. Depués de esto, el virus esperará a que el usuario cierre el documento. En ese momento, el virus intentará borrar el resto de documentos y los archivos de sistema de las unidades locales y de las unidades de red compartidas, haciendo que el equipo no se pueda volver a arrancar jamás.

El mensaje tiene este aspecto:

De: nombre_del_usuario_infectado
Para: nombre_aleatorio_de_la_agenda_de_Outlook
Asunto: Resume - Janet Simons

Director of Sales/Marketing,

Attached is my resumen with a list of references contained within. Please, fell free to call or email me if you have nay further questions regarding my experience. I am looking forward to hearing from you.

Sincerely,

Janet Simons.

Archivo adjunto: Explorer.doc

Es posible que el virus no se difunda todo lo que debería porque le lunes 29 de mayo es fiesta en USA y algunos países europeos.

MYPICS: Alias: Pic4You, I-Worm.MyPics.

Este virus es una aplicación en Visual Basic que normalmente se recibe como un archivo adjunto a un mensaje cuyo texto es "Here's some pictures for you!" y sin ninguna referencia. Cuando se ejecuta, el virus se instala en el sistema como C:\Pics4You.EXE y modifica el registro de Windows de modo que siempre se carga cuando se inicia Windows. MyPics necesita una librería de Visual Basic llamada MSVBVM50.DLL para iniciarse y si no existe, no infectará el sistema ni se difundirá. Si se llega a activar, el virus se envía a sí mismo a 50 usuarios al mismo tiempo. Las direcciones de email de las víctimas las toma de la agenda de Outlook. El virus no se envía dos veces al mismo PC.

Tiene unos efectos peligrosos que se activarán el día 1 y 2 de enero. El virus cargará y ejecutará el archivo CBIOS.COM que corromperá los datos de CMOS y sustituirá el archivo AUTOEXEC.BAT con comandos para formatear los discos duros y luego reiniciar el sistema.

MyPics.b
Alias: ICQ_Greetings, I-Worm.MyPics.b

Esta variante se basa en el mismo código fuente de MyPics de modo que tiene diferencias menores con respecto a él. El mensaje con el que se difunde es "Season's Greetings" y se instala a sí mismo como C:\ICQ_Greetings.EXE. Su difusión vía Outlook es similar a MyPics.

Sus efectos también son ligeramente diferentes. El 1 de enero de 2000, el virus cambia los parámetros de registro de Windows, siendo los nuevos:
RegisteredOwner' = Mike Carmody
'RegisteredOrganization' = 2034 Langley Ct. Holloman Afb, NM 88330

Esta versión del virus formatea no solamente los discos duros C: y D:, sino también F:, U: y los disquetes A: y B:. Además, borrará los archivos y carpetas siguientes el día 1 de enero de 2000:
c:\*.c*
d:\*.c*
c:\winnt\system\*.c*
c:\winnt4\system\*.c*
c:\windows\system\*.c*
c:\winnt\system\*.o*
c:\winnt4\system\*.o*
c:\windows\system\*.o*
c:\winnt\*.i*
c:\winnt4\*.i*
c:\windows\*.i*

Variante: MyPics.c
Alias: Video, I-Worm.MyPics.c
El mensaje que envía esta variante es 'Here's a digital video for you'. Se instala a sí mismo en C:\Zip01.EXE y utiliza Outlook para difundirse.

El día 17 de cada mes, esta variante borrará archivos en las mismas carpetas que las especificadas anteriormente.

PALM_LIBERTY.A: es un programa malicioso especialmente desarrollado para funcionar en el sistema operativo Palm-OS. Se trata de una amenaza de bajo riesgo por el momento. Para que este troyano pueda afectar el sistema, el usuario debe descargar e instalar el archivo en su dispositivo PDA. Por este motivo recomendamos a los usuarios de dispositivos compatibles con el sistema operativo Palm-OS tomar todas las precauciones posibles a la hora de instalar aplicaciones.

PE_BABYLONIA: Se trata de un virus residente en memoria con características de gusano y troyano que funciona en Windows9x. Este virus en particular consigue distribuirse básicamente a través de Internet utilizando el correo electrónico y conexiones mIRC. El archivo infectado fue originalmente instalado en un servidor de noticias (newsgroup) como un archivo de ayuda de Windows denominado "serialz.hlp". Una vez que el usuario abre el archivo de ayuda, el virus se instala en el sistema.

PE_CHOLERA.CTX: Es un programa ejecutable dentro del entorno Windows que se distribuye a sí mismo infectando tros archivos ejecutables. El virus puede contraerse bajando archivos o abriendo un archivo ejecutable infectado.

PE_INFIX.4608: es un nuevo virus que infecta archivos .EXE en las plataformas Windows NT. Este virus no infectará Windows 95/98 o Windows 2000. PE_Infix.4608 es considerado destructivo porque corrompe los archivos que infecta y aún cuando los archivos son limpiados, estos no pueden volver a ejecutarse.

PE_KRIZ: conocido como a.k.a W/32.KRIZ, es un virus polimórfico residente en memoria que infecta archivos ejecutables Win 32 (*.EXE y *.DLL) cuando estos se ejecutan. PE_KRIZ posee una carga destructiva que se activará el 25 de Diciembre. Cuando la carga se ejecute, el virus destruirá la memoria CMOS, el Flash BIOS y todos los archivos en todos las unidades de disco sobre escribiendo los datos (similar al PE_CIH).

PE_MTX.A: se propaga vía e-mail. Crea una copia modificada de WSOCK32.DLL para así interceptar el SMTP. Cuando un usuario infectado envía un e-mail, un nuevo e-mail es creado con una copia del virus adjunta al mismo. Cuando el destinatario recibe ese e-mail y hace doble clic sobre el archivo, el virus es ejecutado. Crea los archivos ocultos IE_PACK.EXE, WIN32.DLL y MTX_.EXE en el directorio de Windows y crea una entrada en el registro para ejecutar MTX_.EXE cada vez que inicie su sistema. Luego infecta directamente los archivos PE en los directorios de Windows y de sistema. Estos archivos pueden poseer las extensiones EXE, SCR y DLL.

PE_SHOEREC.A: es un nuevo virus de Windows destructivo y polimórfico, el cual fue recientemente reportado por varios usuarios. Una vez activado, PE_SHOEREC intenta infectar otros archivos del directorio de Windows y de Archivos de Programa (incluyendo subdirectorios). PE_SHOEREC tiene severas rutinas que se activan después de que el sistema a sido infectado meses atrás. Una de las rutinas trata de mover iconos del escritorio de Windows, mientras tanto la otra trata de borrar archivos del disco duro.

PLAGE 2000: Alias: Plage 2000, P2000, I-Worm.Plage. Worm.P2000.Tamaño: 102400

Es un ejecutable PE con 102400 bytes de longitud. No está encriptado pero pueden aparecer versiones nuevas del virus encriptadas que hagan aún más difícil su detección. El virus tiene el icono de WinZip y se hace pasar por un archivo .ZIP autoextraíble.

Plage2000 llega como un archivo adjunto a un email y se instala a sí mismo en el sistema como INETD.EXE en la carpeta de Windows. A continuación, modifica WIN.INI y el registro para ejecutarse en todas las sesiones de Windows. Una vez que está activo en memoria, el virus se comunica con los navegadores compatibles con MAPI, busca mensajes que no han sido contestados y él mismo se encarga de responderlos. El mensaje respuesta del virus parece un mensaje de autorespuesta que mucha gente utiliza mientras que no pueden abrir sus buzones:

P2000 Mail auto-reply:

I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion!

>Get your FREE P2000 Mail now!<

El código del virus siempre va adjunto al mensaje. El nombre del archivo adjunto se selecciona aleatoriamente entre las siguientes variantes:

pics.exe PsPGame.exe tamagotxi.exe Card.EXE s3msong.exe fun.exe

images.exe news_doc.exe searchURL.exe billgt.exe docs.exe

joke.exe hamster.exe SETUP.EX Emidsong.exe humor.exe

Cuando el receptor del mensaje hace click sobre el archivo adjunto, el virus también infecta su sistema. El virus primero muestra una ventana de diálogo como la de los archivos autoextraíbles WinZip. Si el usuario hace click en el botón Unzip o en Run WinZip, el virus muestra el siguiente mensaje y se instala:

"ZIP damaged: file C:\3\WORM.EXE: Bad CRC number. Possible cause: file transfer error"

Si el usuario hace click en el botón Close, el virus simplemente se instala pero no muestra ningún mensaje.

Una vez que está activo, el virus estará chequeando la hora y el día. Los miércoles, justo después de medianoche, muestra un diálogo con una imagen de Hitler con la frase "Follow your leader" y el texto:

"Fight against the plage of inhumanity.
This is Plage 2000 coded by Bumblebee/29a"

No es un virus muy destructivo pero se puede extender muy rápidamente.

REMOTE EXPLORER (WINDOWS NT): Economic Data ha identificado el primero de una nueva clase de virus informáticos que tienen el poder de replicarse rápidamente a través de las redes corporativas. Esta nueva variedad, “Remote Explorer”, comprende los primeros “virus de red”, capaces de infectar rápidamente redes enteras al instalarse a sí mismo en sistemas Windows NT y multiplicarse sin la intervención del usuario, encriptando documentos aleatoriamente por toda la red a nivel local o en áreas más amplias.

Los ataques de Remote Explorer consisten en una serie de acciones tomadas según se va moviendo el virus por la red. Una vez que una simple copia del virus se ha infiltrado en el entorno, automáticamente se replicará a sí mismo por toda la red, usando los privilegios de seguridad del administrador de la red. A continuación, encriptará documentos de la red así como elementos cruciales con su propia base de códigos, evitando que los administradores de la red compartan la información para ayudar a detener el daño.

Con la habilidad de autopropagarse por toda la empresa, encriptar datos corporativos, detener la ejecución de programas y dirigir información específica a usuarios externos, este virus es el primero que potencialmente puede provocar una amplia paralización de las empresas.

SERBIAN BADMAN: Grave riesgo de nuevo ataque masivo DoS.

9 de junio de 2000. NetSec (Network Security Technologies), empresa norteamericana líder en seguridad informática, ha emitido hoy un comunicado tanto al Gobierno de los Estados Unidos como a varias compañías privadas, alertando de la existencia de una importante red 'underground' de PC's, desde la cual un grupo de 'hackers' planea lanzar un ataque masivo Denial of Service (DoS). Según estimaciones, ya existen unos 2.000 equipos con el peligroso troyano instalado. El grupo de hackers está utilizando técnicas “Backdoor” para intoducir el virus en los Pc´s.

Disfrazado aparentemente como un archivo de vídeo, el nuevo troyano SERBIAN BADMAN da el control completo del PC infectado a los 'hackers', es decir, convierte cada Pc en un 'sistema zombie'. De esta forma, los intrusos pueden usar el equipo infectado como un gateway permanente, para acceder a los archivos personales o corporativos, o para lanzar ataques DoS a sitios web. En caso de ataque, los 'sistemas zombies' pueden mandar miles de respuestas repetidas que colapsarían las webs.

NetSec afirmó que durante los dos últimos días, sus expertos pudieron comprobar cómo los 'hackers' planeaban sus ataques; incluso interceptaron un ataque real en la noche de ayer, lanzado por un 'hacker' canadiense denominado 'Serbian' contra uno de los propios equipos de NetSec, ataque que alertó a los sistemas de seguridad del Departamento de Justicia norteamericano.

NetSec cree que los atacantes comenzaron enviando un e-mail con el troyano comprimido atachado. Para los usuarios de muchos programas de correo, el archivo parecía un “.avi”, no un ejecutable (.exe). El archivo ocuparía aproximadamente 373 K, con un nombre de siete letras en tipos capitulares. Si el usuario afectado pulsaba el icono, se ejecutaba el ya conocido como "Serbian Badman Trojan".

Según Jerry Harold, presidente de NetSec, "debido a que se trata de un plan de ataque a gran escala, los 'hackers' pueden valerse con facilidad de las máquinas que infecten para lanzar un ataque masivo DoS, como el que en febrero de este año afectó a la web de noticias de la CNN, al directorio de Internet de Yahoo y a Amazon.com".

Esta noticia añade un argumento más al debate abierto sobre la precaria seguridad en Internet.

VIRUSPROT recomienda tener un anti-virus adecuado instalado y completamente actualizado, que detecte y elimine Serbian Badman.

SOUTHPARK: SouthPark es un virus que se difunde a través de una cadena de e-mails. Se envía a sí mismo a todas las direcciones de la agenda de Outlook de Microsoft. Puesto que no tiene un límite en cuanto al número de direcciones a las que se envía, puede colapsar los servidores de correo electrónico en poco tiempo.

El mensaje que envía está escrito en alemán y tiene el siguiente formato:

Desde: nombre_del_usuario_infectado
A: nombre_aleatorio_de_la_agenda_de_Outlook
Asunto: Servus Alter!

Hier ist das Spiel, das du unbedingt wolltest!;-)

Archivo adjunto: South Park.exe

Este virus puede provocar el mismo daño que el ya famoso virus ILoveYou.

Volver