HOME
 ENGLISH VERSION
 SIST. OPERATIVOS
 LINUX
 MAC
 PALM
 PC
 DATOS DE INTERES
 ENTREVISTAS
 BIOGRAFIAS
 HISTORIAS
 GLOSARIO
 VIRUS / SEGURIDAD
 TRUCOS
 SOBRE LOS DOMINIOS
 HARDWARE
 WEBMASTERS
 ACTUALIDAD
 SERVICIOS
 WEBMAIL
 COMPRA - VENTA
 BOLSA DE TRABAJO
 SORTEOS
 NEWSLETTERS
 CONSULTA TECNICA
 MISCELANEAS
 WALLPAPERS
 ICONOS
 LIBROS
 REVISTAS
 SOBRE MACCARE
 PAGINA DE INICIO
 A FAVORITOS
 PRENSA
 COPYRIGHT
 CONTACTENOS
 SUSCRIBITE
 PUBLICITE
 SERVICIO TECNICO
 SUGERENCIAS
 ENLACES
 ALIANZAS
 

Millicom

Sorteos

 
Symantec
 
Libros/Revistas
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
   
 

Enciclopedia de Virus

A

B

C

D

E

F

G

H

I

J

K

L

M

N

Ñ

O

P

Q

R

S

T

U

V

W

X

Y

Z

T

TRIN00: ALIAS: Trin00, TFN, TFN2000, Stacheldraht. Estos programas no son virus, son herramientas DoS. Este tipo de herramientas DoS son programas que se pueden utilizar para lanzar ataques contra cualquier equipo conectado a Internet al negarle el servicio. El objetivo de los ataques son servidores web corrientes.

Introducción: Denial of Service (DoS) son ataques a los sistemas para cortar los servicios ofrecidos por estos. En Internet esto significa bloqueo de los servicios o agotar algunos recursos limitados.

Algunos ataques típicos son: ocupar todo el ancho de banda de una web, agotar todas las conexiones a un servicio, bloquear un servicio usando algún fallo en la seguridad, bloquear un equipo ejecutando un servicio también con algún fallo en la seguridad, .... Estos ataques utilizan las redes para boicotear recursos en varias ubicaciones.

Configuración Maestro - Esclavo: Las herramientas DoS utilizan una configuración maestro - esclavo. Los procesos esclavos se instalan en un gran número de hosts comprometidos de Internet e informan a los procesos maestros de su instalación satisfactoria. De este modo, se crea una red entre maestros y esclavos que puede incluir un gran número de hosts extensamente difundidos.

Los esclavos realizan una o varias rutinas DoS que pueden ser iniciadas remotamente por los maestros quienes, a su vez, pueden controlar los objetivos a atacar y cómo hacerlo. Algunas de las órdenes son la protección de contraseñas para evitar la activación no autorizada de los ataques o la desactivación de estos.

Los procesos maestros están cuidadosamente protegidos y se instalan en sistemas donde la detección es difícil debido a la mala administración o a una gran actividad. Un atacante puede conectar con el proceso maestro desde prácticamente cualquier host de Internet; un único atacante puede controlar varios procesos maestros DoS, dando acceso instantáneo a un gran número de procesos esclavos.


Impacto: Los sistemas atacados notarán un gran incremento en el tráfico de red. Dependiendo del ataque, el tráfico puede provenir de direcciones válidas de Internet o de direcciones aleatorias creadas por los procesos esclavos. Si el sistema atacado es vulnerable a estos ataques, se bloqueará o funcionará incorrectamente hasta que se bloquee. Si el sistema no se bloquea, sus recursos se agotarán.

Defensa: El único método de eliminar completamente este tipo de ataques es reducir el número de sistemas que puedan verse comprometidos de modo que los atacantes no puedan crear grandes redes de distribución DoS.

TROJ_BO2K: conocido como BACK ORIFICE 2000. Se trata de una nueva versión del troyano Back Orifice. Escrito por el grupo denominado Culto al Toro muerto (Cult of The Dead Cow), Back Orifice 2000 (BO2K) permite que extraños accedan y monitoricen cualquier información en un equipo Windows 95, 98 y NT mediante un programa para servidor invisible que él mismo instala. También permite a los extraños espiar lo que el usuario del PC está haciendo. Una vez que el programa se ha instalado, se puede acceder y controlar el equipo utilizando el cliente Back Orifice
Economic Data ofrece una solución para su detección y eliminación con sus herramientas anti-virus.

TROJ_BO2K.PLUG: BOTOOL, un plug-in para el Back Orifice 2000, es una interfaz gráfica que permite administrar el registry y archivos remotamente. TROJ_BO2K.PLUG provee un navegador de archivos tipo Explorer que puede ser usado para subir y bajar archivos, así como renombrar y borrar archivos y directorios, sobre un canal seguro de comandos del BO2K.

TROJ_EXPZIPWMPAK: es una versión codificada del original TROJ_EXPLOREZIP, el cual contiene una rutina de activación dañina. Este nuevo gusano es exactamente igual a su versión original, incluye el mismo sistema de autodistribución por Internet y la misma activación maliciosa. La única diferencia entre el TROJ_EXPZIPWMPAK y el TROJ_EXPLOREZIP es que el primero ha sido comprimido utilizando una herramienta particular.

TROJ_HLLW_SOFT6: Este troyano se distribuye en redes NT. Requiere un nivel Administrador para trabajar correctamente. Esta formado por 2 archivos, instals.exe y services.exe con 300kb y 322 kb de tamaño respectivamente. Este troyano mostrará el texto "Hi 2000" de manera continua desde las 9am hasta las 12pm.

TROJ_HYBRIS.A: Este gusano se distribuye vía MS Outlook infectando el archivo WSOCK32.DLL. Se adjunta a todos los e-mails salientes, y el nombre del archivo adjunto varía.

TROJ-MATCHER.A: es un troyano que fue creado en Visual Basic 6.0. Se autodenomina como un programa para el encuentro de parejas. Utiliza el componente de Visual Basic Microsoft Script Control para propagarse a si mismo, utilizando el cliente predeterminado de correo. Los destinatarios del virus son tomados del Address book de Windows.

El correo contiene el Subject "Matcher" y el archivo adjunto "MATCHER.EXE" Otros Subjects con los que se re-envia: "Want to find your love Mates!!! Try its cool. Looks and attitude matching to opposite sex body."

TROJ_MELTING.A: es un nuevo gusano, ha sido reportado numerosas veces en esta ultima semana. Al ser ejecutado, el TROJ_MELTING.A trata de propagarse enviando un archivo infectado (MeltingScreen.exe) a todos los usuarios de la libreta de direcciones del Microsoft Outlook. El asunto de dichos mensajes es "Fantastic ScreenSaver ".Además, el TROJ_MELTING.A renombra todos los archivos .EXE del directorio de Windows por la extensión .BIN. Luego se copia a sí mismo con el nombre original del archivo al mismo directorio.

TROJ_MYBABYPIC.A: El troyano consigue distribuirse automáticamente por Internet a través de archivos ejecutables adjuntos a mensajes de correo electrónico con el asunto "My Babypic". Adicionalmente incluye rutinas maliciosas que pueden dañar información de los sistemas afectados.

TROJ_NAKEDWIFE: Este troyano se distribuye automáticamente por Internet en archivos ejecutables adjuntos a mensajes de correo electrónico con el título "FW: Naked Wife". Adicionalmente, incluye rutinas maliciosas que pueden afectar la información de los sistemas infectados.

TROJ_NAVIDAD.A: Este gusano de Internet se propaga vía Microsoft Messaging API (MAPI). Se envía a sí mismo como un archivo adjunto a toda la lista de direcciones del usuario infectado. Además modifica el registro, para así ser ejecutado cada vez que se inicia Windows. También muestra un mensaje cuando es ejecutado.

TROJ_NEWAPT.WORM: es un gusano que reside en la memoria y se propaga a través de correo electrónico. Este gusano ya ha sido encontrado en Europa pero no se tienen reportes de su aparición en el resto del mundo. Este troyano (TROJ_NEWAPT.WORM) es recibido como un archivo adjunto en un mensaje de correo electrónico y se envía a si mismo a todos los usuarios de la libreta de direcciones de Microsoft Outlook.

TROJ_MYPICS: es un troyano residente en memoria que se distribuye automáticamente por correo electrónico. El mismo se recibe en un archivo ejecutable denominado "Pics4You.exe".

TROJ_PLAGE2000: es un Troyano que se distribuye a través de mensajes de correo electrónico utilizando MAPI. El programa responde a mensajes no leídos con un mensaje en el cual incluye el gusano como archivo adjunto. Al igual que todos los troyanos, éste no infecta otros archivos.

TROJ_VIDEO.25600: conocido como a.k.a. Win32.Video worm, es un gusano que se distribuye eviándose a si mismo a través de clientes de correo que utilicen Microsoft Outlook. El mensaje proviene de una persona que Ud. conoce y posee un archivo adjunto llamado video.exe. Este troyano accede a la libreta de direcciones de Microsoft Outlook y se envía como archivo adjunto a los servidores de correo.

U

V

VBS/BUBBLEBOY - 1er. VIRUS QUE SE ACTIVA POR SÍ MISMO CON SOLO LEER UN E-MAIL:

Los expertos advierten del enorme peligro que supone el nuevo virus VBS/Bubbleboy ya que es el primer virus capaz de infectar sin que se abra el archivo atachado al mensaje de correo electrónico. El virus se ejecuta inmediatamente después de que se haya abierto el mensaje con Outlook, propagándose como un mensaje de dicho programa. El mensaje no tiene un archivo atachado con el virus, sino que el código del virus está incluido en el mismo mensaje. No obstante, si está desactivado active scripting, el virus no infectará.

Cuando un usuario recibe este tipo de e-mail y lo abre, el virus crea dos archivos:
C:\WINDOWS\START MENU\PROGRAMS\STARTUP\UPDATE.HTA y
C:\WINDOWS\MENU INICIO\PROGRAMAS\INICIO\UPDATE.HTA
Estas ubicaciones especifican el directorio de inicio de Windows tanto en la versión inglesa como en la española. El virus se ejecuta después de que se reinicie Windows. En ese momento, el virus utiliza ActiveX para acceder al registro del sistema. Sustituye al usuario registrado de Windows por "BubbleBoy" y el nombre de la empresa por "Vandelay Industries". Además, añade: HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy con el valor: OUTLOOK.BubbleBoy 1.0 by Zulu
El virus utiliza ActiveX para abrir Outlook y enviarse a sí mismo a todas las direcciones de correo de la agenda, igual que hacía el virus Melissa. El mensaje tiene este formato:
From: (nombre del usuario infectado)
Subject: BubbleBoy is back!
Body: The BubbleBoy incident, pictures and sounds
Este envío de mensajes masivo se realiza sólo una vez en cada equipo infectado. Después de este envío, el virus muestra este mensaje: System error, delete "UPDATE.HTA" from the startup folder to solve the problem
Actualmente se conocen dos variantes de esta amenaza.
ECONOMIC DATA advierte de la necesidad de tener un buen software anti-virus instalado lo más actualizado posible. Póngase en contacto con nosotros, le atenderemos con mucho gusto.

VBS/FREELINKS: apareció por primera vez en Europa en Julio de 1999, pero no tuvo mucho éxito porque solo operaba bajo Windows 98 y bajo la beta de Windows 2000, pero ahora que Microsoft ha lanzado Internet Explorer 5, cada vez más usuarios se ven afectados.

VBS/Freelinks está escrito en lenguaje VBScript. Por defecto, los programas escritos en este lenguaje operan solo bajo Windows 98 y Windows 2000 beta (a menos que se haya instalado Windows Scripting Host (WSH) por separado). No obstante, Internet Explorer 5 de Microsoft, instala también WSH en los equipos Windows 95 y Windows NT, convirtiéndolos en vulnerables a esta amenaza.

El virus llega a los usuarios adjunto a un mensaje de correo electrónico llamado LINKS.VBS, y al ejecutarse muestra el siguiente texto:

“this will add a shortcut to free XXX links on your desktop. Do you want to continue?”

Tanto si el usuario acepta como si no, el virus crea en el escritorio un acceso directo a Internet llamado
“FREE XXX LINKS”. Este acceso apunta a una web pornográfica. Después de esto, el virus busca más unidades de red en el equipo y si las encuentra, se copia a sí mismo en el directorio raíz.

VBS/Freelinks se reenvía a sí mismo a través de Outlook a cada una de las direcciones de la agenda (del mismo modo en el que lo hacía el famoso virus Melissa). La referencia del mensaje es Check this, y el texto es Have fun with this links. Bye. VBS/Freelinks borra el mensaje de la carpeta “Mensajes enviados” para intentar ocultar al usuario el envío masivo de emails.

Puesto que las agendas contienen direcciones de grupos, el resultado es que cuando el virus Freelinks se ejecuta dentro de una organización, el primer usuario infectado envía el mensaje a todo el mundo en la empresa. Después de esto, los usuarios abren los mensajes y lo vuelven a enviar otra vez a todo el mundo en la empresa, colapsando el servidor de correo.

VBS_HOMEPAGE.A: es un nuevo gusano de transmisión masiva vía Internet que se propaga a través de sistemas Microsoft Outlook. Se autoenvía como un archivo adjunto a todas las direcciones de correo de la lista de direcciones del usuario. Después de eso, el gusano intenta abrir algunos sitios web para adultos usando Internet Explorer. Un ejemplo de lo que contiene el mail en cuestión es:

Tema: Homepage

Cuerpo del mensaje: Hi! You've got to see this page! It's really cool ;O)

Traduccion: ("Hola! Tienes que ver esta página! Es realmente buena ;O)"

Archivo adjunto: HOMEPAGE.HTML.VBS

VBS_KALAMAR.A: Se trata de un virus tipo Visual Basic Script.

VBS/LUCKY: Alias: Lucky2000.

Lucky está escrito en lenguaje Visual Basic Script. Hasta el momento no se tienen noticias de infección por este virus.

La función de Lucky es sobrescribir todos los archivos VBS del directorio en curso. Dependiendo de un número aleatorio puede mostrar un mensaje con el título "VBS.Lucky2000" y el texto "That is ou End...". Sólo los sistemas que soporten Winscripting Host tienen riesgo de infección.

El virus intenta hacer una conexión a la página web del autor del virus creando y ejecutando un link Lucky2000.URL en C:\WINDOWS\Favorites\directory.

VBS_MONOPOLY: en un virus gusano encriptado escrito en el lenguaje VBScript que es capaz de infectar Windows 95/98/2000 y se distribuye a sí mismo como un archivo adjunto al e-mail, MONOPOLY.VBS, con el siguiente encabezado: Bill Gates joke y en el cuerpo del mensaje: Bill gates is guilty of monopoly. Here is the proof.

VBS/NEWLOVE.A: Es una nueva versión del virus ILoveYou, igualmente peligroso.
Se propaga a través de correo electrónico vía Outlook de Microsoft. El mensaje tiene la siguiente estructura:

Desde: Nombre_del_usuario_infectado
Para: Nombre_aleatorio_de_la_agenda_de Outlook
Asunto: FW (Nombre_de_archivo_aleatorio.ext)

Archivo adjunto : (Nombre_de_archivo_aleatorio.ext)

El archivo adjunto que lleva incorporado el email tiene un nombre elegido al azar al que añade la extensión ".vbs". Por ejemplo," "REPORT.DOC.vbs" o "Information on Jacks Birthday.txt.vbs". VBS/NewLove toma el nombre aleatoriamente de la carpeta de archivos abiertos recientemente. Si no hay archivos en ese directorio el gusano genera el nombre. Es decir, nunca coincide el asunto ni el nombre del archivo adjunto infectado que envía. La única forma de advertir que se ha recibido este virus es que el nombre del asunto y del archivo adjunto son el mismo.

El gusano se envía a sí mismo a cada una de las direcciones de la agenda de OutLook del mismo modo que lo hacía VBS/LoveLetter.

VBS/NewLove. A se copia en el Sistema de Windows y en el directorio Windows con un nombre aleatorio y se añade al registro con una clave al azar:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

A continuación, el gusano recorrerá todas las unidades y todos los subdirectorios. Para cada archivo, el gusano crea otro nuevo utilizando el mismo nombre con la extensión adicional".vbs" y borra el archivo original.

VBS_STAGES.A: es un nuevo gusano que se distribuye usando múltiples aplicaciones como el Microsoft Outlook, Pirch, mIRC y a todas las unidades de disco disponibles.

VBS/TIMOFÓNICA: se difunde vía email y activa los teléfonos vía GSM.

Se trata de una nueva versión de cartas encadenadas. Este gusano es similar al ya famoso LoveLetter que apareció a primeros de mayo, pero a diferencia de éste, Timofónica se activa enviando un mensaje corto SMS a los últimos teléfonos GSM elegidos al azar.

El gusano se difunde vía email y tiene este aspecto:

De: nombre de un usuario infectado
A: nombre aleatorio de la agenda de direcciones
Asunto: TIMOFONICA

Es de todos ya conocido el monopolio de Telefónica pero no tan conocido los métodos que utilizó para llegar hasta este punto. En el documento adjunto existen opiniones, pruebas y direcciones web con más información que demuestran irregularidades en compras de materiales, facturas sin proveedores, stock irreal, etc. También habla de las extorsiones y favoritismos a empresarios tanto nacionales como internaciones. Explica también el por qué del fracaso en Holanda y qué hizo para adquirir el portal Lycons. En las direcciones web del documento existen temas relacionados para que echéis un vistazo a los comentarios, informes, y documentos, etc. Como comprendéis, esto es muy importante y os ruego que reenviéis este correo a vuestro amigos y conocidos.

Archivo adjunto: TIMOFONICA.TXT.vbs

Timofonica opera bajo el sistema operativo Windows y necesita Outlook para
difundirse vía email.

Lo que hace que este gusano sea especial es que también envía mensajes a un gateway GSM de correo electrónico en España. El resultado final, el virus debería enviar este mensaje SMS a miles de números GSM al azar:

“informa que Telefónica te está engañando”

Se han recibido varios casos de infección, solo en España. Además, aparentemente el gateway SMS solo enviará los mensajes a teléfonos GSM en castellano, limitando el peligro a los hispanohablantes.

Cuando se abre el archivo TIMOFINICA.TXT.vbs, modifca el registro marcándolo para que no se ejecute más de una vez. También cambia los parámetros de Outlook 9.0 de modo que los emails enviados no se guarden en la bandeja de elementos enviados y así, el usuario no será consciente de lo que ha hecho.

Por otro lado, lanza "cmos.com" y modifica el registro para que se ejecute cuando se reinicie el sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Cmos

CMOS.COM es un troyano. Al ejecutarse, primero borra la memoria CMOS y luego intenta leer MBRs de los primeros cuatro discos duros físicos. En el caso de que lo consiga, el troyano borra el MBR del disco duro que pueda y también los registros de arranque de DOS de todas las particiones del disco.

A continuación, se copia en C:\TIMOFONICA.TXT.vbs y crea un archivo con el siguiente texto:

Comentarios
=======
....
Tarifa plana de 6000. pts/mes
Extorsión

A principios de 1998, tras un seguimiento, se descubrieron numerosas irregularidades en su gestión, amparadas hasta el momento en el desconocimiento que nosotros teníamos sobre Internet.
Compras de materiales que nunca apareció en ningún lado, pero si las factura del proveedor.
...
Yo pienso que si Timofonica (ke a fin de kuentas es la dueña de Terra) kiere soltar dinero para un ONFG, no le hace falta hacer este tipo de acto solidario, es mas, me parece misero y ridikula la kantidad de un millon de pesetas...
Son unos ridikulos de mierda, un millon de pesetas para ellos no es nada, pero un millon de hits en sus paginas mas a final de mes supone una pekeña subidita en las acciones de Terra en Bolsa. Total, ke Terra no son las Hermanitas de los Pobres (pobres monas, kompararlas kon los chupasangres de Timofinca ) NI NOSOTROS SEMOS GILIPOLLAS¿¿¿
Podrán decir ke estamos obsesionados, ke tamos en kontra de timofonika, ke protestamos por vicio, PERO ES KE EN 3 AÑOS KE LLEVE EN INSTE SOLO LA HAN KAGADO UNA VEZ TRAS OTRA¡¡¡ SI ES KE SE LO GANAN A PULSO ¡!
lo dicho, todo lo ke güele a Telefonica SUX, o en castellano tradicional APESTA¡

VBS_TUNE: Este gusano se distribuye a través de mensajes de correo electrónico, los cuales son enviados utilizando Microsoft Outlook y servidores IRC (mIRC, y PIRCH). Es un gusano destructivo y se distribuye de la misma manera que el virus Melissa, con la diferencia de que este gusano puede utilizar servidores IRC para su propagación.

VBS_VBSWG.Z: Este virus de Visual Basic Script (VBS) se copia a si mismo en el
archivo "Mawanella.vbs" en el directorio de system de Windows 9X/ME o
en el directorio system32 en WINNT/WINDOWS 2000. El mismo se propaga
enviando una copia de si mismo como un archivo adjunto a toda la
libreta de direcciones del equipo infectado. Despues de enviar los e-mails o si
el sistema no tiene Outlook instalado, el virus comienza a mostrar
mensajes. El siguiente es un ejemplo del mail que contiene el virus:

Asunto: Mawanella
Cuerpo del mensaje: Mawanella is one of the Sri Lanka's Muslim Village
Archivo adjunto: Mawanella.vbs

W  

 

W2KM_IRCJACK.A: es un virus macro que infecta los documentos de MS Word 97 y 2000. Este virus ya ha sido encontrado y distribuido a través del canal MIRC en un documento infectado llamado Story.doc.

W95/BABYLONIA: Alias: Babylonia.exe, W95.Babylonia, W95/Babylonia, W95/Babylonia, W95/Babylonia.hlp, W95/Babylonia.irc, W95/Babylonia.plugin
Variantes: W95/Babylonia.bat,W95/Babylonia.hlp, W95/Babylonia.irc, W95/Babylonia.plugin. Este virus se distribuyó por primera vez en el grupo de noticias “Alt.Crackers” en forma de un archivo de ayuda llamado SERIALZ.HLP el 3 de diciembre de 1999. El lugar de origen del virus está en Brasil
El archivo original tiene un tamaño de 40.637 bytes y si se ejecuta, infecta los archivos PE con extensiones EXE y HLP del sistema Windows 9x. A su vez, copia el archivo KERNEL32.EXE de 4096 bytes en el sistema local y modifica el registro del sistema para cargarlo cuando se reinicie la máquina.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KERNEL32.EXE=”KERNEL32.EXE”

El proceso KERNEL32.EXE utiliza determinadas librerías para monitorizar la conexión a Internet. En algunas ocasiones, puede deteriorar los archivos infectados debido a que sobrescribe los datos.

El virus monitorizará las conexiones a Internet y cuando éstas tienen lugar, intentará conectarse a una web de Japón mantenida por un grupo de desarrolladores de virus para descargar “componentes” del virus. Estos componentes se listan en un archivo llamado “virus.txt”, a su vez, estos nombres se utilizan para descargar otros nombres de archivos al sistema local. Cuando se han descargado todos los archivos, el virus los utilizará para extenderse más.

Si se instala mIRC, el virus modificará la configuración de script.ini para enviarse automáticamente como “2Kbug-MircFix.exe” cuando se conecte a los canales irc de Internet.

El virus utiliza Wsock32.dll para enviar una notificación mediante email a la dirección “babylonia_counter” en hotmail.com siendo su remitente “babylonia” en rasta.net.
Probablemente sirva para hacer un seguimiento estadístico de las infecciones.

Los síntomas de infección son:
- Cuando se envía un archivo automáticamente al conectarse a los canales irc; los archivos EXE y HLP aumentan mucho de tamaño
- Existencia de KERNEL32.EXE (¡ojo, la existencia de KERNEL32.DLL es correcta!)

W95/CIH: ¡26 DE ABRIL!: ACTIVACION DEL PELIGROSO VIRUS CIH EL VIRUS MÁS DESTRUCTIVO CONOCIDO HASTA EL MOMENTO. El virus CIH 1.2 es una cadena de la familia de virus CIH de Windows 95. También es conocido como CIH 1003 y como Chernobyl -su fecha de activación y esta denominación hacen referencia al accidente nuclear en esta central-.

El virus CIH sigue siendo el más destructivo conocido hasta el momento. Su activación supone la sobre-escritura de la mayoría de los datos del disco duro y el intento de sobre-escribir el chip de la flash BIOS del equipo. Si lo consigue, se pierden todos los datos y el PC no podrá volver a ser arrancado de nuevo.
Chernobyl se difunde rápidamente por Internet. Infecta los archivos .EXE de Windows 95/98 y, al ser ejecutados, el virus se queda en memoria infectando otros programas según se va accediendo a ellos. No afecta a los usuarios de DOS, Windows 3.x, Windows NT, Windows 2000 o Macintosh.
Cuando se activó por primera vez el 26 de Abril de 1.999, causó los más graves daños que se pueden atribuir a un virus hasta la actualidad.


W97M_60thSKEPTIC: es un virus macro de Word 97, posee los atributos de los virus W97M_MELISSA y W97M_CLASS. Como el W97M_MELISSA, el virus utiliza el correo para enviarse como documento adjunto a hasta 60 direcciones dentro de cada libreta de direcciones del Ms Outlook. El email tiene como asunto " Important Message From " y en el cuerpo del email se lee “Look what I found...". Infecta la NORMAL.DOT del Word 97 de Microsoft y el resto de los documentos abiertos o creados en el sistema infectado. El virus inserta una clave en el Registro llamada " Sixtieth Skeptic" en la entrada HKEY_CURRENT_USER\Software\Microsoft\Office\ con el valor " Where's Jamie?". Utiliza esta clave para controlar si los email han sido enviados o no. El virus W97M_60thSKEPTIC genera dos archivos " C:\SS.BAS " y " C:\SS.VBS ". El archivo SS.BAS contiene el código fuente macro cifrado. El SS.VBS es un archivo del programa de VBScript que se puede ejecutar en WSH (Windows Scripting Host ) de Windows. Por defecto, Windows 98 utiliza el sistema de WSH. El fichero SS.VBS de VBScript debe crear el objeto de la aplicación de Word y después utilizar SS.BAS para infectar NORMAL.DOT. El virus modifica el registro " HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\R un de los Windows fijando al " Sixtieth Skeptic" con un valor " C:\SS.VBS ". Éste debe permitir al sistema operativo ejecutar el programa de VBS automáticamente si se reanuda el sistema. Este virus es vigoroso. Utiliza todos los medios posibles de infectar y de replicar, por ejemplo enviarse como adjunto en los email, infectando la NORMAL.DOT y todos los documentos abiertos y creados, y modificando el registro para activarse automáticamente en cada reinicio del sistema. El modelo actual 579 detecta y limpia este virus.

W97M/ARMAGID: W97M/Armagid.A es un virus de macro de Word 97. El 8 de Mayo intentará cambiar el cursor de Windows por una cruz roja. Para hacerlo, Armagid lanza un archivo help.scr, utiliza el debugger y crea un archivo de cursor. El virus también utiliza un archivo temporal - armagidon.bas - donde guarda parte de su código viral.

W97M_AUTOEXEC: Es un nuevo virus macro que incluye una rutina de activación peligrosa que se ejecuta durante todo el mes de Julio. También conocido como "July Killer" este virus de origen asiático ha ganado bastante popularidad debido a los importantes comunicados realizados por destacados medios como por ejemplo CNN. Si bien se han recibido algunos reportes de infecciones, su velocidad y mecanismo de distribución no se compara con virus y troyanos como el Melissa, HAPPY99, PrettyPark, ExplorerZIP, etc. 

W97M/CHANTAL: W97M/Chantal es un virus de macro de Word 97 que carga un script de Visual Basic.
Variante: Chantal.A
Cuando se abre un documento infectado, W97M/Chantal.A, el virus inhabilita la protección contra virus de macro, inhabilita el menú Herramientas/Macro y reduce la seguridad en Word 2000.

Carga un batch del virus en C:\CB2.BAT. La ejecución de este archivo batch se añade al final de C:\AUTOEXEC.BAT. Este batch del virus es capaz de replicarse en otros batchs del directorio activo, por lo tanto, infecta solamente archivos en el directorio raíz C:.

El virus crea otros dos archivos c:\windows\cb4.vxd y c:\windows\system\cb1999.vbs. Modifica el registro de tal modo que este archivo se ejecuta cada vez que el sistema se reinicie si se tiene instalado Windows Script Host. El script infectará la plantilla global de Word y aún no está infectada.

El virus cambia el propietario registrado en Windows, siendo el nuevo: Chantal 4ever!
También cambia el comentario en el resumen del documento:
Chantal B. 4ever – Hennie & Mark
Los efectos de este virus se activan en el año 2000. En ese momento borra los archivos del directorio activo y del directorio raíz. Entonces, muestra una caja de mensaje con el siguiente texto: Chantal 4ever!
Además, el día 31 de cada mes, muestra al Asistente de Office con el mismo mensaje, pero no borra nada.

W97M/CLASS (WORD OFFICE 97): Se trata de un virus de macro de Word 97 que surgió en EE.UU. a principios de Septiembre y que se ha extendido rápidamente.
Es fácil que pase inadvertido, salvo por el mensaje que envia en fechas determinadas.
Su autor es un conocido escritor de virus: "Vicodin ES".
Este virus de macro tiene 2 alias: CLASS y W97M/CLASS y existen 3 variantes conocidas: CLASS.A, CLASS.B y CLASS.D. Utiliza una nueva forma de infección que ha obligado a modificar el procedimiento de detección.
El virus CLASS utiliza el método de infección anti-SERVICE RELEASE1 Office 97, exportando su código fuente en Visual Basic en un archivo "export/import" (el archivo puede tener nombres como C:\CLASS.SYS, CLINTON.SYS, ONE.SYS, TIE,SYS...). Este archivo no es un virus por sí mismo, sino sólo un área que contiene temporalmente el código del virus. El módulo en que viaja el virus se llama "ThisDocument" y no puede verse a través del menú Herramientas/Macro ni del editor de Visual Basic.

W97M_CLOSER: Este virus desactiva el chequeo de macros modificando una entrada en la tabla de registros de Windows o bien deshabilitando la protección antivirus que incluye el MS Office.

W97M/HEATHEN: Alias: W97M/Heathen. Tamaño: 12288 (parte binaria). 
Se han detectado en España algunos casos de este dañino virus.
El virus Heathen es uno de los primeros virus combinados que infectan tanto documentos de Word como archivos ejecutables de Windows. El virus se transmite de sistema a sistema mediante documentos infectados de Word. La parte binaria, que se activa cada vez que se arranca Windows, se utiliza para infectar otros documentos de Word en el primer disco lógico, incluso si Word no está abierto. Debido a esta particularidad, el virus sólo se replica bajo Windows 95.
Variante: Heathen.12288.A
El virus tiene tres diferencias: una macro AutoOpen y un código binario del tipo UUE dentro de documentos de Word, un ejecutable PE de Windows y una plantilla de Word que una parte del binario utiliza para replicar.Cuando un documento de Word infectado se abre, el virus extrae su parte binaria en la carpeta \Windows como HEATHEN.VDL y se ejecuta. Este archivo es un ejecutable PE de Windows que contiene el código puro del virus. Cuando se ejecuta, la parte binaria crea los archivos HEATHEN.VDO y HEATHEN.VEX. El primer archivo es una plantilla de Word que utiliza el virus para replicarse. El segundo archivo contiene una copia parcheada de EXPLORER.EXE que sustituirá al EXPLORER.EXE original la próxima vez que se arranque Windows. Para conseguir esto, el virus inserta en el archivo WININIT.INI comandos para renombrar.
Tal como se ha dicho anteriormente EXPLORER.EXE no está infectado sino que está parcheado por el virus. Este coloca 32 bytes de su código de inicio y datos (nombre del archivo) al principio de la última sección de EXPLORER.EXE y redirecciona Entry Point RVA a ese punto. Al ejecutarse EXPLORER.EXE, se lanzará el archivo HEATHEN.VDL utilizando la función LoadLibraryA. Desde ese momento, el virus ya está cargado en memoria. Cuando el virus está activo, busca archivos que tengan las extensiones .DOT o .DOC en el primer disco duro lógico (C).Si encuentra un archvio, el virus intenta infectarlo utilizando OLE API - la nueva técnica que permite a los virus no utilizar Word para infectar.
El virus tiene unos efectos muy dañinos. Seis meses después de la fecha de infección, el virus borra archivos de registro de Windows: SYSTEM.DAT, USER.DAT, SYSTEM.DA0 Y USER.DA0. Después de esto, Widnwos debe ser reinstalado.
El virus no puede parchear EXPLORER.EXE bajo Windows 98 y los códigos de macro no funcionan en Windows NT.

W97M/Marker: El virus W97M/Marker Alias Spooky y HSFX es un virus de macro de Word, creado hace algunos meses, que en los últimos días se está difundiendo ampliamente por los sistemas informáticos.
MARKER recoge información privada del usuario desde Word y la publica en un FTP para enviarla por Internet. Al igual que W97M/Calígula, envía los datos a codebreakers informáticos, y también tiene similitudes con el virus WM/Etham.

W97M/Marker contiene un marcador de infección al principio de su código ("this is a marker!"). Se trata de un virus polimórfico que añade un informe o log al final del virus para cada usuario infectado, con información de la hora del sistema, fecha, nombres de los usuarios y dirección, para transmitirla por Internet.

Existen diversas variantes conocidos del Marker: Marker.A, Marker.C y Marker.D

W97M/Marker.A: Se graba en un archivo llamado c:\netldv.vxd. Para infectar documentos, el virus exporta su código desde una plantilla global a este archivo y después de esto, borra el archivo de modo que el usuario nunca puede encontrarlo.

W97M/Marker.C: Esta versión crea dos archivos:

C:\NETLDX.VXD

El primer archivo se utiliza para almacenar el código del virus y para añadir información al log. En esta variante, el log comienza con:

Logfile -->

El segundo archivo contiene el código actual de virus.

El virus intenta cargar el archivo de información en un FTP de intercambio de virus. Esto tiene lugar todos los días 1 del mes.

W97M/Marker.D: Esta variante también se conoce como HSFX debido a que el archivo temporal que crea se llama C:\HSFX****.SYS. En el resto, es similar a Marker.C. Esta variante contiene el texto: 
<- this is another marker!

W97M/MELISSA (WORD OFFICE 97): El virus Melissa infecta documentos de Word y se autoenvia mediante correo electrónico a otros usuarios. Se ha propagado globalmente horas después de ser descubierto y más rápidamente que cualquier virus anterior.
Bautizado con el nombre de W97M/Melissa, el virus se autopropaga por correo electrónico automáticamente de un usuario a otro. Al activarse el virus modifica los documentos del usuario e inserta comentarios de la serie de TV "Los Simpsons". Y lo que es peor, puede enviar información confidencial desde el ordenador sin que lo advierta el usuario.

El virus fue descubierto el viernes 26 por la tarde en Europa (mañana en USA). Por esta razón el virus se propagó por USA durante el viernes. Muchas compañías multinacionales han informado la amplitud de la infección, incluyendo Microsoft e Intel. Microsoft cerró todo el sistema de correo electrónico para evitar propagarlo. El número de ordenadores infectados se estima en decenas de miles y se incrementa rápidamente.

W97M/Melissa se distribuyo inicialmente en un grupo de discusión de Internet llamado alt.sex. El virus se envió en un archivo llamado LIST.DOC, que contenía claves de acceso para websites clasificadas X. Cuando el usuario bajaba el archivo y lo abría con Microsoft Word, se ejecutaba una macro en el documento que enviaba el archivo LIST.DOC a 50 personas relacionadas en la agenda del correo electrónico del usuario. El mensaje era:

From: (nombre del usuario infectado)
Subject: Important Message From (nombre del usuario infectado)
To: (50 nombres de la agenda)
Here is that document you asked for ... don´t show anyone else;.)
Attachement: LIST.DOC

La mayoría de los receptores aceptan abrir el archivo puesto que les llega de alguien conocido.

Después de enviar el documento, el virus continua infectando otros documentos Word a los que accede el usuario. Fortuitamente, estos documentos pueden acabar siendo enviados a otros usuarios, siendo potencialmente desastroso puesto que el usuario puede enviar inadvertidamente información confidencial a
externos.

El virus se activa cuando el minuto de las horas coincide con el día del mes - por ejemplo a las 16:27 del día 27. Entonces, el virus insertará en el documento abierto, la siguiente frase: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here".

Este texto y el alias del autor del virus ("Kwyjibo") hacen referencia a la serie de dibujos animados "Los Simpsons".

W97M/Melissa trabaja con Microsoft Word 97, Microsoft Word 2000 y Microsoft Outlook. Puede infectar tanto usuarios Windows como Macintosh. Si el equipo infectado no tiene Outlook o acceso a Internet, el virus continuará propagándose localmente a los documentos que el usuario acceda.

W97M/MELISSA(nueva versión): Alias: w97M/Melissa.w, Melissa.w, W97M/Priscilla, W97M/Pri.q, WM97/Melissa-ag, Melissa.

W97M/Priscilla es un virus de Word97. Se replica bajo la versión SR-1 de Word97, desactivando el aviso de macro de Word. Priscilla es una réplica del virus W97M/Melissa.a que envía un archivo infectado a través de Outlook. Se activa el 25 de Diciembre (de cualquier año) y formatea el disco duro (en sistemas Windows 9x).

El código del virus utiliza instrucciones VBA para crear un mensaje de Outlook con el Subject: "Message From" (Nombre de Usuario de Office97) y el cuerpo "This document is very important and you've GOT to read this!!!". Las primeras 50 direcciones de correo se seleccionan como receptores - el mensaje se envía luego con un documento infectado adjunto. Después, el código del virus crea el código de registro. Si este código no existe, la propagación del e-mail no se repetirá.

El 25 de Diciembre, el virus libera su carga destructiva sobrescribiendo el AUTOEXEC.BAT. En el siguiente arranque del PC se ejecutará el AUTOEXEC causando un formateo automático e incondicional del disco duro. También aparecerá un mensaje en pantalla dentro de Word97 con el siguiente texto:

© 1999 - CyberNET
Vine...Vide...Vice...Moslem Power Never End...
You Dare Rise Against Me... The Human Era is
Over, The CyberNET Era Has Come!!!
 [OK]

Después de hacer click sobre OK, un número aleatorio de objetos de distintos tipos, colores y tamaños llenará el documento ocultándolo.

Indicaciones de existencia de infección: Aviso de Macro si se abre el documento infectado; Aumenta la longitud de la plantilla global; Aparecen mensajes en pantalla y se envían e-mails como ya se ha indicado.
Método de Infección: La apertura de documentos infectados infectará la plantilla global normal.dot.

 

W97M_MELISSA_O: Este virus macro utiliza una rutina para desactivar la protección contra macros en MS Word 97. Una vez que infecta la plantilla global (Normal.dot), todos los documentos que sean abiertos serán infectados por el virus.
El mensaje de correo que el virus envía automáticamente incluye el siguiente texto en el asunto: "Duhalde Presidente" (Nombre del Usuario Office97) y en el cuerpo dirá "Programa de gobierno 1999-2004."

 

W97M_MICHAEL.KBD: es un virus macro recientemente descubierto en Asia. Este virus destructivo interfiere con la entrada de datos por teclado y borra todas las macros de usuario antes de infectar archivos de MS Word 97.

W97M/MMKV: W97M/Mmkv es un virus de macro de Word 97 con unos efectos destructivos.
El virus toma el control cuando se abre un documento infectado y contamina la plantilla global. Después de esto, infecta todos los documentos que se abran o se graben. El virus ataca al diálogo de Herramientas/Macros/Macro y Herramientas/Macros/Visual Basic, dejándolo inservible.

W97M/Mmkv.A: Los efectos de esta variante se activan cualquier día del año 2000. En ese momento, borra todos los archivos tanto del directorio activo como del directorio raíz C:. Al final, muestra una ventana titulada 'mk-Words by MMk 1999' con el mensaje:

'Welcome to Y2K'

W97M/Mmkv.B: W97M/Mmkv.B tiene dos efectos. El primero se activa el día 3 de cada mes y en esa ocasión, muestra una ventana titulada 'MK-Words By MMk 1999' y con el texto

'Y2K is coming soon.....'

El segundo efecto se activa cualquier día del año 2000 y en esta ocasión carga el archivo binario ejecutable C:\END.COM y lo ejecuta. Este archivo intenta formatear la novena pista del primer disco duro, así destruye el directorio raíz y la FAT de la primera partición.

Entonces mostrará el mensaje: 'Welcome To Y2K'

W97M/Mmkv.C: Es una ligera variación de la variante B. Sí crea el archivo c:\end.com pero nunca se ejecuta.

W97M/PAPA (EXCEL): Alias: Poppa, Pappa, Bubba.

W97M/Papa es un virus de macro de Excel. Es muy similar al famoso virus W97M/Melissa, pero no parece que haya sido escrito por la misma persona.

Cuando se abre un archivo .XLS infectado por el virus Papa, envía una copia por email de sí mismo a 60 personas. Papa puede usar cualquier programa de correo compatible con MAPI (incluyendo Eudora, MS Mail, Outlook y Ntescape) para autoenviarse.

El email que envía tiene este formato:

From: (nombre del usuario infectado)
To: (60 nombres de la agenda del usuario infectado)
Subject: Fwd: Wrokbook from all.net and Fred Cohen


Urgent info inside. Desregard macro warning.

 Attachment: PASS.XLS

Hay que destacar que el Dr. Fred Cohen y la web all.net no tienen nada que ver con el virus. Los autores del virus quieren perjudicarles. El virus no se expande por otros archivos .XLS, simplemente envía el archivo PASS.XLS a todo el mundo.

W97M_PRILISSA: es una variante de dos virus macro: W97M_Pri y W97M_Melissa. Realiza varias acciones que se activan cuando un documento infectado es abierto por primera vez o la fecha del sistema sea 25 de Diciembre. Este virus solo infecta documentos de Word 97 y Word 2000.

 

W97M_RESUME.A: virus macro destructivo está siendo reportado por usuarios de Internet. Este nuevo virus W97M_RESUME.A se distribuye por e-mail utilizando el cliente de correo MS Outlook. Su técnica de distribución es muy similar a la empleada por el conocido virus Melissa. Una vez ejecutado, el virus intentará eliminar todos los archivos del directorio raiz y luego se enviará automáticamente a todas las direcciones de correo que existan en la libreta de direcciones del usuario afectado.

Nombre del virus: W97M_RESUME.A
Nivel de riesgo: Alto
Tipo de virus: Macro (MS Word)
Destructivo: Si
Alias: RESUME.A, RESUME, RESUME.WORM, W97M_MELISSA.BG y MELISSA.BG
Incidentes reportados: Si
Fecha de activación: Cualquier dia.
Activación: Elimina todos los archivos de las unidades existentes.
Lenguaje: Inglés
Plataforma: Windows
Tamaño del virus: 41,472 Bytes

Descripción: W97M_RESUME es un gusano que se distribuye por correo electrónico a través de un documento de MS Word. Una vez activado el virus ejecuta su rutina de envío automático por e-mail a todas los destinatarios existentes en la libreta de direcciones de MS Outlook. Luego su rutina de destrucción de información intenta eliminar todos los archivos de las siguientes carpetas:

\*.*
\My Documents\*.*
\WINDOWS\*.*
\WINDOWS\SYSTEM\*.*
\WINNT\*.*
\WINNT\SYSTEM32\*.*

Este proceso se repite con todas las unidades disponibles desde la letra "A" a la "Z". Por supuesto que luego de su ejecución, el sistema afectado queda no operativo ya que se eliminaron archivos importantes de Windows.

Características del mensaje del virus:

Asunto: RESUME - JANET SIMONS

Contenido: ATTACHED IS MY RESUME WITH A LIST OF REFERENCES CONTAINED WITHIN. PLEASE FEEL FREE TO CALL OR E-MAIL ME IF YOU HAVE ANY FURTHER QUESTIONS REGARDING MY EXPERIENCE.

I AM LOOKING FORWARD TO HEARING FROM YOU.

SINCERELY,
JANET SIMONS

Archivo adjunto: Explorer.doc

W97M/SURROUND: Se trata de un simple virus de macro de Word 97

 

W97M/Surround.A: Esta variante contiene un efecto muy destructivo.

Primero inhabilita la protección contra macros e introduce su código en un archivo llamado C:\Surround.key. El virus utiliza este archivo para replicarse.

Si se trata del día 21 del mes y Surround.A infecta Word por primera vez, el virus producirá un sonido agudo.

Si se trata del día 29 de diciembre, el virus intentará borrar el archivo Win.com en el directorio Windows. No se ejecutará correctamente si el path del directorio Windows es C:\Win*. Esto provocará un error en Visual Basic que delatará la presencia del virus.

Si el virus sí puede ejecutarse correctamente, entonces mostrará una ventana titulada "Virus information" y con el mensaje: You are now Surrounded!!

 

W97M/SYNDICATE.A: Es un virus de macro relacionado con el famoso virus Melissa.

Syndicate se expande en documentos de Word y se envía a sí mismo por e-mail utilizando Outlook de Microsoft. Envía un e-mail a las 69 primeras direcciones de la agenda. Sólo lo hace una vez por PC, durante la infección inicial.

El mensaje tiene el siguiente aspecto:

From: (nombre de un usuario infectado)
Subject: Fun and games from (nombre del usuario infectado)
To: (69 nombres de la agenda de OutLook)

Hi! Check out this neat doc I found on the Internet!

Attachment: (un documento aleatorio infectado con Syndicate)

Syndicate también envía un e-mail adicional:

To: Project1@nym.alias.net
Subject: “Guess whos infected: (nombre de un usuario infectado)

Infected!

Attachment: (el mismo documento que anteriormente)

Project1@nym.alias.net es una dirección de correo electrónica anónima y a la que no se puede hacer un seguimiento para averiguar quién es el propietario.

El virus contiene estos comentarios que el usuario no puede ver:

‘W97M/Project by Patient Zero –(The Syndicate)- circa 1999

‘The Synidicate: underground to the underground.
‘Greets to Kwyjibo and the CodeBreakers: hey, dont we know each other? ;-)

Este virus ha sido enviado a muchos grupos de noticias, incluyendo alt.sex,
alt.sex.animals y alt.binaries.warez, los días 30 y 31 de marzo de 1999. Los archivos
enviados se llamaban DADDYS~1.DOC, XXXPASS.DOC y SERIALZ.DOC, y se
enviaron desde la cuenta Secret Squirrel <squirrel@echelon.alias.net>

W97M/THUS (THURSDAY): Alias: Thursday.

THUS es un virus muy destructivo y ampliamente difundido que puede destruir la información del PC de un usuario. Se activa el 13 de diciembre.

THUS es un virus de macro que se extiende mediante archivos de Word 97 y Word 2000. El usuario ha podido recibir estos archivos mediante un CD o disquete infectado o vía correo electrónico como archivos adjuntos. F-Secure anti-virus limpia este virus desde septiembre, siempre y cuando se actualice el anti-virus.

W97M/Thus.A: Cuando un usuario abre un documento infectado, el virus infecta el sistema, incluyendo la plantilla global, así como todos los documentos de Word que se tengan abiertos en ese momento. Después de esto, cada documento que se crea, abre o cierra se infectará.

El virus detecta si un documento ya está infectado buscando esta marca: Thus_001. Por eso, el virus se llama THUS.

El 13 de diciembre, borra todos los archivos de todos los directorios de la unidad C: y de todos los subdirectorios. Solamente los archivos con atributo SISTEMA, SOLO LECTURA U OCULTO permanecerán a salvo. Después de que se borran todos los archivos, el PC no se podrá arrancar de nuevo.

Antes de esta fecha, el virus no se manifiesta de ningún modo: no muestra ningún mensaje y el usuario no se dará cuenta de que está infectado hasta que sea demasiado tarde.

W97M/Thus.B: Esta variante funciona igual que la anterior. La única diferencia entre ambas es que esta variante tiene unas líneas vacías con apóstrofes al final de su código.

Se recomienda revisar si se tiene el anti-virus actualizado y hacer backup de todos los datos más importantes.

W97M/VALE: Variante: Vale.A. es un virus de macro de Word 97 que contiene una copia del efecto del virus Melissa de mailing masivo para difundirse vía e-mail utilizando Outlook. Debido a un error en su código esta parte no es operativa.
El virus reduce los parámetros de seguridad de Office 2000 y desactiva la protección de virus de macro.

Algunos de los efectos dañinos del virus se activan el 1 de Enero, 10 de mayo, 20 de septiembre y 25 de diciembre. Luego el virus muestra diferentes mensajes en portugués.

El virus guarda el documento activo infectado como Money.doc y Dinheiro.doc en el directorio \WINDOWS y utiliza estos documentos para enviarlos cuando se efectúa una conexión utilizando el cliente chat IRC.

W97M/VENENO: VARIANTE: Veneno.A. Es un virus de macro de Word que se replica solamente con la versión en castellano de Word. Sus mecanismos de activación son muy variados, al igual que sus efectos destructivos.

Al abrir un documento infectado el virus extiende la infección a la plantilla global, buscando varios nombres de macros para intentar borrarlos. A continuación, el virus infecta todos y cada uno de los documentos que se abran o graben.

Sus mecanismos de activación, con sus efectos correspondientes son los siguientes:

  • Cuando el número de minutos es exactamente 30, el virus crea dos archivos temporales en el directorio C:\DOS y los utiliza para cargar el virus binario Glupak.847.D en el archivo C:\DOS\ATTRIB.COM.
  • Cuando el número de minutos es menor de 5 y es sábado o domingo, Veneno se activa insertando en el documento activo el texto: "** V>N>NO **.

Además, el virus cambia siempre que aparece "ste" con "stes", graba el documento con el password "Veneno" y lo cierra.

  • Al reiniciar Word o cuando se abre un documento, el virus remplaza tanto C:\CONFIG.SYS como C:\AUTOEXEC.BAT. De este modo, al reiniciar el sistema, aparecerá el mensaje:

Inserte un disco en la unidad A:
Presione cualquier tecla para continuar...

El virus intentará formatear el disco de la unidad A:. Si no puede, entonces intentará formatear las unidades C: y D:

  • Cuando se selecciona en el menú Archivo/Imprimir o Archivo/Vista preliminar y el número de segundos es superior a 57, el virus inserta las siguientes líneas al final del documento:

Finalmente me gustaría agregar que ...
El Centro de computo de esta Universidad es una verdadera verguenza, >>> Shame on you!!! <<<
<eof>

Por último, cuando se selecciona en el menú Archivo/Guardar como y el número de segundos es exactamente 36, el virus muestra el mensaje:

Khelia Monica Salda~a D´iaz, me encantas y te sigo buscando... ¿Donde te has escondido? Atte. Tu enamorado. (LoVe90/91)

W97M/Veneno.B: WM/Veneno.B funciona igual que VM/Veneno.A

W97M/Veneno.C: WM/Veneno.C es una variante corrupta con ningún efecto salvo el mensaje cuando se selecciona Archivo/Guardar Como

W97M/VENUS: Se trata de un virus de macro de Word 97 con una habilidad para enviarse masivamente por correo electrónico.

W97M/Venus.A@mm: El virus envía el documento activo a las primeras 30 direcciones de la agenda. El mensaje es el siguiente:

Asunto: VIRUS WARNING!!! From (nombre del usuario infectado)
Texto: Somebody by the nickname of Lucky Warrior, is sending out a virus that could shut down your computer. DON NOT OPEN ANYTHING FROM HIM. I attached here the document that contains info & removing instruction about this very dangerous virus, just in case you encountered this. Please practice cautionary measures & forward this to all your on-line friends ASAP.

A continuación, el virus añade una marca en el registro:

Key: HKEY_CURRENT_USER\Software\Micrososft\Office\Lucky Warrior
Value: Do you know where Venus is?

Cuando el virus ve esta marca, ya no se envía masivamente.
El siguiente paso que sigue el virus es infectar "normal.dot". Durante la infección crea un archivo temporal, c:\Venus.sys. También cambia el nombre de la unidad C: por el nombre "Venus".

Si "normal.dot" es un archivo de solo lectura o un archivo de sistema, el virus crea un archivo batch, "msfile.bat" en el directorio de arranque de Windows para intentar borrar "normal.dot" cuando se reinicie el sistema.

Por último, W97M/Venus.A borra los menús de "Herramientas/Macros" y "Herramientas/Plantillas" y sustituye "Ayuda/Acerca" con el siguiente texto:

Venus by Lucky Warrior

El virus se activa cada vez que se abre un archivo infectado, se cierra, se graba o se imprime y sustituye todas las veces que aparece la palabra "of" con la palabra "Venus". También cambia el resumen del documento:

Author: Lucky Warrior
Comment: Where is Venus?

W97M/Venus.B@mm: La única diferencia de esta variante con respecto a la anterior es que cuando el virus infecta "normal.dot" o un documento activo, cambia la el título de la barra de Word por la palabra "Venus" y el nombre del usuario por "Lucky Warrior"

W97M_Verlor: es un virus macro que se propaga infectando documentos de Microsoft Word 97 y 2000. El mismo, contiene un módulo que apaga el alerta de macros de Word 97. Este virus infecta la plantilla global NORMAL.DOT y si un documento es abierto después de la infección, su nombre es agregado al archivo C:\HIMEM.SYS. El virus infectará el documento una vez que este se halla cerrado y su nombre halla sido borrado del archivo C:\HIMEM.SYS.

W32/NEWAPT.WORM: Alias: I-Worm.NewApt, W32.NewApt.Worm, Worm.NewApt

Este virus apareció por primera vez a mediados de diciembre de 1999. El virus es en sí mismo un archivo ejecutable PE de Windows de 70Kb de longitud. Se transmite vía Internet como archivo adjunto a un email. El nombre del archivo adjunto se selecciona aleatoriamente entre los siguientes:

panther.exe gadget.exe irngiant.exe casper.exe fborfw.exe cupid2.exe party.exe bboy.exe baby.exe
goal.exe
theobbq.exe
panthr.exe
chastburst.exe		 farter.exe boss.exe monica.exe saddam.exe party.exe hog.exe gial1.exe pirate.exe video.exe copier.exe cooler1.exe cooler3.exe          g-zilla.exe  

La referencia del mensaje es "Just for your eyes", aunque también hay varias variantes. En algunas ocasiones, simplemente aparece "Re:".

El texto del mensaje en formato texto simple es:

"he, your lame client cant read HTML, haha. Click attachment to see some stunningly HOT stuff".

El texto del mensaje en formato HTML es:

"Hypercool Happy New Year 2000 funny programs and animations...We attached our recent animation from this site in our mail! Check it out!"

Cuando se recibe un mensaje infectado, aparece uno de los dos textos anteriores, dependiendo de si el navegador del receptor soporta el formato HTML o no. Cuando se ejecuta el archivo adjunto, el virus toma el control y se instala a sí mismo en le sistema, copiándose en el directorio de Windows y modificando el registro de sistema en al sección "Run=":

SOFTWARE\Microsoft\Windows\CurrentVErsion\Run
'tpawen'='C:\WINDOWS\PANTHER.EXE /x'

El nombre Panther es elegido al azar entre los señalados anteriormente.

Para ocultar su actividad, el virus muestra un mensaje de error:

"The dinamic link library giface.dll could not be found in specified path
C:\; C:\WINDOWS; C.\WINDOWS\COMMAND; C:\FAR; C:\AVP"

La segunda línea del mensaje anterior se compone del nombre del directorio Windows infectado, variables 'Path' y 'SystemRoot'.

A partir de entonces, el virus se registra como un proceso de servicio y permanece residente en memoria como una aplicación oculta. Las principales actividades del virus son escanear periódicamente los discos duros para localizar archivos relacionados con Internet (MS Mail, Outlook Express, Netscape Navigator y otros), abrirlos, tomar las direcciones de Internet y enviar copias infectadas a dichas direcciones.

El 21 de junio de 2000 el virus borrará la cadena "Run=" del registro del sistema y ya no se instalará de nuevo.

Desde las 00:00 horas del 26 de diciembre, el virus trata de conectarse cada tres segundos a Microsoft. Dependiendo de distintos parámetros, el virus trata de llamar a números de teléfono aleatorios seleccionados en una lista interna. Parece que estos números pertenecen a algunas empresas.

W32/ PRETTY: W32/Pretty.worm.unp. Tipo: Troyano.
Se trata de una edición no empaquetada del virus "W32/Pretty.worm".

Es un virus de Internet que se instala a sí mismo en los sistemas Windows 9x/NT. Los usuarios se infectan al recibir un email infectado procedente de otro usuario a su vez infectado. Muestra un icono de un personaje de la serie animada "Southpark".

Método de infección: Cuando se ejecuta este virus, se copia a sí mismo en FILES32.VXD en WINDOWS\SYSTEM. A continuación, modifica el valor del registro siguiente:

KHEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open

Cambia el valor "%1" %* por FILES32.VXD "%1" %*. De este modo, el archivo FILES32.VXD se ejecutará cada vez que se ejecute cualquier archivo .exe.

El virus tratará de enviarse a sí mismo por correo electrónico cada 30 minutos a todas las direcciones de la agenda del programa de correo electrónico.

Por otro lado, el virus tratará de entrar en un canal IRC específico. Mientras esté conectado, enviará información al servidor IRC y tratará de recuperar órdenes del canal IRC. Mientras, el autor de este virus conseguirá conectarse como un troyano de acceso remoto para obtener información sobre el PC: nombre del ordenador, propietario registrado, compañía registrada, información del sistema, ....

Instrucciones de limpieza: El proceso de limpieza es un poco complicado, por lo que en caso de infección, es conveniente ponerse en contacto con nuestro departamento técnico.

WIN2K.INTA/WIN2000.INSTALL: Opera bajo Windows 2000 y no está diseñado para operar bajo las versiones anteriores de Windows.

De momento no se ha recibido ninguna noticia de una infección y no se puede considerar una gran amenaza. La característica más importante del virus es su distribución bajo el nuevo sistema operativo. Ahora se puede esperar que los desarrolladores de virus incluyan la compatibilidad con Windows 2000 como un estándar en sus nuevos virus.

Win2K.Inta infecta los archivos de programas y se extiende de un PC a otro cuando se intercambian los archivos. Los archivos infectados no crecen en tamaño. Infecta los archivos: EXE, COM, DLL, ACM, AX, CNV, CPL, DRV, MPD, OCX, PCI, SCR, SYS, TSP, TLB, VWP, WPC y MSI. Esta lista incluye varias clases de programas que antes no eran susceptibles de ser infectados. Por ejemplo, el virus analizará los archivos del Instalador de Windows (archivos MSI), escaneará los archivos buscanco programas incrustados y los infectará.

El virus contiene la siguiente cadena de texto:

[Win2000.Installer] by Benny/29ª & Darkman/29A

 

X

 

Y

 

Y2KCOUNT: Alias: Polyglot, Count2k, Y2KCount Update from Microsoft.

El troyano Y2KCount apareció por primera vez el 15 de Septiembre de 1999, como el archivo Y2KCount.EXE adjunto a un mensaje de correo supuestamente enviado por Microsoft. El mensaje era:

De: support@microsoft.com
Emisor: support@microsoft.com
Asunto: Microsoft Announcement
Fecha: Miércoles, 15 de septiembre de 1999, 00:49:57 +0200

To all Microsoft Users,

We are excited to announce Microsoft Year 2000 Counter.

Start the countdown NOW.
Lets us all get in the 21 Century.
Let us lead the way to the future and we will get YOU there FASTER and SAFER.

Thank you,

Microsoft corporation

El archivo Y2KCount.EXE es un archivo ZIP autoextraible que contiene un paquete de instalación para el nuevo troyano de Internet. El archivo ZIP incluye a su vez otros cinco archivos (PROJECT1.EXE y 4 archivos .DAT, el primero funciona como un instalador). Cuando se ejecuta Y2KCount.EXE aparece una ventana con el mensaje:

"Password protection error or invalid CRC32!"

Al mismo tiempo, el troyano se instala a sí mismo en el sistema, copia los cuatro archivos en \Windows\System\directory: PROCLIB.EXE, PROCLIB.DLL, PROCLIB16.DLL y NTSVSRV.DLL. Entonces modifica el archivo SYSTEM.INI de modo que el troyano pueda ser ejecutado automáticamente mientras se arranca Windows. El troyano añade 'ntsvsrv.dll' después de la lista de drivers ('drivers='tag). Durante el inicio de la siguiente sesión de Windows, copia PROCLIB16.DLL COMO WSOCK32.DLL. Esto permitirá al troyano monitorizar las actividades de Internet en el sistema infectado.
Al estar activo, el troyano chequea todo el tráfico buscando palabras como 'login', 'password', 'username' con el objetivo de conseguir los datos del usuario para entrar en red e Internet.

 

Z

ZELU: Alias: Trojan_Zelu, ChipTec Y2K, Y2K.EXE. Longitud: 24944 bytes


Zelu es un troyano que aparenta ser una utilidad para Analizar la Compatibilidad con el 2.000 (ChipTec Y2K - Freeware version). Cuando se ejecuta escanea todos los directorios y corrompe todos los archivos que pueda abrir. Zelu inserta el siguiente mensaje al comienzo de los archivos corruptos:

 

@ This file is sick !

@ It was contaminated by the radiation liberated

@ by the explosion of the atomic bomb.  

 

Después finaliza el "escaneo" de los archivos con el siguiente mensaje:

Después de pulsar ENTER el troyano pasa el control al sistema operativo. En algunos casos el PC infectado vuelve a arrancar. En este punto el sistema operativo está destruido y tiene que ser totalmente reinstalado. Todos los datos del sistema atacado se pierden.

Si el troyano ya se ha ejecutado, su tarea puede ser "aniquilada" desde el Administrador de Tareas de Windows. Esta operación salvará la mayoría de los datos del disco duro.

Volver
 

Copyright © 2000 MacCare Reservados todos los derechos.