Volver al PORTAL

HOME
PORTAL
VIRUS MAP
HOAX VIRUS
(falsos virus)
RED.ES
KRIPTOPOLIS





Información General de Virus
Hoax Virus
Seguridad.
Mapa de Distribución Actual de los distintos virus.

Virus informático W32/Badtrans.B@mm

Las empresas antivirus advierten contra un nuevo gusano informático que se distribuye con gran rapidez en el ciberespacio. El gusano, denominado W32/Badtrans.B@mm, recuerda al gusano Nimda, ya que se vale de un truco especial para ejecutar el maligno archivo anexo e iniciar así la contaminación que finalmente ha de afectar a muchos usuarios de la red.

Todo cuanto se requiere es que la víctima abra el mensaje de correo electrónico infectado o lo pre-visualice en Outlook o Outlook Express.

Se trata de una variante del conocido gusano Badtrans, aunque en esta oportunidad está actualizado con nuevos “trucos”. Cuando el gusano es ejecutado se copia a sí mismo en el catálogo del sistema Windows bajo el nombre Kernel32.exe, que no debe ser confundido con el archivo legítimo Kernel32.dll de Windows.

El gusano se vale del conocido agujero de seguridad definido como “el encabezamiento equivocado de MIME podría hacer que IE ejecute un archivo anexo de correo electrónico”, que implica que el anexo es ejecutado y que el contagio se produce cuando el usuario abre el correo electrónico o lo previsualiza en Outlook/Outlook Express.

Los nombres del archivo infectado pueden ser , Fun, Humor , docs , info , sorry_about_yesterday, Me_nude, Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, pics S3MSONG, y SEARCHURL.

En todos los casos aparecen otras extensiones combinadas como:

.doc
.mp3
.zip
.pif
.scr

EJEMPLOS:

CARD.Doc.pif

NEWS_DOC.mp3.scr.

El citado agujero de seguridad es un tema conocido con las versiones 5.01 y 5.5 de Internet Explorer sin el Service Pack 2. Los usuarios que tengan tal configuración deberían descargar el parche ofrecido en el sitio de Microsoft o desconectar la función de Active Scripting

Virus informático Antrax

Funciona de manera similar a los VBS conocidos. Los antivirus de primera línea lo detectan (no lo identifican) como virus genérico de VBS. A pesar de que no ha alcanzado gran dispersión y que se lo considera de riesgo bajo, las personas pueden sentirse atraídas a ejecutar el archivo adosado que lo contiene debido al tema que dice clarificar. Puede generar mayores problemas en América Latina y España, debido a que su texto se encuentra en castellano.
El mensaje está escrito en castellano, tiene como asunto "Antrax Info" y el cuerpo del mensaje dice que el archivo adjunto es una fotografía que muestra los efectos colaterales del Antrax.
Si usando el Outlook como cliente de e-mail se abre el archivo adosado al mensaje, el virus se envía a todos los usuarios de la lista de correo y puede sobre-escribir algunos archivos en carpetas remotas.
Recomendaciones: tener el antivirus actualizado y no abrir o ejecutar archivos adosados a mensajes de correo electrónico que no se hayan solicitado expresamente aunque provengan de una fuente conocida.


ALERTA Y SEGURIDAD.

NETBUS. (Información extractada de diversos link de Internet)

Ya esta muy divulgado este programa, incluso salió en los diarios,
y es de conocimiento de muchos, por lo tanto VALE estar prevenido.

NetBus (NB) es otra "supuesta herramienta" (lo sería si no
fuera porque puede operar en nuestras máquinas sin
nuestro consentimiento, por lo tanto DEBE considerarse
como un trojan).

Generalmente la forma de introducirlo es con el CHAT, e-mail, y
cualquier otra forma que permita transferir archivos en forma local
o remota.
Como PREVENCION GENERAL, evite abrir archivos de procedencia
desconocida. (tanto de diskettes como desde una red local o remota).

No se trata de un Hoax Virus o falsa alarma.

SUS EFECTOS.
NB, permite a un usuario remoto realizar varias funciones:
pero además puede abrir y cerrar las unidades de CD-ROM,
mostrar imágenes BMP/JPG, intercambiar los botones del
mouse, ejecutar aplicaciones, generar sonidos cuando se
pulsan las teclas, controlar el cursor del mouse remotamente,
mostrar diferentes mensajes, bajar (o subir) determinados
archivos, ir a una URL (dirección de Internet) determinada,
"escuchar" y registrar todas las teclas pulsadas, hacer un
volcado completo de la pantalla del usuario, grabar sonido
desde el micrófono de la tarjeta, ejecutar archivos WAV,
bloquear algunas teclas, remover archivos y mucho más.

CONTROL PREVENTIVO:
Verifique si su disco rígido contiene alguno de los siguientes
archivos:

Los archivos incluidos con la versión 1.60 del NB son:
NetBus.exe (567,296), NetBus.rtf (24,113) y
Patch.exe (472,576), con fecha 23/08/98.

En la versión anterior (1.53) los archivos son:
KeyHook.dll (54,272), NetBus.exe (494,592),
NetBus.rtf (16,220) y SysEdit.exe (473,088),
con fecha de abril del 98, siendo el servidor el
SysEdit.exe y el KeyHook.dll (el .exe puede
tener otro nombre).

SI los llega a tener, aquí van algunas explicaciones para
quitarlos, para lo cual es RECOMENDABLE que lo haga
un especialista avanzado en computación.

ANTECEDENTES E INFORMACION ADICIONAL:

El Back Orifice (BO) no es la única "herramienta" para que
alguien puede controlar nuestra computadora en forma
remota desde Internet (o cualquier red), sin nuestro
conocimiento.

El BO fue una creación de un grupo de hackers que una vez
instalado este "backdoor" (algo así como un acceso por la
puerta trasera de nuestro PC) le permite a cualquier usuario
sin nuestra autorización, controlar varios aspectos de nuestra
computadora.

Pero el BO deja evidencia de su existencia y puede ser
descubierto y quitado.
Sin embargo el BO no está solo. Existe un programa, también
disponible en Internet, conocido como NetBus, muy similar
al BO, y de algunas maneras bastante más adelantado.

NetBus (NB) es otra "supuesta herramienta" (lo sería si no
fuera porque puede operar en nuestras máquinas sin
nuestro consentimiento, por lo tanto lo consideramos
también un trojan), que puede realizar cosas bastante
parecidas al BO.

NB ha estado disponible desde hace mucho más tiempo que
el BO, pero su uso extendido como un trojan no había sido
considerado una amenaza hasta ahora. Al contrario que el
BO (requiere una versión especial para NT), el NetBus corre
en Windows 95/98 y NT.

NB, permite a un usuario
remoto realizar la mayoría de las funciones que hace el BO,
pero además puede abrir y cerrar las unidades de CD-ROM,
mostrar imágenes BMP/JPG, intercambiar los botones del
mouse, ejecutar aplicaciones, generar sonidos cuando se
pulsan las teclas, controlar el cursor del mouse remotamente,
mostrar diferentes mensajes, bajar (o subir) determinados
archivos, ir a una URL (dirección de Internet) determinada,
"escuchar" y registrar todas las teclas pulsadas, hacer un
volcado completo de la pantalla del usuario, grabar sonido
desde el micrófono de la tarjeta, ejecutar archivos WAV,
bloquear algunas teclas, remover y/o cerrar el servidor y
mucho más.

NetBus utiliza TCP para comunicarse, y siempre usa los
puertos 12345 y 12346 para conectarse. Como con el BO,
usted puede usar el comando "netstat" desde una ventana
DOS de Windows, con el parámetro "-n" (netstat -n) para
detectar esto. También puede utilizar la siguiente sintaxis:
netstat -an | find "12345". Esto puede detectar si el puerto
12345 está en uso (no olvide las comillas en "12345").

Si lo detecta, ejecute "telnet" desde la línea de comando del
DOS, seleccione "Conectar", "Sistema remoto" y escriba en
"Nombre de host" : localhost y en puerto : 12345 (o teclee :
telnet localhost 12345). Si NB está presente y activo, una
cadena como "NetBus 1.53" o "NetBus 1.60 x" aparecerá en
la ventana.

El protocolo de NB no está encriptado y sus órdenes tienen
un formato sencillo: el nombre del comando y los
argumentos, separados por puntos y comas.

Es posible poner una contraseña en el servidor del NB, en
ese caso la misma queda guardada en el registro en formato
ASCII en la clave:
KEY_CURRENT_USER\Patch\Settings\ServerPwd.

Se sabe que existe un "backdoor" en el propio NetBus que
permite ingresar a él sin tener una contraseña. Cuando el
cliente envía la contraseña al servidor, lo hace con una
cadena similar a: "Password;0;my_password"'. Si el cliente
usa un 1 en lugar de un 0, se puede usar cualquier
contraseña.

Por defecto, el servidor de NB (el archivo que usted debe
ejecutar en su máquina) se llama "Patch.exe", pero puede
estar renombrado. Los archivos incluidos con la versión 1.60
del NB son: NetBus.exe (567,296), NetBus.rtf (24,113) y
Patch.exe (472,576), con fecha 23/08/98.

En la versión anterior (1.53) los archivos son: KeyHook.dll
(54,272), NetBus.exe (494,592), NetBus.rtf (16,220) y
SysEdit.exe (473,088), con fecha de abril del 98, siendo el
servidor el SysEdit.exe y el KeyHook.dll (el .exe puede tener
otro nombre).

Hay dos maneras de quitar NB si estuviera activo en nuestro
PC, dependiendo de la versión usada:

NetBus 1.5x

Averigüe el nombre del servidor NB (a menudo SysEdit.exe).
Vaya a la lista de tareas (CTRL+ALT+SUPRIMIR) y finalice
cualquier proceso sospechoso. Después de ello, conéctese
al puerto 12345 con telnet (telnet localhost 12345). Si usted
no puede conectarse, ha desconectado el servidor del NB.

El servidor del NB suele ejecutarse cada vez que usted
reinicia su PC. Por supuesto usted puede borrar simplemente
el NB de su duro, pero entonces cada vez que reinicie
aparecerá un mensaje de error. Para eliminar esto, debe
borrar la siguiente clave de su registro antes de borrar el NB
del disco duro: HKEY_LOCAL_MACHINE | SOFTWARE |
Microsoft | Windows | CurrentVersion | Run [Nombre del
servidor del NB], o si lo prefiere ejecute
"nombre_del_servidor /remove" que hará la misma cosa.
Finalmente, reinicie su computadora.

El servidor NB de la versión 1.5x también consiste en el
archivo KeyHook.dll que encontrará en el mismo directorio y
que puede directamente borrar.

NetBus 1.6

Averigüe el nombre del NB (a menudo Patch.exe). Ejecute
RegEdit.exe y busque esta entrada:

KEY_LOCAL_MACHINE | SOFTWARE | Microsoft |
Windows | CurrentVersion | Run [nombre del servidor] .

Cuando la encuentre elimínela, seleccione "buscar" y
escriba el nombre del servidor. Borre las entradas que
encuentre. Finalmente ejecute "nombre_del_servidor
/remove". Si usted ejecuta el servidor de NB, este debe
finalizar rápidamente sin ninguna otra acción del usuario.
Eso es correcto.

Si tuviera el cliente (NetBus.exe) en su máquina, puede
ejecutarlo, conectarse al localhost, escoger "Server admin" y
pulsar "Remove server" para sacarlo más fácilmente.

Por supuesto, tanto el BO como el NB deben ser ejecutados
en nuestra máquina para que se activen. Por lo tanto,
nuestra conducta con los programas que ejecutemos,
cualquiera sea su origen, es la clave para considerar segura,
o no, a nuestra computadora. Nunca olvide esto y dormirá
tranquilo, sin temor a puertas traseras abiertas.


Virus informáticos y Hoax Virus

Los virus informáticos existen igual que los biológicos, y sin embargo no andamos dentro de trajes herméticos. Las estadísticas confirman que el riesgo de virus es mayor cuando cargamos diskettes que copiamos de otra persona, que cuando bajamos archivos de la red. Al respecto, conviene tener presente un principio básico de la computación, que aconseja tener un back-up de todos nuestros archivos; y en Internet, no abrir o ejecutar archivos adosados a mensajes de correo electrónico, ICQ, etc., que no se hayan solicitado expresamente aunque provengan de una fuente conocida.

También circulan por e-mail muchas advertencias alarmantes que confunden e infunden pánico: son los llamados Hoax Virus (o virus falsos). Para obtener mayor información sobre este tema acceda a estas URL:

http://www.kumite.com/myths
http://ciac.llnl.gov/ciac

Hackers, confidencialidad, inseguridad.
Tanto las películas, como noticias periodísticas que causan atracción, amplifican esta figura.
Realmente los códigos y sistemas de seguridad son bastantes seguros, si se toman ciertas precauciones.
Siempre que se investigó alguna violación de un sistema, existió de por medio "una entrega o un robo" de clave, y recién entonces el manejo experto del hacker.

Recomendaciones:
* Así como no entregamos a cualquiera, la tarjeta del Cajero Electrónico y la clave, bajo ningún concepto o ardid debemos dar nuestra clave a terceros.
* Evitar recibir transferencias de archivos por parte de desconocidos durante los momentos de "chat", ya que existen programas que introducidos en nuestra PC pueden permitir a quien los envió, acceder a nuestro PC en cualquier otro momento que estemos conectados.
Estos programas introducidos subrepticiamente, pueden dar un gran manejo de nuestra PC en forma remota, y hasta "oir" las teclas que pulsamos, además de acceder al rígido y hasta la unidad de CD.

Si se toman precauciones elementales como las mencionadas, las comunicaciones por Internet son más confidenciales y seguras que por cualquier otro medio tradicional, tanto que durante la guerra del Golfo la propia Irak usó la red cuando tenía destruidos otros sistemas de comunicación.

También se cuenta con recursos extras para incrementar la confidencialidad del correo electrónico, por medio del envío-recepción de archivos encriptados.
Se estan desarrollando sistemas de ultraseguridad como el SET, para que pueda existir la costumbre de hacer transacciones por Internet, y poder lograr por la red un comercio de muchos millones de U$S.

Tele-manual XCASA