> MAPA del WEB <
|
||||||||||||
|
|
||||||||||||
Noticias Profesionales
|
|
Miércoles, 11 de mayo de 2005 |
Noticias
Seguridad de la Información y Protección de DatosMás del 5% de los correos electrónicos en circulación esconden el virus «Sober»
El gusano es muy dañino y se propara a través de un email escrito en inglés y en alemán
La última versión del gusano informático «Sober» continúa esparciéndose por la red, hasta el punto de que supuso el 5,4% de todos los correos electrónicos enviados los días 7 y 8 de mayo. «Sober» fue responsable, además, del 84% de la actividad vírica en Internet durante esos mismos días, según la firma de seguridad Sophos. Esta compañía señaló que el gusano es particularmente dañino porque, entre otras cosas, es capaz de desactivar la protección antivirus de Symantec y de saltarse las protecciones de Windows XP.
Las variantes de este gusano han circulado desde 2003, pero ha sido esta última la que ha causado más estragos.
La última versión, llamada «Sober.N», «Sober.O» o «Sober.S» (las empresas de seguridad informática llaman al gusano de manera diferente), utiliza un correo electrónico escrito en inglés y en alemán.
Una de las versiones más dañinas incluye un mensaje que informa al destinatario de que ha ganado unas entradas para el Mundial de Fútbol que se celebrará el año próximo en Alemania.
Cuando las víctimas abren el fichero que adjunta el correo, el virus se hace con sus direcciones electrónicas y las utiliza para esparcirse.
Detalles
Cuando Worm.W32/Sober.O@MM es ejecutado, realiza las siguientes acciones:
Muestra el siguiente mensaje:
Crea los siguientes ficheros:
%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg
%Windir%\Connection Wizard\Status\sacri2.ggg
%Windir%\Connection Wizard\Status\sacri3.ggg
%Windir%\Connection Wizard\Status\voner1.von
%Windir%\Connection Wizard\Status\voner2.von
%Windir%\Connection Wizard\Status\voner3.von
%Windir%\Connection Wizard\Status\sysonce.tst
%Windir%\Connection Wizard\Status\fastso.ber
%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqaPara ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: " WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "_WinStart" = "%Windir%\Connection Wizard\Status\services.exe"Comprueba la disponibilidad de una conexión a red, contactando con un servidor NTP a través del puerto 37, o conectándose a alguno de los siguientes dominios:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.comIntenta enviar una copia de sí mismo a las direcciones recopiladas.
El mensaje enviado podría estar escrito tanto en inglés como en alemán, y posee las siguientes características:
Alemán:
Asunto: uno de los siguientes:
Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung
Cuerpo del mensaje: uno de los siguientes:
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[- dominio_aleatorio -]
*-* MailTo: PasswordHelp
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[- dominio_aleatorio -]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Nun sieh dir das mal an
Was ein Ferkel ....
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
Añade al final del mensaje alguno de los siguientes mensajes elegido aleatoriamente:
Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.[random domain]
Fichero Anexo: uno de los siguientes:
LOL.zip
autoemail-text.zip
_PassWort-Info.zip
Fifa_Info-Text.zip
okTicket-info.zip
Nota: El anexo es un fichero comprimido .zip, que contiene una copia del gusano.
El nombre del fichero contenido por el archivo .zip es alguno de los siguientes:
Winzipped-Text_Data.txt[- muchos espacios en blanco -].pif
Winzipped-Text_Data.txt[- muchos espacios en blanco -].exe.Inglés:
Asunto: uno de los siguientes:
Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re: [- vacío -]
Cuerpo del mensaje: uno de los siguientes:
ok ok ok,,,,, here is it
Account and Password Information are attached!
Visit: http:/ /www.[- dominio_aleatorio -]
This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Añade al final del mensaje alguno de los siguientes mensajes elegido aleatoriamente:
Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[- dominio_aleatorio -]
Fichero Anexo: uno de los siguientes:
our_secret.zip
mail_info.zip
error-mail_info.zip
account_info.zip
account_info-text.zip
Nota: El anexo es un fichero comprimido .zip, que contiene una copia del gusano.
El nombre del fichero contenido por el archivo .zip es alguno de los siguientes:
Winzipped-Text_Data.txt[- muchos espacios en blanco -].pif
Winzipped-Text_Data.txt[- muchos espacios en blanco -].exe.
Elimina, en caso de que existan, los siguientes ficheros:
%ProgramFiles%\Symantec\Liveupdate\a*.exe
%ProgramFiles%\Symantec\Liveupdate\luc*.exe
%ProgramFiles%\Symantec\Liveupdate\ls*.exe
%ProgramFiles%\Symantec\Liveupdate\luu*.exe
Nota: %ProgramFiles% es una variable que hace referencia al directorio de 'Achivos de Programa'.
Por defecto es C:\Archivos de Programa.
Sobreescribe el fichero %Program Files%\Symantec\Liveupdate\luall.exe con una copia de sí mismo, en caso de que el archivo antes citado exista en el equipo infectado.
Solución
1.- Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración) Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
2.- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
3.- En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
4.- A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de las siguientes claves del registro de Windows, los valores indicados:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: " WinStart" = "%Windir%\Connection Wizard\Status\services.exe"Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "_WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
Restaure las siguientes entradas del registro:5.- Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Asunto del mensaje (virus que llegan por correo)
WM-Ticket-Auslosung
WM Ticket Verlosung
Glueckwunsch: Ihr WM Ticket
Ihre E-Mail wurde verweigert
Mail-Fehler!
Ihr Passwort
Re: - vacio -
Re:mailing error
Re:Your email was blocked
Re:Registration Confirmation
Re:Your PasswordFuentes: La Voz de Galicia
www.alerta-antivirus.red.es
Belt Ibérica S.A.
11.05.05
Noticias relacionadas:
* Los piratas informáticos han encontrado una nueva forma de transmitir virus (19.04.05
* El 9,7% de los «e-mail» que surcan la red contiene algún tipo de virus informático (06.04.05)
* El oscuro negocio de los virus (14.03.05)
* Virus para móviles que se difunde por mensajería multimedia (MMS) (09.03.05)
* ‘Phishing’, el arte de engañar incautos en la banca electrónica (09.03.05)
* ¡Cuidado!, se ha colado un espía en su PC (03.03.05)
* La banca española se une contra el timo en línea (17.02.05)
* 'Korgo', el nuevo virus informático discreto (10.06.04)
Primer virus para plataformas de 64 bits (04.06.04)
* Entrevista: Rosa García, Consejera Delegada de Microsoft Ibérica (27.05.04)
* Un nuevo virus responde a los mensajes no leídos (26.05.04)
* Nuevas amenazas para la seguridad en internet (19.05.04)
* El brand spoofing aumenta a ritmo vertiginoso (18.05.04)
* El 'phishing' afecta a millones de internautas y reduce su confianza en la banca 'on line' (12.05.04)
* Cinco de cada seis empresas españolas tiene problemas de seguridad informática (07.05.04)
* Network Associates teme que el virus 'Sasser' se combine con 'Netsky' (07.05.04)
* Nuevas variantes del gusano informático: Sasser C y Sasser D (04.05.04)
* Telefónica de España lanza nuevos ADSL más seguros (03.05.04)
* El "spam" cumple su décimo aniversario (27.04.04)
* El reto de atrapar un virus en menos de 15 minutos (23.04.04)
* El sitio web de Microsoft sale ileso del ataque del virus MyDoom.B (04.02.04)
* El Gusano 'MyDoom' se extiende rápidamente a través del 'e-mail' y de redes P2P (28.01.04)
