Pareciera que hay mucha gente que desea que realmente tengamos problemas con la llegada del 2000.

En los últimos meses han aparecido varios virus programados para ejecutarse en el 2000 y nuevos conceptos de virus.en las paginas de Internet y virus que se activan con solo leer el correo

Si necesidad de ser alarmistas, debemos de estar conscientes de los riesgos que implica compartir información. Solo son necesarias unas cuantas normas de seguridad para estas a salvo. Pero no hay que descuidarse

Este boletín es especialmente extenso, y es un reflejo de la ebullición de estos últimos meses del año.

Por eso recuerde Practique computación segura.

• .i. Microsoft y sus problemas de seguridad.
  (editorial)
• .ii. BubbleBoy is back! - Primer virus de e-mail-Alerta!
• .iii. Pretty Park Contraataca
• .iv. Nuevas amenazas para el 2000
• .v. Los 10 mas buscados
• .vi. Melissa otra vez mas!!

P98/Corner, es el primer virus de macro que puede infectar a Microsoft Proyect, además de archivos de Word, y puede viajar libremente entre estas do aplicaciones.

Aparte de infectar, este virus no parece hacer nada mas. Esto cubre ya la cuota y actualmente todas las aplicaciones populares de Microsoft son susceptibles de ataque de virus: Word 2.0 Word 95 Word 97 Word 2000 Excel 4.0 Excel 95 Excel 97 Excel 2000 PowerPoint 97 PowerPoint 2000 Access 97 Project 98 Outlook Outlook Express Explorer 5

Tal ves nos deberíamos de preguntar si no hay algo malo en la filosofía de diseño de estas aplicaciones.

Actualmente un 80% de los virus que circulan en el mundo son Virus de Macro, es decir virus que solo son ejecutados dentro de una aplicación, usualmente Word. Y esto es debido a que los archivos de estas aplicaciones contienen macros que por default se ejecutan automáticamente.

De igual manera, ahora tenemos paginas de Internet con virus y correos que infectan con solo abrir el correo, ya que con Windows 98, las paginas de Internet y el correo electrónico ahora tiene código que se ejecuta automáticamente. Y aun mas, prácticamente todos estos virus esta escritos en VB script. No les parece que debemos de preguntar si ese afán de hacer todo automático no esta empezando a resultar peligroso.

Hasta hace poco, todos los engaños sobre virus se delataban porque advertían sobre no abrir un correo porque este podía infectar la computadora.

Esto se debía a que era imposible hacerlo, sin embargo como comente en un boletín anterior, las nuevas opciones de Outlook y Windows 98 hicieron posible el sueño de todo hacker, un virus que infecte con solo leer el correo.

Este primer autentico virus de e-mail se llama Bubble Boy

 
    Nombre:      Bubble Boy
    tipo :       Virus de E-mail
    sistemas:    Windows 98 y Windows 2000, con Outlook
    activación:  con leer el E-mail 
   

BubbleBoy esta escrito en VBscript (Visual Basic Script), y usa los controles ActiveX de Microsoft para infectar los sistemas. Para poder infectar una PC, requiere Internet Explorer 5 con el "Scripting Host" de Windows instalado. Esto es la configuración Normal de Windows 98 y Windows 2000.

Este virus acaba de ser enviado en masa a muchos sitios y organizaciones antivirus y es posible que de ahí se propague por la red.

Se propaga de la misma manera que Melissa, enviándose a si mismo a todas las direcciones que se encuentren en su libreta de direcciones de Outlook.

En Outlook, Bubbleboy requiere que usted "Abra" el correo, pero no infectara si solo es visto a través del panel de previo.

En Outlook express el gusano infectara incluso si el virus es solo visto a través del panel de previo.

El correo infectado tiene como nombre

 
  "BubbleBoy is back!"
   

y no tiene un attachment por separado como en todos los virus anteriores. El código del virus esta dentro del cuerpo del mensaje, contiene una pantalla blanca, con el texto

 
  "The BubbleBoy incident, pictures and sounds,"
   

y una dirección de Internet invalida. Una vez infectada, el virus altera el registro y la organización a que esta registrada la PC, en su lugar pone

 
  usuario "BubbleBoy"
  organización: "Vandelay Industries,"
   

Existen varias opciones, cualquiera de ellas es suficiente por el momento.

eleve el nivel de seguridad de Internet Explorer a 5 o mejor aun, en configuración personalizada desactive la ejecucion de comandos de ActiveX

en la seccion de Instalar/desintalar programas, en instalacion de windows, deseleccione Windows scripting Host, luego indique aceptar.

 
  http://www.microsoft.com/security/Bulletins/ms99-032.asp
  

y configure su correo para filtrar cualquier correo que tenga como titulo "Bubble boy is back"

( distinto a Outlook.)

Dado que el virus solo se activa una vez, la eliminacion ya esta de mas, pero para mayor seguridad hay que borrar el archivo:

 
     C:\WINDOWS\START MENU\PROGRAMS\STARTUP\UPDATE.HTA
     o si no
     C:\WINDOWS\MENÚ INICIO\PROGRAMAS\INICIO\UPDATE.
     Hay que restaurar las claves del registro
     HKEY_LOCAL_MACHINE\Software\Microsoft\
     Windows\CurrentVersion\RegisteredOwner
     HKEY_LOCAL_MACHINE\Software\Microsoft\
     Windows\CurrentVersion\RegisteredOrganization
   

A sus valores normales, del dueño y organizacion original

El virus ademas incluye otra calve del registro:

 
     HKLM\Software\OUTLOOK.BubbleBoy\
     Sin embargo, cuando el virus encuentra estra
     clave, ya no intenta infectar, por lo que es
     una proteccion contra reinfecciones.
   

---

En cierta forma este es un virus de prueba, el autor lo envio a empresas de Antivirus y a sitios subterraneos de programacion de virus.

A pesar de que es bastante inofensivo, es muy posible que al igual que con Melissa pronto aparezcan copias y variantes de este virus. Habrá que estar atento contra una nueva ola de virus, a menos que Microsoft considere corregir estas fallas de seguridad.

Pretty Park es un virus que fue examinado en el Boletín No 7, pero que ha infectado muchas computadoras en los últimos meses.

En resumen este es un troyano que infecta las computadoras y envía los passwords a ciertas direcciones de Internet.

Llega como un attachment de correo llamado Pretty Park.exe

Si se sospecha de infección, busquen el archivo

 
  FILES32.VXD
     y bórrenlo, eso es todo, este virus no causa
    daño,
     pero puede distribuir información valiosa que
     usted posea en su computadora.
   

---

 
  nombre: W97M_CHANTAL.A
tipo: Virus de Macro con carga para activarse en el 2000
   

En ultimas fechas han aparecido muchos virus que estan programados para activarse el 1 de enero del 2000, Chantal es un ejemplo de esta amenaza.

Este es un virus muy complejo que esta programado para que el 1 de enero del 2000 borre todos los archivos en el directorio raíz de la computadora (impidiendo que arranque) además de todos los archivos en el directorio en donde este contenido el documento infectado.

Al mismo tiempo muestra un mensaje:

 
     " Chantal B. 4ever! "
     para mayor información se puede consultar en
     http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=W97M_CHANTAL.A
     
  

Este es un virus de Macro, y como tal la protección es muy sencilla:

Al abrir un documento de Word, NUNCA diga que SI, si aparece la solicitud de ejecutar Macros.

Como protección adicional siempre procure distribuir su archivo de Word en formato RTF, que no se puede infectar.

Esta es la lista de los virus mas comunes según Trend US week of: 10/18/99

---

• . 1. TROJ_SKA
• . 2. JOKE_FLIPPED
• . 3. TROJ_PRETTYPARK
• . 4. JOKE_GESCHENK
• . 5. VBS_FREELINK
• . 6. W97M_ETHAN
• . 7. W97M_CLASS
• . 8. JOKE_WOW
• . 9. JOKE_DOH
• . 10. W97M_MELISSA.U

Niveles de riego de infección de virus y troyanos según :"AVERT Risk Assessment" Los virus que estan marcados "En alerta" se estan propagando rápidamente, y hay que estar atentos.

• . Diablo.a bajo riesgo
• . W97M/Melissa.ac riesgo medio
• . W97M/Melissa.z riesgo medio
• . W97M/Ethan.aw riesgo medio
• . W97M/Melissa.y bajo riesgo
• . W97M/Corner.A bajo riesgo
• . P98M/Corner.A bajo riesgo
• . W97M/Panther riesgo medio
• . W97M/Combossa riesgo medio
• . W97M/Cobra.f riesgo medio
• . W97M/Zerg bajo riesgo
• . W97M/Melissa.u.dr bajo riesgo
• . VBS/TripleSix riesgo medio
• . W97M/Melissa.w riesgo medio
• . W32/BadAss.worm bajo riesgo
• . WinNT/Infis.4608 bajo riesgo
• . W97M/Ethan.at riesgo medio
• . W97M/Turn riesgo medio
• . W97M/Melissa.u riesgo medio en alerta
• . W97M/Melissa.v riesgo medio en alerta
• . W97M/JB bajo riesgo
• . W97M/ColdApe.H bajo riesgo
• . W97M/Marker.Q riesgo medio
• . W97M/Ozwer.A riesgo medio
• . W97M/Ephen bajo riesgo
• . W97M/Marker.ag bajo riesgo
• . WM/MVM.A bajo riesgo
• . W97M/Locale.A bajo riesgo
• . W97M/Pri.B riesgo medio
• . WM/Helper.B bajo riesgo
• . WM/Surabaya.A bajo riesgo
• . WM/WM/Niknat.A bajo riesgo
• . W97M/Diva.A bajo riesgo
• . W97M/Ethan.Q riesgo medio
• . W97M/Idea.A bajo riesgo
• . W97M/Marker.AE riesgo medio
• . W97M/Marker.X riesgo medio
• . W97M/Golden bajo riesgo
• . W32/Oporto riesgo medio

  ---

Siguen apareciendo nuevos clones de Melissa: la lista actual es:

 
     W97M/Melissa
     W97M/Melissa.j
     W97M/Melissa.I
     W97M/Melissa.M
     W97M/Melissa.o
     W97M/Melissa.u
     W97M/Melissa.v
     W97M/Melissa.W
     W97M/Syndicate
     VBS/Monopoly
     X97M/Papa
   

Todas estas variantes son virus de Macro, que son fácil evitar.

Siempre digan que NO, si le aparece el aviso de "ejecutar macros"

Por favor, no sea una víctima mas de Melissa.

Es MUY importante tener su software antivirus al día.