Ante todo una disculpa por tardar tanto en sacar este el segundo boletin del año, sin embargo no ha habido ningun evento especial, salvo algunos virus interezantes.

Desde que inicie este boletin, mi intención no ha sido publicar una lista exahustiva de los virus existentes, sino de los virus que puedan ser peligrosos, interezantes o ilustrativos. Afortunadamente de decenas de virus nuevos que aparecen cada semana, solo uno que otro llega a tener cierta notoriedad.

Con esto y mi insistencia en las reglas de la computación segura, espero ayudarles a disminuir los riesgos de sufir un ataque viral, o de caer victimas de un engaño.

Espero que este servicio les sea util a todos.

atentamente

• .i. W32.Plage.Worm
• .ii. The fly. El hijo de Bubble boy
• .iii w95.Haiku el gusano poeta
• .iv Virus para AOL, e a deveras...
• .iv. engaños.

 
      Nombre:  W32.Plage.Worm
    Aliases: I-Worm.W95.Plage.Worm, P2000, Plage2000
    tamaño:  102,400 bytes
    posibilidad: Raro
    Detectado: enero 13, 2000
    Caracteristicas: Gusano
    

W32.Plage.Worm es un gusano que se queda residente en memoria. Este gusano se propaga contestando a todo correo que no haya sido leido. Envia el siguiente mensaje:

 
  I'll try to reply as soon as possible.
Take a look to the attachment and send
me your opinion!
 Get your FREE P2000 now!
    

En el mensaje va incluido un archivo de 102,400 bytes, que puede tener algun de los siguientes nombres:

Esta gran variedad de nombres ilustra lo peligroso que es ejecutar un archivo si no se conoce lo que contiene. Como muchos otros virus o gusanos, trata de engañar al usuario para que ejecute el archivo.

Cuando el archivo es ejecutado, genera un mensaje para hacer creer al usuario que el archivo esta corrupto. Lo que hace en realidad es copiarse al directorio de windows con el nombre INETD.exe. Ademas revisa si el dia es miercoles entre 12:00 AM y 2:00 AM, si es asi, despliega una animacion con el texto:

 
   Fight against the plage of inhumanity.
 This is Plage 2000 coded by Bumblebee/29a._Plage 2000
    

No contiene carga destructiva, para eliminarlo busque y elimine el archivo:

 
      INETD.exe.
    

para mayores detales consulten en : http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_PLAGE2000.A

 
      Nombre:    The_Fly
    Alias:     CommonSence.Worm, HTML_The_Fly
    Tamaño:    22,074 bytes
    Posibilidad: raro
    Detectado: Dic 23, 1999
    

El gusano Hte_fly, se propaga a traves de Outlook, mIRC y Pirch. A pesar de que no se han reportada maquinas infectadas podria progarse rapidamente debido a su manera de actuar.

Aparentemente es del mismo autor de Bubble Boy, y proviene de Argentina.

Se propaga como un archivo HTML compilado (The_Fly.chm) que contiene codigo JavaScript a traves del cual accesa a ActiveX.

Al activarse el sistema genera un aviso de ActiveX, si usted aprueba el mensaje de error entonces le da permiso al gusano para activarse.

El gusano envia un correo a todas las direcciones que posea en su lista de contactos con el gusano incluido.

El correo lleva el titulo:

con el mensaje:

 
  If you ride a motorcycle, close your mouth :)
    

Tambien puede utilizar IRC ya sea con IRC to Pirch, el gusano añade le siguiente registro:

• . HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaScript VM

La siguiente ves que la computadora es reiniciada, ejecuta el archivo MSJSVM.JS entonces busca si esta instalado mIRC o Pirch para modificrlos y utilizarlos para propagarse. Si en ese momento es el minuto 30 o si los archivos The_fly.chm y DXGFXB3D.DLL son removidos muestra una imagen comica.

Debe eliminar los archivos: THE_FLY.CHM, MSJSVM.JS, y DXGFXB3D.DLL Ademas debe eliminar y restaurar SCRIPT.INI y EVENTS.INI con sus originales.

Y la clave del registro:

• . HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaScript VM

debe ser eliminada.

 
      Nombre: W95.Haiku.16384.
    Tipo Gusano
    posibilidad : raro
    

Este es un gusano que se progaga por e-mail y muestra poesia Haiku. Este gusano fue escrito por el miembro fundador del grupo 29A, que entre otras cosas se dedican a escribir virus. El autor responde al nombre de "Mr. Sandman" y se supone que estaba "retirado"...

En mensaje llega con el nombre:

Fw: Compose your own haikus!

y con el siguiente mensaje:

 
  "Old pond...
 a frog leaps in
 water's sound."
- Matsuo Basho.

DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?

Haiku is a small poetry with oriental metric that appeared in the
XVI century and is being very popular, mainly in Japan and the USA.

It's done to trascend the limitation imposed by the usual language
and the linear/scientific thinking that treat the nature and the
human being as a machine.

It usually has 3 lines and 17 syllables distributed in 5, 7 and 5.
It must register or indicate a moment, sensation, impression or
drama of a specific fact of nature. It's almost like a photo of
some specific moment of nature.

More than inspiration, what you need in order to compose a real
haiku is meditation, effort and perception.

DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?

Now you can! it is very easy to get started in this old poetry
art. Attached to this e-mail you will find a copy of a simple
haiku generator. It will help you in order to understand the
basics of the metric, rhyme and subjects which should be used
when composing a real haiku... just check it out! it's freeware
and you can use and spread it as long as you want!
   
    

Cuando el archivo es ejecutado, el gusano modifica el sistema para que ejecute el gusano cada vez que se inicia la computadora. Posteriormente se copia a directorio de windows con el nombre haikug.exe despues despliega una caja de mensaje con un poema Haiku.

Ademas el gusano busca las direcciones de correo que encuente en su disco duro en todos los archivos que tengan las extensiones: .doc, .eml, .htm, .rtf, .txt

Posteriormente el gusano envia directamtente copias de si mismo a todas esas direcciones, estolo hace directamente sin utilizar ningun programa de correo.

En esta parte, es posible que despliegue el mensaje:

 
  [ I-Worm.Haiku, by Mister Sandman ]
 The smallest box may hold
 The biggest treasure?
    

Ademas se conecta a una direccion en www.xomm.com para bajar un archivo de audio y tocarlo

Este gusano no lleva carga destructiva, pero no por ser poetico no deja de ser molesto al reproducirse.

Para eliminarlos localize y borre el archivo

 
      haikug.exe
    

 
  Nombre: APStrojan.qa
Alias:  APSTrojan.pz
tamaño: 216,576
    

Actualmente ha muchos avisos falsos circulando sobre virus que roban los passwords de AOL, asi que parece que alguin se decidio a escribir uno real...

El troyano llega enun correo con el nombre:

 
  "hey you."
    

y lleva un archivo llamado "MINE.EXE"

Cuando es ejecutado, ataca el software de AOL y trata de robar su password, para despeus enviarlo al autor del troyano.

Usualmente solo funciona bajo windows 98, sin embargo si esta instalado el archivo MSVBVM50.DLL tambien funciona bajo windows 95

El archivo del troyano se llama APStrojan.qa

Este virus hace varios cambios a sus sistema por lo que no se recomienta eliminarlo a mano. Es mejor usar un antivirus actualizado y despues cambiar su password de AOL.

Si sospecha que esta infectado en la direccion:

se puede hacer un scan "ON LINE" para detectarlo.

Esos son mensajes que circulan por e-mail y son reenviados por la gente con buena intención, sin embargo son completamente falsos ya que no existe ningun virus con estas caracteristicas, si recibe alguno de estos mensajes por favor no lo reenvien, o por lo menos, no a sus amigos ....

 
  Be My Valentine
    

Warning on February 14, 2000 you may receive an email called, "Be My Valentine"... do not open it, it contains a deadly virus... it will erase your windows along with many other program files. Pass this on as soon as you can to get the WORD out!!!!....this was reported on the CBS morning news January 7, 2000.

 
  Lets watch TV
    

OFFICIAL IBM VIRUS WARNING. PASS THIS ON TO ANYONE YOU HAVE AN E-MAIL ADDRESS FOR. ***** THIS IS NO JOKE - PAY ATTENTION: ********

If you receive an email titled "Lets watch TV" DO NOT OPEN IT. It will erase everything on your hard drive. This information was announced yesterday morning from IBM; AOL states that "KALI" is a very dangerous virus, much worse than "Melissa," and that there is NO remedy for it at this time. Some very sick individual has succeeded in using the reformat function from Norton Utilities causing it to completely erase all documents on the hard drive. It has been designed to work with Netscape Navigator and Microsoft Internet Explorer. It destroys Macintosh and IBM compatible computers. This is a new, very malicious virus and not many people know about it. Pass this warning along to EVERYONE in your address book and please share it with all your online friends ASAP so that this threat may be stopped. Please practice cautionary measures and tell anyone that may have access to your computer. Forward this warning to everyone that might access the Internet.