Despues de dos largos boletines sobre los virus que no existen regresamos a los que si existen.

De la lista, destaco 2, VBS_Kakworm, que es de los nuevos virus que si se pueden activar con solo leer el correo, y que ya se esta empezando a reportar.

Este gusano no es peligroso, pero al igual que Melissa si se reproduce suficientemente rapido puede causar un gran trafico en la red.

El otro gusano importante es el Melting.worn que puede corromper uan instalacion de window.

Asi que como siempre insisto, practiquen computacion segura.

• .i. Virus nuevos y viejos
  • a. PRETTY_PARK ataca de nuevo
  • b. VBS_FOOL.4 peligro para los archivos VBS
  • c. VBS_KAKWORM.A (ya esta suelto)
  • d. TROJ_TRINOO (ataque contra sitios web)
  • e. Win32/Melting.Worm"
• .ii. Parches para Explorer
• .iii. La lista de los 10 virus mas reportados

 
      Nombre: TROJ_PRETTY_PARK
    Alias:  W32/Pretty.worm.unp)
    

Este es un gusano que ya tiene tiempo circulando, sin embargo el gusano original se encontraba compactado, y ahora viene descompactado, (el doble de tamaño) por lo que algunos progamas antivirus no lo pueden detectar. Para mayor informacion, consulte el boletin#7

 
      nombre: VBS_FOOL.4
    

Este es un virus escrito en VBScript. y que se esparce a traves de los canales IRC, como un attachment llamado "MyPicture.bmp.vbs"

Cuando el usuario pica el attachment para ver la imagen, el virus se ejecuta ycopia a los siguientes archivos:

 
     C:\MyPicture.bmp.vbs   "
   C:\Windows\System\MyPicture.bmp.vbs   "
   C:\My Documents\MyPicture.bmp.vbs   "
   C:\Windows\Start Menu\Programs\StartUp\RunDLL.vbs   "
    

Ademas trata de borrar y suplantar los archivos VBScript que encuentre. y finalmente modifica los archivos de inicio mirc.ini y script.ini a fin de que peuda esparcerce a traves de IRC.

Finalmente VBS_FOOL tiene una carga que se activa cada 31 de diciembre. Ese dia despliega un mensaje y modifica el AUTOEXEC.BAT. Sin embargo no es destructivo

 
      Nombre VBS_Kakworm.
    

Este es un gusano escrito en VBScript, y es del mismo tipo que BubbleBoy, es decir se activa con solo desplegar el correo.

Recientemente ha habido varios reportes de computadoras infectadas con este gusano, por lo que hay que extremar precauciones.

Kakworm modifica la firma de los correos en Outlook Express con lo cual introduce un script VBS en los correos, este script es ejecutado automaticamente al ser desplegado el mensaje. Esto gracias a al interprete Windows Scripting Host (WSH) que viene por default en windows98 y windows2000, y a un control de ActiveX que por equivocacion fue marcado como seguro.

La mejor proteccion consiste en bajar los parches de seguridad de windows

http://www.microsoft.com/security/Bulletins/ms99-032.asp

Si no tiene tiempo, en preferencias tal vez desee desactivar el WSH o elevar los niveles de seguridad.

Este gusano lleva una carga no destructiva que se activa el dia primero de cada mes.

Pueden conseguir informacion adicional en: http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_KAKWORM.A

 
      Nombre: TROJ_TRINOO
    alias : W32.DoS.Trinoo
    tipo : caballo de troya
    

Recientemente varios sitios de internet importantes, han sido objeto de ataques que los han oblogado a salir del aire durante tiempo indefinido.

La tecnica que se utiliso en estos ataques se conoce como Negacion de servicio. Esencialmente consiste en mandar a un sitio de internet muchisimas solicitudes de informacion (UDP packets), hasta que el servidor ya no puede responder, ya sea porque se satura el ancho de banda o porque el servidor agota sus recursos de procesamiento, y entonces "Niega el servicio".

La red se bloquea o se alenta e incluso el servidor puede llegar a resetearse.

Este caballo de troya es una de las herramientas que esta dispoibles para realizar este tipo de ataques.

Esencialmente este caballo es enviado a multiples direcciones de correo, cuando los usuarios tratan de ver (y activar) el attachemnt, este aparentemente nohace nada,pero en el fondo comienza a envir solicitudes de paginas de una direccion de internet en particular.

Si suficientes computadoras son infectadas, el ataque que sufre el servidor puede ser tremendo.

Esta es una herramienta creada por hacker, pero su uso es tan sencillo que personas con muy pocos conocimientos pueden atacar cualquier red o servidor de internet. Consiste en dos partes, un software cliente que se encuentr en la computadora de quien lanza el ataque, y un maestro que es el caballo de troya que se envia a otras computadoras y que es quien realiza el ataque.

Este software maestro controla y dirige el ataque de las computadora infectadas.

puede encontrar informacion adicional en:

http://www.antivirus.com/vinfo/security/sa022200.htm

Cuando Trinno es ejecutado por el usuario se copia al directorio de sistema de windows como service.exe, modifica el registro para ejecutarse automaticamente al iniciar la maquina. Una vez ahi, permanece a la escucha de ordenes de la red, solo se activa cuando recibe ordenes del cliente. Trinno, no es un virus y no causa daño a la computadora infectada, pero aun asi puede causar daño a otros sistemas.

Ademas es solo uno de varias herramientas de este tipo.

La mejor proteccion es practicar computacion segura y actualizar periodicamente sus software antivirus.

 
      Nombre: Win32/Melting.Worm
    Tipo : gusano
    

Este es un gusano potencialmente peligroso, esencialmente renombra los nombres de los archivos del usuario y eventualmente puede corromper toda la instalacion de Window.

Este gusano se distribuye como un attachment a traves de Outlook en maquinas won windows 95, 98, 2000 o NT.

Una vez ejecutado (cuando el usuario pica en el attachment para verlo) el gusano se copia al directorio de windows con el nombre de MeltingScreen.exe y permanece en memoria

Poco a poco va renombrando todos las extensiones de los archivos.exe a .bin, ya que estos archivos son esenciales eventualmente windows deja de funcionar.

La unica solucion es una reinstalacion completa de windows, sin embargo el archivo de el gusano debe ser eliminado primero.

Virus como KAkworm o bubbleboy pueden funcionar debido que ciertos controles de ActiveX estan marcados de manera equivocada. Microsoft lanzo un parche para correogir un par de controles: scriptlet.typelib y Eyedog, que estan marcados como seguros para utilizarse en scripts cuando en realidad no lo son.

Los parches de Microsoft se encuentras en estas direcciones:

 
    http://windowsupdate.microsoft.com
  http://www.microsoft.com/downloads
  http://www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm
    

Es muy recomendable parchar su sistema.

Esta es una lista de los 10 virus mas reportados y realizada por Trend US en la semana 02/21/2000 a 02/27/2000.

---

• . 1. TROJ_SKA
• . 2. TROJ_PRETTY_PARK
• . 3. TROJ_SUB7GOLD.21
• . 4. VBS_FREELINK
• . 5. W97M_MARKER
• . 6. JOKE_GESCHENK
• . 7. W97M_ETHAN
• . 8. JOKE_FREIBIER
• . 9. VBS_KAKWORM.A
• . 10. TROJ_APS.216576