Hay un gusano (worm) potencialmente muy destructivo que se esta esparciendo a traves de algunos sistemas de redes de EU.

Si tiene sus computadoras en red con el directorio "c:" compartido,por favor lea las precauciones que se detallan en el articulo.

Este es un gusano, no un virus, por lo que intenta introducirse a su sistema sin necesidad de ser activado.

• .i. BAT.Chode.Worm o virus911
• .ii. IROK para Outlook e mIRC
• .iii. computacion segura

 
     Alias:               Chode, Foreskin, BAT911
   Forma de infeccion : a traves de archivos bat.
   Area de infeccion  : directorios compartidos
   Fecha de activacion: el dia 19 de cada mes
   Caracteristicas    : gusano, batch script
    

Este es un gusano, que por su pontencial destructivo a generado avisos del FBI.

Este gusano se distribuye a traves de internet, busca los rangos de direcciones IP de proovedores de internet conocidos hasta localizar alguna computadora.

Si por alguna razon la unidad c: esta compartida, trata de copiarse directamente a esa computadora.

Si la computadora que utiliza para conectarse a internet esta conectada en red, es probable que tenga el directorio c: compartido, por lo que podria ser suceptible de infeccion.

La mejor proteccion es agregarle un password de acceso a esa unidad.

Este gusano utilisa varios archivos BAT y algunos programas del sistema para esparcirse a traves de conecciones de internet. Lo que hace es buscar direcciones IP hasa encontrar una computadora que este accesible. Si sta computadora tiene una unidad de disco compartida y que no este protegida con password, el gusano busca la presencia del archivo C:\WINDOWS\WIN.COM Si lo encuentra supone que la unidad compartida que ha localizado es la unidad C. Cuando encuentra una unidad accesible, el gusano mapea la unidad a una unidad de red, revisa si no ha sido infectado, ademas busca si no existe VBS.Network, que es otros gusano que peude infectar los sistemas (probablemente interfiera con su funcionamiento)

En ese momento copia sus archivos al directorio

 
   C:\PROGRA~1\CHODE .
    

Ademas agrega una llamada a un archivo BAT desde el archivo autoexec bat para que la computadora realize una llamada al telefono 911 (el codigo de emergencia en Estados Unidos). Tambien agrega varios programas en el directorio del Program-startup

ashield.pif- que se encarga de ocultar el gusano netstat.pif- esconde el uso del programa Netsat para ocultar su actividad winsock.vbs- que es la carga destructiva del gusano. C:\PROGRAM FILES\chode\chode.txt- que es una bitacora que registra que la maquina ha sido infectada.

Ademas utiliza una utileria ASHIELD.EXE que utliza para ocultar su actividad.

Una vez completada la infeccion, el gusano compienza el ciclo buscando las subredes de varios proveedores ISP (provedor de coneccion a internet):

Por el momento el gusano se esta concentrando en computadoras que esten conectadas a las redes y subredes de los siguientes proovedores:

 
   att.net (ATT Worldnet)
 bellsouth.net (BellSouth Net)
 level3.net (Level3 Net)
 aol.com (America Online)
 mindspring.com (Mindspring)
 earthlink.net (Earthlink)
 air.on.ca (Air.Internet in Canada)
    

( la lista puede cambiar) Una ves que el gusano ha localizado alguna subred se inica el proceso.

El archivo Winsock,vbs es iniciado al arrancar la computadora, Si el dia es el 19 de cada mes, el programa borra archivos de los siguientes directorios :

 
   C:\windows
 C:\windows\system
 C:\windows\command
 C:\
    

y posteriormente despliega el siguiente mensaje:

 
      You Have Been Infected By Chode
    You may now turn this piece of sh*t off!
    

Debe borrar los siguientes archivos:

El directorio

 
      C:\Program Files\Chode
    

Los programas:

• . C:\WINDOWS\START MENU\PROGRAMS\STARTUP\ASHIELD.PIF
• . C:\WINDOWS\START MENU\PROGRAMS\STARTUP\NETSTAT.PIF
• . C:\WINDOWS\START MENU\PROGRAMS\STARTUP\WINSOCK.VBS

 
      Nombre IROK, VBS_IROK
    

ESte es un nuevo virus que se esparce a traves de Outlook y el IRC. Cuando se activa, IROK despliega una pantalla negra con estrellas, que desaparece al oprimir cualquier tecla.

En ese momento, el virus se copia al directorio de sistema de windows y genera el archivo IROKRUN.vbs en el directorio de Inicio de Windows.

Ademas trata de localizar los archivos ejecutables de el disco para infectarlos.

Despues modifica el archivo INI de mIRC para poder enviarse a traves de mIRC. Tambien se envia a traves de Outlook a las primeras 60 entradas de la libreta de direcciones con el mensaje:

 
      " I though you might like to see this. "
    

No tiene carga destructiva.

Se necesita un antivirus reciente para poder elinarlos de los progamas infectados.