Despues de una buena pausa, regresamos con virus frescos.

Afortunadamente no ha habido ninguna amenaza imporante, sin embargo parece que los programadores de virus nos quieren dar un susto navideño.

Y para estar a tono con los X men, ya salio el primer virus mutante para windows 95 y 98. Este virus cambia de forma para evitar ser reconocido, afortunadamente esmuy complejo y lento, pero podria iniciar una moda nueva.

Tambien comento un par de engaños que han estado circulando, espero que disfruten la direccion.

attentamente

• .i. W95.Zperm.A. Los mutantes...
• .ii. W97M.Opey.H Saludos Navideños
• .iii. W97M.Stand Otro macrovirus de Word.
• .iv. VBS.Gnutella Contra los amantes de la musica..
• .v. W32/Navidad@M un gusano, que se esta esparciendo
• .vi. Engaños: - UP-GRADE INTERNET2 - Pobre Perro.

  ---

 
 Nombre:    Zperm
tipo:      virus polimorfico
infeccion: windows 95 y 98
carga:     ninguna
   

Este es uno de los primeros virus metamorficos escritos para windows 59 y 98.

EStos virus fueron populares en las versiones anteriorres de windows y DOS, sin embargo son virus muy complejos que al consumir muchos reursos de las maquinas pueden delatarse, sin embargo ahora que las maquinas son mas potentes pueden tener un resurgimiento.

Los virus metamorficos tiene incluido un programa llamdo motor de permutacion o motor de mutacion que hace que el virus cambie de forma cada ves que infecta, sin embargo usualmente el motor de mutacion quedaba igual, en este nuevo virus inlcuso el motor de mutacion cambia.

Para los que tiene un interes mas tecnico, el virus cambia de orden las lineas del programa, insertando intrucciones de salto para que se pueda seguir ejecutando, ademas reemplaza al azar instrucciones que son equivalentes e inserta intrucciones basura para esconder el codigo de virus.

Es por esto que en algunos medios de prensa se le ha llamado "codigo genetico", pues una caracteristica del ADN es que contiene instrucciones de codigo basura que no tienen ninguna utilidad, sin embargo a diferencia del verdadero codigo genetico, este virus no es capaz de alterar su progamacion inicial.

El progamador de este virus es el responsable de toda una familia de virus llamados Zmorph.

Este virus solo infecta a cierto tipo de programas llamados portables ejecutables.

Usualmente llega al sistema a traves de un programa infectado, por eso es muy importante tener cuidad con los programas que no sean originales.

Una vez activo intenta infectar a los PE que se encuentren en ejecucion. Inserta su codigo que mide un par de Kb en el programa , mas unso 20 kb de basura, para ocultar su presencia.

El virus utiliza las instrucciones de 32 bists del sistema, sin embargo no funciona en WindowsNT ni windows 2000.

Por la forma tan compleja en que infecta, la unica forma de eliminacion es borrar y reemplazar los archivos infectados. El trabajo debe realizarse con un antivirus que sea capas de detectarlo, y reinstalando el sistema.

Afortunadamente es bajo, pues estos virus complejos se reproducen lentamente, sin embargo la infeccion puede ser muy insidiosa y dificil de detectar. Lo mejor es prevenir.

 
 tipo     : virus de Macro
infeccion: Word97
Activacion  25 dic, 31 de diciembre
Daño      : modifica el autoexec.bat.
   

Este es un virus de Word, que infecta el archivo normal.dot y en ciertas fechas modifica el autoexec.bat para desplegar algunso mensajes. Como es comun en este tipo de virus, desactiva laproteccion de virus de macro de word 97

Lllega a traves de un documento de word infectado, lo primero que hace ees infeactar el archivo normal.dot, para activarse cada ves que se ejecuta Word 97. Tambien desactiva la proteccion de virus de macro, y si el usuario selecciona Macros en el menu: herramientas->macros->macros.. añadira texto al documento, en lugar de abrir elmenu.

Ademas en el 25 y 31 de diciembre añadira el siguiente mensaje al auoexec bat (para ser mostrado cada ves que arranca la maquina:

 
 @echo off
echo MERRY CHRISTMAS AND A HAPPY NEW YEAR !!!
echo from: The Crazy Man
   

Borre el archivo normal.dot estando word apagado, al iniciar word, asegurarse activar laproteccion contra macros.

Los archivos infectados pueden ser repadados con un antivirus, o puede salvarlos en formato rtf y borrar los originales.

Ademas debera editar el autoexec.bat para eliminar las modificaciones hechas por el virus.

 
 tipo : virus de Macro
infeccion: word
carga: inentara borrar los discos c: d: y e:
   

Este es otro virus de macro de word, llega en un documento infectado. Crea un archivo llamado: AUTOEXEC.kil e el directorio c:\ que contiene una fecha generada al azar, para que despues de esa fecha ejecute su carga.

La carga es variable, puede ser alguna de estas acciones:

 
 "This application caused a general protection error."
   

Despues añade las siguientes lineas al autoecec.bat y kil.bat

 
 deltree /Y e:\*
deltree /Y d:\*
deltree /Y c:\*
rem Created by The Lonely Mad
rem Hey, looser, now your system, next time I'll KILL YOU
   

Despues ejecuta el archivo kill.bat, lo que da como resultado borrar las unidades c:d: y e:

 
 "This application caused a general protection error."
   

(esta aplicacion a generado un error de proteccion general)

despues en word añade la siguiente linea a los documentos recientes de word:

 
 "Killer Queen kills stupid people like you...."
   

Despues intenta salir de windows.

 
 "This application caused a general protection error."
   

(esta aplicacion a generado un error de proteccion general) Y trata de salir de windows

 
 This application caused a general protection error.
 Crazi Diamond
   

(esta aplicacion a generado un error de proteccion general) Y trata de salir de windows

Debe reparar los documentso infectados de preferencia con un antivirus, tambien puede salvar en formato rtf los documentos y borrar los originales.

Debe borrar los archivos :

 
 kill.bat
Autoexec.kill
stand.log
   

Ademas debe remover las ordenes que peuda haber incluido en el el autoexec.bat.

 
 Tipo : gusano
infeccion: a traves de Gnutella
 daño: modifica la secuencia de inicio de Gnutella
   

Despues de los problemas legales de Napster, Gnutella se ha estado promoviendo como su problable sucesor, sin embargo tambien tiene algunos problemas.

ESte es un gusano, es decir que se esparse por si mismo sin que el usuario lo tenga que activar. Esencialmente crea una copia de si mismo en el directorio de archivos compartidos de Gnutella, de manera que se pueda copiar a los directorios de oros usuarios que tengan Gnutella instalado.

Despues modifica la configuracion de gnutella (gnutella.ini) para que permita que se transfieran archivos vbs.

El archivo que colocan en el directorio de archivos compartidos de Gnutella puede llamarse de alguna de estas formas:

 
 "Jenna Jameson movie listing.vbs"
"Pamela Anderson movie listing.vbs"
"Asia Carerra movie listing.vbs"
"xxx FTP movie listing.vbs"
"ASF Compressor (No quality loss).vbs"
"collegesex.vbs"
"Gladiator.vbs"
"Battlefield Earth.vbs"
"Evangelion complete episodes scripts.vbs"
"Scan Master checklist.vbs"
"How to eat _____.vbs"
"Alicia Silverstone.vbs"
"Pearl Jam.vbs"
"Mp3 compressor (Half the size but same quality).vbs"
"Napster Metallica Crack.vbs"
"Santana.vbs"
"NSync.vbs"
"Nirvana.mp3.vbs"
"Shania Twain.mp3.vbs"
"Jesus loves you.vbs"
"Gnutella upgrade.vbs"
"OFFICIAL Gnutella Option Pack.vbs"
   

Ademas coloca otroa rchivo en el directorio de progama de Gnutella:

 
 "Yet another GWV! VictimName.zip
   

Donde VicName es el nombre del usuario

Si sopecha que esta infectado, borre cualquier archivo .VBS que encuentre en el directorio de archivos compartidos, y restaure el archivo Gnutella.ini a partir de un respaldo o reinstale Gnutella.

 
 Nombre:  W32/Navidad@M
Tipo  : gusano de internet
infeccion: Outlook
   

Este es un gusano que se ha reportado que hay niveles serios de infeccion.

El gusano utiliza a Outlook para reproducirse, utilizando lo correos que usted reciba.. Eso siginifica que le llegara de una direccion de algun conocido, como un archivo adjunto (attachment) como respuesta a algun correo.

Al ser ejecutado ese archivo, desplegara una ventanta de dialogo que dice

 
   "error"
  "UI"
   

La proxima ves que se inicie la maquina, aparecera un icono de un ojo, junto al reloj en al parte inferior derecha de la pantalla.

Ademas el gusano salva un archivo llamado:

 
   winsvrc.vxd
  en el directorio de sistema de windows.
   

Ahora cada ves que reciba un mensaje el gusano lo respondera automaticamente con un correo infectado.

Localice y borre el archivo

 
    winsvrc.vxd
   

Y avise a sus amigos que pudieron haber recibido correos infectados

estos son un par de los falsos avisos que han estado circulando en estos dias.

Si recibe alguno destos avisos, siplemente borrelos y olvidese de ellos.

 
 VIRUS SIN CURA !!!
   

 
  PASEN LA INFORMACION A TODOS LOS QUE PUEDAN.
 SI RECIBEN UN E-MAIL TITULADO "UP-GRADE INTERNET2"
 NO LO  ABRAN, CONTIENE UN EJECUTABLE QUE SE LLAMA
 PERRIN. EXE. BORRA TODA LA INFORMACION DE DISCO DURO Y
 SE REFUGIA EN LA MEMORIA. CADA  VEZ QUE SE CARGUE LA
 INFORMACION EN EL DISCO DURO, LOS BORRARA DE NUEVO,
 DEJANDO INUTILIZABLE A LA COMPUTADORA ESTA INFORMACION
 FUE PUBLICADA AYER EN LA PAGINA WEB DE LA CNN.
 ESTE VIRUS ES MUY PELIGROSO.
 AUN NO EXISTE  ANTIVIRUS....
   

si han leido estos boletines, veran que este engaño es una revoltura de algunos viejos.

 
  Ojo, mucho ojo!!!!!!
 ATENCION !! ACHTUNG!!
 CAUTION!!

 recibes un e-mail titulado "Por favor ayuden a éste
 pobre perro y ganas una vacaciones"
  (En ingles o Español) , NO lo abras.
 Esto borrará todo en tu disco duro.
  Re-envía ésta carta a todas las
 personas que  puedas.
 Esta información fue anunciada el 18/02/2000 por
 MICROSOFT; por favor,
 comparte éste e-mail con aquellos
  que tengan acceso a Internet.
   

No existe ningun virus con ese nombre, y microsoft o acostrumba a hacer anuncios de virus, a menos que tengan que ver con alguna falla de seguridad.

Antes de reenviar cualquier tipo de aviso, hay que revisar las referencias que mencioné.