Este es el primer Boletin del 2001 y con el cumplimos mas de año y medio con información que esperamos les sea útil.

A pesar del largo intermedio entre el ultimo boletin, no ha habido ninguna amenaza seria que reportar.

Asi que incluyo algunos virus que me parecen interezantes, pero si tienen su software al dia y practican computacion segura no deberan tener ningun problema.

Durante el año pasado, tambien escribi para la revista Karmatek, que desgraciadamente no sobrevivio el año, asi que incluire en la pagina de virus algunos articulos que se quedaron en el tintero, de entrada les recomiendo:

http://www.paralax.com.mx/antivirus/censura.htm

Y gracias por seguir con nosotros.

Feliz año nuevo

 Javier Delgado
  

---

• i. Confusion entre antivirus.
• ii. Forgoten, un virus HTML
• iii. W95.Hybris.gen, "el enano porno"
• iv. El engaño del Picachu

---

Uno de los principales programas antivirus de los ultimos años a sido AVP Pro, desarrollado por Kaspery Labs en la Union Sovietica.

Su pagina es WWW.AVP.RU y se ha manejado con distrubuidores en EU, España y Mexico.

Sin embargo, la direccion www.AVP.com es propiedad de "Central Commands" ex distribuidor de Kaspery Labs.

Esta compañia esta distribuyendo ahora un antivirus de nombre similar llamado AVX pro, elaborado por una compañia de Rumania.

Esta compañia recomienda a sus visitantes y clienes a actualizarse a AVX, sin advertir que es un antivirus distinto del AVP.

Si tiene el software de AVP, es importante evitar confusiones.

 nombre     : VBS.Forgotten.A@mm
tipo       : gusano (worm) en Visual Basic Script
infeccion  : Outlook. Mirc y Pirch
descubierto: 13 diciembre 2000
  

Este es un gusano que no llega como un archivo adjunto, sino como un correo HTML, por lo que se activa al leer el correo. Afortunadamente el sistema pregunta al usuario si se desea activar "ActiveX", para que pueda ser ejecutado.

ActiveX son controles de Windows que el gusano necesita usar para tener acceso al sistema, pero si usted tiene el nivel de seguridad de internet en un valor medio (default), Windows requiere que se confirme que se le da permiso al gusano de utulizarlo.

Sin embargo, dado que es un aviso que la mayor parte de los usuarion no a visto, es muy probable que permitan que se active.

Si usted a bajado el nivel de seguridad, el gusano se activara por si solo.

Con windows 98 se incluyo los que se llama "Windows Scripting Host" que permite que las paginas de internet y los correos html incluyan progranas que se activan al ver el documento.

Normalmente la seguridad de Windows debe impedir que estos programas tengan acceso al resto de la computadora, pero los hackers han descubierto varias fallas de seguridad que permiten escribir virus y gusanos html.

Hasta ahora, todos estos han sido bastante benignos. En este caso VBS.Forgotten solo borra los archivos.VBS y .VBE que no son usados por la mayoria de los usuarios.

Por ello se recomienda desinstar el "Windows Scripting Host" como una medida de seguridad.

El VBS.Forgotten.A@mm llega en un correo con el nombre de

 RE: Financing
  

Al ser activado se copia al directorio de Windows con el nombre:

 vb1.com.vbs.
  

Porteriormente busca si el usuario tiene instalado Mirc, para modificar su archivo .ini, de tal manera que se pueda distribuir a travez de Mirc cuando se conecte.

Con el mismo objeto busca si esta instalado Pirch.

Envia un solo correo de Outlook, pero en la opcion de copia oculta (BCC), envia una copia a todos los correos en su libreta de direcciones de Outlook.

Busca todos los archivos .vbs y .vbe y los sobreescribe con una copia del gusano.

Modifica el registro de windows para que se ejecute cada vez que se enciende la computadora.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Vb1

ademas crea otra entrada en el registro:

HKEY_CURRENT_USER\Software\(ANSWER)

para ver si ha logrado infectar a otros usaurios.

Localice y borre todas las copias de

   vb1.com.vbs.
  

Elimine la entrada del registro:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  

  Nombre: W95.Hybris.gen
 Tipo:   Gusano
 descubierto: Septiembre 25, 2000
  

Este virus fue descrito en el boletin 31, pero han aparecido nuevos brotes, recientemente hubo una distribucion masiva de este virus a traves proveniente de owner-spanishring@listacorreo.com

Este virus cambia de nombre al azar, pero generalmente incluye el texto

   "blanca nieves y los 7 enanos",
  

Y puede tener alguno de estos nombres:

 
  Privacy Policy
  anpo porn.scr
  atchim.exe
  branca de neve.scr
  dunga.scr
  dwarf4you.exe
  enano porno.exe
  joke.exe
  midgets.scr
  sexy virgin.scr
  holehole.exe 

Debido a que este virus tiene la posibilidad de conectarse a internet para actualizarse, es posible que haya tenga nuevos nombres.

Para mas detalles consultar el Boletin 31

Symantec tieene una herramienta para eliminar la infeccion, la peudes encontrar en:

http://www.symantec.com/avcenter/venc/data/w32.hybrisf.fix.html

Si han recibido un correo que dice algo asi como:

 CUIDADO!!!!!!

AYER LA EMPRESA SYMANTEC, CREADORA DEL
NORTON ANTIVIRUS, PUBLICO EN EL NEW YORK
TIMES UNA NOTA EN LA QUE MENCIONABAN UN
NUEVO VIRUS QUE ES MUY RECIENTE Y NO
TIENE CURA. EL VIRUS LLEGA EN UN E-MAIL
CON UN TITULO QUE DICE: A GREAT GAME FOR
YOUR CHILDREN. EL MAIL TIENE UN ADJUNTO
LLAMADO: PIKACHUS BALL.EXE AL ABRIR EL
ARCHIVO, APARECE UNA ANIMACION DE PIKACHU
EL PERSONAJE PRINCIPAL DE POKEMON, LA
ANIMACION ES MUY GRACIOSA, MUESTRA A
PIKACHU REALIZANDO TODA SUERTE DE GRACIAS,
PERO MIENTRAS TANTO
  

No se preocupen, no hay ningun virus con esas caracteristicas, basta con checar la pagina de Norton Antivirus: http://www.symantec.com/ para confirmarlo.

El que si existe es: W32.Pokey.Worm

 Nombre      : W32.Pokey.Worm
tipo        :  gusano
 alias      :  Pokemon, I-Worm.Pikachu, Pokey.bat, Pokey
Infeccion   : Outlook
descubieeto : junio 28 2000
  

Este es un gusano, no un virus, se propaga como un archivo adjunto en el email. Llega en un correo con el nombre de:

   Pikachu Pokemon
  

EL mensaje del correo es:

 Great Friend!
Pikachu from Pokemon Theme have some friendly words to say.
Visit Pikachu at http://www.pikachu.com
See you.
  

Incluye un archivo adjunto llamado:

   pikachupokemon.exe
  

Al ser activado muestra esta animacion:

y entre tanto envia copias del gusano a todas las direcciones de la libreta de Outlook.

Ademas modifica el archivo Autoexec.bat para que borre el contenido del directorio de windows la proxima ves que encienda su maquina.

Si recibe y activa este gusano, necesita restaurar el archivo autoexec.bat ANTES de apagar su maquina.

Si no lo hace, al arrancar la maquina perdera parte del sistema operativo y necesitara reinstalar windows.

Debe borrar localizar y borrar el archivo pikachupokemon.exe

Este gusano no infecta ningun archivo.

  MENSAJE ENVIADO POR EL DEPTO DE INFORMATICA DE LA DGMME
 Fue descubierto un nuevo virus llamado DANA.
 Se esta distribuyendo via
 e-mail con asunto "APRENDA A AMAR".
 Las principales empresas productoras de antivirus
(McAfee, Norton, etc.) han
 confirmado que destruye el disco
 duro en segundos y aun... NO TIENE VACUNA.
  

Ningun virus destruye el disco duro, pueden formatearlo pero no destruirlo, es este tono alarmista el que delata a los falsos avisos

Es importante nunca difundir los avisos sobre virus sin antes haberlos confirmado.

Desgraciadamente la mayor parte de estos avisos son falsos y lejos de ayudar solo crean confusion e incluso pueden usarse para enviar virus.