Prácticamente todos los boletines han estado dedicados a virus de Windows, pero ahora hablare de Linux y Mac.

Recientemente la prensa ha hablado mucho de una nueva variante del "famoso" virus Melissa y que ahora esta atacando a computadoras Mac.

Como muchas noticias sobre virus no es completamente exacta. El nuevo Melissa, es casi idéntico al Melissa original.

La razón por lo que los usuarios de Mac han sido infectados, es que Microsoft ha actualizado la versión de Outlook para Mac, para darle la misma funcionalidad de la versión de Windows, esto incluye la capacidad de ser infectado con virus como Melissa e IloveYou.

Nuevamente Microsoft hace la vida mas fácil... a los programadores de virus.

La otra novedad es un virus para Linux, el virus aprovecha una falla de seguridad en Linux, y al infectar, parcha esa falla, así que es una especie de virus antihackers...

Javier Delgado

PD. los invito a leer otro articulo que escribí para la revista Carmatek, esta ves sobre la privacidad.

  http://www.paralax.com.mx/antivirus/ar02-privacidad.htm 
    

---

• .i. Melissa W ahora también en Mac
• .ii.Linux.Ramen.Worm virus antihackers para Linux
• .iii. Navidad.exe, virus reparado.
• .iv. Lavinia, una nueva estrategia

---

 
  nombre Melissa W
Descubierto Enero 17 2001
Tipo gusano 
infección Macro de Word 97 y Utiliza Outlook
sistema : windows98, windows2000 y MacOS

  

Desde el 19 de enero, en Inglaterra, USP message labs comenzó a recibir muchos reportes de infección de una variante de Melissa entre los usuarios de la versión de Office para Mac. Esta variante es casi idéntica a la versión original de Melissa, por lo que la mayor parte de los programas Antivirus de Windows no deben tener problemas para eliminarlo. Pero es una novedad en le mundo de Mac. Los usuarios de Mac, han disfrutado Office 2000 desde hace un año, pero debido a que solo tienen Outlook espress que no soporta VisualBasicScript, Melissa no se podía reproducir en las Mac. Sin embargo en la MacExpo, de la semana pasada Microsoft libero una versión beta de Outlook, lo que aparentemente le abrió las puertas a Melissa.

 
  Importante Message From (nombre del usuario)
  Here is that document you asked for
  ... don't show anyone else ;-)
    

Melissa W funciona de manera idéntica al Melissa.A. se transmite a través de un documento de Word infectado. Cuando este documente es abierto, Word pregunta si se desea activar los macros. Si el Usuario responde que si, entonces el virus se activa. Lo primero que hace es desactivar ese aviso. Después enviar ordenes a Outlook, para que envíe una copia del documento infectado a los 50 primeras direcciones de la libreta de direcciones de Outlook, con el nombre del usuario. Además modifica el registro de Windows para que no lo vuelva a hacer. Y finalmente infecta todos los documentos de Word que sean abiertos, introduciéndoles un nuevo macro de VBS llamado Melissa. Esta variante de Melissa tiene además otra carga. Una ves cada hora, si un documento infectado es abierto o cerrado, el virus inserta el siguiente texto en el documento.

 
   triple-word-score, 
 plus fifty points for using all my
  letters. 
 Game's over. I'm outta here.

  

Es posible eliminar el virus de manera manual, pero si hay muchos documentos infectados, es mas sencillo con un buen Antivirus. Primero hay que salirse de Word, localizar y borrar el archivo normal.dot (que es donde se guarda el formato por default de Word, y ahí es donde se esconde el virus.) Después hay que activar el menú de protección de virus, que fue desactivado por el virus. Después hay que leer los documentos mas recientes y decirle que no cuando pregunte si se desea activar los macros (si dice que si, se volverá a infectar). Después hay que salvar el documento en formato RTF y borrar el documento original. Esto debe hacerse con todos los documentos.

nombre: Linux.Ramen.Worm sistema: Linux tipo: gusano. descubierto: Enero 17, 2001

Este es un gusano que ataca los sistemas que corren Linux RedHat 6,2 o 7.0 . Este gusano no funciona bajo Windows. El gusano se copia a computadoras que corren bajo Linux, aprovechando una falla de seguridad, parcha esa fallas, avisa a una dirección de Internet (probablemente el correo del autor del gusano) y finalmente, como la mayor parte de las maquinas Linux, se usan para alojar paginas en Internet. Pone un anuncio en la pagina principal de Internet, un aviso de que el sitio a sido hackeado.

El gusano ejecuta un script llamado start.sh, al hacerlo genera una serie de direcciones de Internet al azar, averigua si son servidores que estén corriendo Linux, y trata de copiarse a esas direcciones. Una ves copiado ordena a la maquina a ejecutar el script. Para esto crea un servicio http que corre en el port 27374 y sube un paquete tar.gz. De esta manera el gusano se esparce por si solo, sin necesidad de que el usuario intervenga. Una ves ejecutado, parcha la orden que hizo que fuera posible ejecutar el gusano de manera remota, de manera que ningún otro virus o hacker pueda volver a usar este método. Modifica el archivo index.html con el siguiente mensaje: Hackers looooooooooooooooove noodles.(tm) This site powered by Eliminación y protección hay que eliminar el script mencionado y en el sitio de RedHat hay que bajar los parches del sistema.

http://www.redhat.com/support/errata/rh7-errata-security.html

http://www.redhat.com/support/errata/rh62-errata-security.html

En diciembre salió el virus llamado Navidad.exe, este virus causaba daños debido a que su programador cometió un error que provocaba que se alterara el registro de Windows. Recientemente apareció una nueva versión de este virus, con esa falla corregida. Por lo que ahora el virus es inocuo. Ojalá eso se hiciera con todos los virus....

nombre: VBS.Davinia tipo Gusano Infeccion Word2000, Outlook Descubierto 13 enero 2001.

Este es un gusano que se distribuye a través del correo electrónico, enviando una pagina HTML. La pagina no contiene el virus, sino las intrucciones para bajar un documento de word2000 que contiene el gusano como un macro. Cuando este documento es abierto, se crea un script VBS en el sistema y utiliza a Outlook para enviar el gusano a todas las direcciones en la libreta de direcciones de Outlook. La próxima ves que se ejecuta la maquina, trata de localizar todos los archivos en los directorios locales y mapeados, después de eso les cambia el nombre y los sobreescribe, por lo que puede corromper todos sus datos. Este gusano no funcionara si se actualizado los parches de seguridad de Windows, en especial el referente a un agujero de seguridad

Actualmente el sitio de Internet que trata de accesar el gusano, ya no existe, por lo que este gusano se puede volver muy inestable. Es importante estar al dia en las actualizaciones de Windows.