 |
Boletín Antivirus 35/ 2 Febrero 2001 |
Editorial |
Javier DelgadoEl virus Hybris del que ya hable en dos boletines (boletin 31) anteriores se sigue esparciendo sobre todo en latinoamerica.
A pesar de que el virus no causa daño, en algunos casos solo instala un molesto "salva pantallas", los expertos se estan empezando a preocupar dado que es uno de los virus mas elaborados y complejos que se han desarrollado y el autor puede hacer que el virus se actualice en cualquier momento.
El virus parece venir de Hahaha "hahaha@sexyfun.net" que es una direccion falsa, si es posible pidan a su administrador de servicios que bloquee esta direccion.
Despues de que comensaron a aparecer los mensjes, los adminstradores de una empresa notaron que la direccion no existia asi que crearon el sitio de internet www.sexyfun.net para poder auxiliar a luchar contra este virus.
Recuerden, los virus viene en los archivos adjuntos ("attachments"). nunca hay que picarles y activarlos a menos que se sepa primero quien lo envio y que contiene.
nota Symantec tiene una programa gratuito para remover la infeccion, lo puedes encontrar en:
http://www.symantec.com/avcenter/venc/data/w32.hybrisf.fix.html
CONTENIDO |
i. Hybris |
Discusion:nombre: Hybris tipo :gusano sistema : windows 95, 98, 2000
La infeccion con el gusano Hybris a estado aumentado especialmente a traves de Latinoamerica.PrecaucionesBasicamente el gusano es semejante a otros como Mtx y Happy99, en que infecta libreria wsock32.dll, que se encarga de manejar las conecciones de internet de las maquinas, interceptando los correos y enviando copias infectadas.
El virus se ha estado distribuyendo por correo electronico, pero se han recibido reportes de que tambien se esta distribuyendo por ICQ.
Ademas se han detectado envios masivos (probablemnte del autor) a traves de listas de interes y webrings.
El mensaje mas comun es:
From: Hahaha "hahaha@sexyfun.net" Subject: Enanito si, pero con que pedazo! Faltaba apenas un dia para su aniversario de de 18 años. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una grande sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...Pero ademas tiene otras caracteristicas, este virus es modular y baja los modulos de internet segun los necesite.Se han detectado hasta 32 componentes distintos y estan encriptados con un una clave de criptografia, que esta clasificada como nivel tipo militar, por lo que es dificil estudiarlos.
Hasta ahora todos los plu-gins o componentes ha sido inocuos, pero les preocupa a los expertos que el autor del virus pueda cambiar la funcionalidad del virus practicamente en cualquier momento.
El jefe de KasperyLabs comento Este es tal ves el mas complejo y refinado codigo en la historia de los virus
El virus cambia de nombre y tambien el cuerpo del mensaje es distinto.
vea en : http://www.paralax.com.mx/antivirus/boletin31.htm algunos de los nombres mas comunes.
El virus hasta ahora es bastante facil de eliminar y la mayor parte de los programas antivirus lo puede detectar, pero en cualquie momento el virus puede ser alterado.
Las precauciones son las mismas que para todos los virus, pero es importante recalcarlos.
Casi todos los virus llegan en un archivo adjunto o "attachment" en el correo.
Si no sabe exactamente que contiene o quien se lo envio, nunca habra un archivo adjunto.
ii. W98.Universe.Worm |
Discusion:
nombre: W98.Universe.Worm tipo : Gusano /encriptado sistema: windows 98
Funcionamiento:Este es un virus que parece que tomo elementos de el gusano hybris, ademas se anuncia a si mismo como escrito por Benny/29A, que es el nick de un conocido autor de virus.
El gusano tiene algunas fallas y actualmente es de bajo riesgo, pero al igual que hibris puede actualizarse y servir de de modelo para otros virus
CorreoEl gusano llega en un correo que simula que es un aviso de Symantec, f-secure y Microsoft.
El mensaje es el siguiente.
Dear user F-Secure, Symantec and Microsoft, top leaders in IT technologies have discovered one very dangerous Internet worm called I-Worm.Universe in the wild. Author of this viral program is well known hacker from Europe under "Benny" nickname from 29A virus writting group. Universe is fast-spreading worm that already destroyed computer systems in FBI and Microsoft. It is heavilly encrypted and very complex. It consists from many independed parts called "modules", which are very variable - every second hour is producted one new module, that completelly changes behaviour of worm, including anti-detection tricks. You should check your system by our anti-virus attached to this mail. All reports please send to our mail address: universe@microsoft.com and/or universe@f-secure.com Have a nice day, F-Secure, Symantec and Microsoft, top leaders in IT technologies.El virus viene adjunto como un archivo :
Uniclean.zipEste es el virus, pero es un archivo .exe.
Por default ni w95 y w98 ejecutan los archivos zip, pero en algunos sistemas si es ejecutado.
El virus hasta ahora parece ser un prueba y es ejecutado enpocos sistemas.
Una ves que es activado, el viruss ecopua al disctororio de windows/system como:
Msvbvm60.exe(en muchas maquinas existe una archivo de sistema que se llama Msvbvm60.dll
Despues de esto , si existe coneccion de internet se conecta a un sitio de internet y procede a bajar varios componentes o "plug-ins" que vienen encriptados, por lo que es muy dificil saber que contienen.
Actualmente el virus baja 5 plug-ins:
Busca las direcciones de correo que se encuentren en las paginas que ha visitado con Explorer y le envia una copia del virus. Esta es una tecnica nueva de conseguir direcciones.Retroalimencacion
Envia un correo al autor del virus benny_29a@hushmail.com para indicarle que computadora ha infectado.Carga
Baja una imagen JPG llamada universe y7 la instala como fondo de windows ademas cambia la pagina de default de explorer a: http://www.therainforestsite.com.Mirc
Si Mirc esta instalado, trata de usarlo para infectar a otros usuarios.RAR
Busca infectar los archivos RAR.Eliminacion
busque y elimine los archivos
Msvbvm60.exe Msvbvm60a.dll Msvbvm60b.dll Msvbvm60c.dll Msvbvm60d.dll Msvbvm60e.dllimportante cuide de no borrar :
Msvbvm60x.dll que es una archivo del sistema.
atte. Javier Delgado |