Publicidad Viral y Ciberguerra

Hace algun tiempo algunas agencias de publicidad estuvieron jugando con la idea de publicidad viral. Es decir virus con publicidad de compañias y que se multiplicara solos, pero debido que que asumieron que podria causar problemas de imagen, nadie llego a realizarlos.

Sin embargo ya aparecio el primer virus con publicidad, y de compañias a las que no les intereza mucho su imagen pues su negocio es la pornografia.

El virus es un gusano conocido como Homepage, que activa explorer para que automaticamente se dirija a alguna de 4 paginas pornograficas. y como ya anticipamos, los autores del virus dicen que lo hicieron por envidia de la fama que recibio el autor del virus Kournicova.

Al menos el autor del virus Kournicova expreso arrepentimiento...

Por otra parte, la Ciber guerra entre china y EU no paso a mayores. Las bajas, si se puede hablar de esto, fueron sitios "hackeados" es decir sitios en que las paginas son alteradas o substituidas, el equivalente electronico de pintar con spray una pared.

Algunos sitios como el servidor de la Casa Blanca, fueron sacados de la red por medio de ataques DOS, sin embargo estos ataques son tan faciles de hacer que usualmente ningun hacker que se respete acepta realizar alguno.

Ninguna red fue dañada, aparentemente no hubo robos de datos, ni irrupciones maliciosas. Incluso algunos expertos aseguran que la guerra solo fue solo un fenomeno de medios. Aparentemente los hackers perdieron pronto el interes y se dedicaron a hacer su trabajo, es decir a mantener internet funcionando.

• .i. VBS.VBSWG2.X@mm, Homepage, publicidad viral
• .ii. VBS.Dedicated.D@mm , un gusano luciferiano.
• .iii VBS.Over.Trojan, caballo de troya dentro de una pagina html

 
  Nombre: VBS.VBSWG2.X@mm,
tipo: gusano VBS (Visual Basic Script)
daño: ninguno
carga: presenta paginas de pornografia
   

Este es un gusano que se esta esparciendo rapidamente, tal ves debido al contenido.

Este es un gusano escript en VisualBasicScript y que usa una falla de seguridad ya conocida para enviarse a todas las direcciones de correo que esten en la libreta de direcciones de Outlook. Tambien tiene una carga, que al activarse abre al azar su browser en una de 4 sitios poronograficos.

Gusano / virus llega en un correo con los sig datos:

 
  Homepage
   

 
  Hi!
You've got to see this page! It's really cool ;O)
   

 
  Homepage.HTML.vbs
   

Debido a que la mayor parte de las computadoras tiene la opcion de ocultar extensiones, el archivo adjunto parece que se llama

 
  Homepage.HTML
   

Pero es importante notar que el icono no corresponde al de una pagina html.

cuando el usuario pica lo que parece unlink, el virus se activa, abre una pagina pornografica, toma todos las direcciones de correos de su tarjeta y les envia una copia del archivo infectado, ademas modifica el registro de window con la entrada:

 
  HKEY_CURRENT_USER\Software\An\mailed
   

De manera que no vuelva a enviar correos si el virus se activa de nuevo.

Finalmente borra el correo (o correos) en los que llego.

Este virus no contiene ninguna carga destructiva, y no infecta ningun archivo (por eso se le clasifica como gusano).

El gusano se elimina automaticamente despues de enviar los correos con una copia del mismo.

 
  Nombre : VBS.Dedicated.D@mm
descubierto: Mayo 7, 2001
Tipo       : gusano vbs
alias      : VBS.LoveLetter@MM, IRC-Worm.Mill.d
infeccion  : Outlook, IRC
   

Este es un gusano escrito en VBS, se esparce a traves de Outlook e IRC, crea muchos archivos en al computadora.

El gusano llega en un correo con los sugientes datos:

 
  Lucifer will soon ...
   

 
  thou shall give thy ...
   

 
  Grand.Beast.vbs
   

Cuando el usuario pica y activa el archivo, el gusano realiza una serie compleja de acciones:

1. Se copia dentro de el directorio c:\windows\start Menu\Programs\StartUp para ejecutarse automaticamente cada ves que se prende la maquina.

2. Se copia con el nombre de Grand.Beast.vbs dentro del directorio de windows\system

3. Hace 50 copias numeradas de si mismo en el directorio: \Windows\System\Lucifer VBS.Dedicated.D@mm 4. El gusano VBS.Dedicated.D@mm envia un correo a todas las direcciones dentro de la libreta de outlook.

5. Finalmente.. Crea un archivo Script.ini dentro del directorio c:\Mirc para poder esparcerse utilizando Mirc.

Busque los archivos Gand.Beast.vbs y borrelos. Elimine el dircetorio VBS.Dedicated.D@mm Elimine el archivo Script.ini dentro del directorio de Mirc. Busque todos los archivos con el nombre Lucifer* y borrelos.

Este virus parece que no contiene ninguna carga dañina.

 
  nombre: VBS.Over.Trojan
infeccion: html
descubierto 8 mayo 2001
tipo     :caballo de troya, html
   

Este es un caballo de troya, que viene escondido dentro de una pagina html, esta escrito en VBS. Cuando la pagina infectada es abierta dentro de explorer o Outlook, el caballo de troya es ejecutado y sobreescribe varios archivos del sistema

Cuando el usuario despliega una pagina de internet infectada a traves de Interenet Explorer, normalmente debe aparecer una advertencia que que el contenido de la pagina no es seguro, y con la recomendacion de no ejecutarla.

Si el usuario permite que se continue el caballo de troya se activa y realiza una serie de acciones:

sobrescribe los siguiente archivos:

 
  Win.com
Win.ini
System.ini
User.exe
Rundll.exe
Rundll32.exe
Emm386.exe
Ios.ini
Explorer.exe
   

Ademas trata de reescribir el archivo

 
  C:\Command.com
   

Conesto la maquina puede quedar inutilizada, pero el caballo de troya no infecta ningun archivo,

La solucion consiste en restaurar los archivos dajnados o realizar un resintalacion de windows.

Este no es un virus o un gusano, no se reproduce solo, es resultado de un acto malicioso, en que una hoja infectada es enviada, o se encuentra dentro de un sitio de internet.

ya habiamos advertido de esta posibilidad en el boletin 12

http:www.paralax.com.mx/antivirus/boletin12.htm

Le mejor defensa hacerle caso a los avisos del sistema, o desactivar el Windows Scriptin Host para evitar estos problemas.