En primer lugar una disculpa por este largo intermedio entre el último boletín, pero debido a un robo, perdí la mayor parte de mis archivos, y aun estoy reconstruyendo mi base de datos.

En este tiempo las únicas novedades han sido, el virus de Jeniffer López, que afortunadamente no tuvo mucho éxito, ya sea porque las noticias del virus de Kournikova han hecho a todos mas precavidos, o porque a nadie le interesan las fotos de Jenifer López desnuda…

Entre las amenazas mas reales, siguen estando el virus Hibris y el virus Magister, ambos siguen propagándose y hay que extremar las precauciones. También el virus Homepage sigue activo (al parecer el tema pornográfico ayuda mucho a la propagación de un virus). Y el virus Badtrans esta regresando. Todos ellos ya los mencione en boletines anteriores.

Entre los virus nuevos, un virus que anuncia fotos de la cantante oriental Jolin, ha sido muy publicitado, pero el virus no funciona, así que no hay de que preocuparse. Amenazas mas serias son un nuevo caballo de Troya "Bionet" que crea una puerta trasera en el sistema que permite a intrusos entrar a nuestros sistemas.

• .ii. W97M.Smac.Gen, otro virus de macro.
• ii. Bionet. La puerta trasera.

---

 Nombre: W97M.Smac.Gen  
Descubierto: julio 2, 2001-07-09  
Tipo: Virus de macro de Word  
Infecta: virus de Macro y la plantilla global normal.dot          

Este es un virus de macro que infecta a los archivos de Word, la mayoría de los virus actuales son de este tipo. Cuando un documento de Word infectado es abierto o cerrado, el virus es activado.

El virus utiliza un archivo temporal C:\Bdoc2.txt para ayudar a copiarse en los documentos activos y dentro de la plantilla global Normal.dot. Además el virus despliega un mensaje el día 13 de cada mes y otro mensaje el día 2 de septiembre. El virus no casa daño.

Cuando se abre un documento infectado con un virus de macro, Word pregunta si se desean cargar macros, Siempre hay que decir que no a esta pregunta, a menos que sepa que el documento SI tiene macros conocidos. Una ves que los virus han infectado, lo primero que hacen es desactivar este anuncio. Por otra parte al infectar el archivo Normal.dot se asegura que todos los archivos nuevos estén infectados.

Los virus macro se pueden eliminar manualmente leyendo y salvando los documentos en el formato .rtf, que no tiene macros. Después se cierra Word y se borran los documentos originales, borrando también todas las copias que existan del archivo normal.dot (Word crea una copia nueva después).

Sin embargo es mas sencillo pedir a un programa antivirus actualizado que haga el trabajo. Una sugerencia para evitar los virus macro, es utilizar el formato rtf para todos los documentos que se envíen por correo electrónico o que se entreguen y reciban de otras personas.

 
Descubierto: Julio 4, 2001
Tipo : Caballo de Troya.
Carga: Instala una puerta trasera

resumen

Es un caballo de Troya que introduce una puerta trasera al sistema, que funciona de manera similar a SubSeven, Netbus, y BackOrifice permitiendo acceso no autorizado y de manera remota a una computadora infectada.

Descripción

Propiamente no es un virus, puesto que no se reproduce solo, es un archivo ejecutable que generalmente es enviado directamente nosotros, con el fin de infectar.

Al ser ejecutado instala de manera oculta lo que se conoce como una puerta trasera, y que consiste en un programa que esta a la espera de ordenes de quien envío el correo, para obtener acceso no autorizado a la computadora infectada.

El troyano realiza las siguientes acciones:

1. se instala como un programa de baja prioridad para que su presencia no sea notada incluso en computadoras lentas (muchos programas de puerta trasera se delatan al consumir muchos recursos de la maquina)

2. Se inscribe en el registro como un servicio, para no aparecen en la lista de tareas de Windows.

3. Se copia a si mismo como \Windows\System\Procmon.exe

4. Para iniciarse automáticamente crea la entrada en el registro de Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run procmon \Windows\System\procmon.exe

5. Envía un mensaje vía ICQ al autor del caballo de Troya (o a quien envío el virus) para informarle que la computadora infectada esta lista para administración remota

6. Comienza a aceptar y ejecutar las ordenes remotas que se le envía a través de un programa cliente y que recibe a través de un puerto configurable. De esta manera el "administrador remoto" tiene acceso a todos los archivos de la computadora infectada. Puede subir y bajar archivos y programas, cambiar el registro de Windows y ejecutar cualquier programa que desee.

Eliminación:

El proceso de eliminación consta de dos partes:

a. Eliminar los archivos infectados. Para esto necesita un antivirus actualizado que sea capas de detectarlos, sin embargo puede que no sea capas de eliminarlos o repararlos a menos que su computadora este corriendo en modo seguro. Para esto debe reiniciar su computadora y durante el arranque oprimir la tecla f8, con lo que aparece un menu, de donde se selecciona "modo a prueba de fallos" y procesa a ejecutar su antivirus de nuevo.

b. Eliminar los cambios del registro de Windows. Esto solo debe hacerlo personas que estén familiarizadas con el registro, pues un error puede causar efectos no deseados en su maquina. Se deben eliminar las líneas que se describieron en la sección anterior. Si tiene Windows 2000 o NT, antes de estos pasos debe ir al "Task manager" y detener el proceso indicado como "Procmon.exe"

 

Atte. Javier Delgado Paralax
Multimedia www.paralax.com.mx