El virus MyDoom.A y sus variantes MiMail/Novarg se ha convertido ya en el mas extendido del mundo y se ha etiquetado con una muy alta peligrosidad. Seguro que a mas de uno le habran llegado mails infectados con el.
Podeis encontrar mucha informacion en la pagina de Panda, asi como herramientas para eliminarlo.
http://www.pandasoftware.es/virus_info/ ... irus=44140
En general, no abrais correos extraños (que suelen ser muy sospechosos) y si lo habeis abierto ya, NO EJECUTEIS ARCHIVOS QUE VENGAN ADJUNTOS. Tambien se recomienda que en el Explorador de Windows se desactive la opcion de 'Ocultar extensiones para tipos de archivos conocidos' pues es facilisimo que ejecutes un 'foto.jpg' creyendo que es un jpg, cuando en realidad es 'foto.jpg.exe' porque Windows oculta la ultima extension, y ya te han colado el mono. Segun la variante del virus, puede que se abra el bloc de notas y aparezcan caracteres raros, sintoma de la infeccion.
Actualizar los antivirus para que puedan reconocerlo nada mas entrar en la bandeja del correo. Tampoco respondais a estos correos nunca.
Puede extenderse tambien a traves de redes p2p como edonkey y kazaa, ojo con lo que descargais (sobre todo si son .exe .com o .bat).
Seguro que Cazador puede daros algun consejo mas.
Un saludo
Ojito con el nuevo virus MyDoom/Mimail
Moderador: MODERACION
-
Invitado
-
Cazador
- Stabsoberbootsmann
- Mensajes: 643
- Registrado: 31 Oct 2000 01:00
- Ubicación: León/ESPAÑA
- Contactar:
Lo he leido ayer y lo único que se me ocurre que ya has dicho tú es...no ejecutar ningún .exe ni archivos adjuntos que no estemos seguros de conocer..... 
EDITADO-----------
Acabo de pasar por la page de Hispasec, esto es lo que he encontrado:Detectada a última hora del lunes 26 un nuevo gusano que se distribuye
de forma masiva a través del correo electrónico y que ha irrumpido en
Internet con mucha fuerza, a juzgar por el número de mensajes
infectados que circulan desde sus primeras horas de vida. En el
momento que escribimos esta noticia algunas casas antivirus ya alertan
sobre el gusano, bautizándolo como Novarg, Mydoom o Mimail.R, entre
otros nombres, si bien la inmensa mayoría aun no han distribuido la
actualización correspondiente para proteger a sus usuarios.
El nuevo gusano, que tiene un tamaño de 22.528 bytes, se distribuye
vía correo electrónico a través de archivos adjuntos con la extensión
.BAT, .CMD, .EXE, .PIF, .SCR y .ZIP, y con su icono en Windows simula
ser un archivo de texto.
El formato del mensaje en el que viaja es variable, la dirección de
remite es falseada, el asunto es variable, habiéndose detectado los
siguientes textos:
- "Error"
- "Status"
- "Server Report"
- "Mail Transaction Failed"
- "Mail Delivery System"
- "hello"
- "hi"
Como cuerpo del e-mail se han podido confirmar los siguientes textos:
- "The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment".
- "The message contains Unicode characters and has been sent as a
binary attachment."
- "Mail transaction failed. Partial message is available."
- "test"
Cuando se ejecuta en un sistema crea los siguientes archivos:
- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system)
de Windows
El archivo "Message" lo crea con caracteres al azar, y muestra su
contenido con el bloc de notas. Con este efecto el gusano intenta
engañar al usuario, para que crea que el archivo adjunto en el
e-mail que ha ejecutado era sólo texto sin sentido, cuando en
realidad ha activado el gusano y da comienzo su rutina de infección
y propagación.
Añade las siguientes entradas en el registro de Windows para
asegurarse su ejecución en cada inicio del sistema:
- HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
También intenta reproducirse a través de redes P2P copiándose
en la carpeta de archivos compartidos de Kazaa con las extensiones
.PIF, .SCR .BAT y los siguientes nombres:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Por último se ha detectado que el gusano abre el puerto TCP 3127
en los sistemas infectados, lo que podría sugerir funcionalidades
de puerta trasera.
En el momento de redactar esta nota, sólo TrendMicro reconocía el
gusano desde últimas horas del lunes 26 como "WORM_MIMAIL.R",
NOD32 lo hacía durante las primeras horas de la madrugada del ya
martes 27 como "Win32/Mydoom.A", seguido a los pocos minutos por
Antigen como "MyDoom.A@m".
Symantec tiene publicada la alerta en su web como categoría 4 (en
una escala de 1 a 5), y Network Associates (McAfee) define la
alerta como "High-Outbreak", si bien ambas aun están analizando el
gusano y no han proporcionado la actualización oficial a los
usuarios de sus antivirus. En el caso de McAfee sí dispone ya de
una firma adicional (Extra DAT) para actualizar a demanda.
Igualmente no reconocen aun el nuevo gusano las soluciones
InoculateIT, Kaspersky, Panda y Sophos.
Un saludo
EDITADO-----------
Acabo de pasar por la page de Hispasec, esto es lo que he encontrado:Detectada a última hora del lunes 26 un nuevo gusano que se distribuye
de forma masiva a través del correo electrónico y que ha irrumpido en
Internet con mucha fuerza, a juzgar por el número de mensajes
infectados que circulan desde sus primeras horas de vida. En el
momento que escribimos esta noticia algunas casas antivirus ya alertan
sobre el gusano, bautizándolo como Novarg, Mydoom o Mimail.R, entre
otros nombres, si bien la inmensa mayoría aun no han distribuido la
actualización correspondiente para proteger a sus usuarios.
El nuevo gusano, que tiene un tamaño de 22.528 bytes, se distribuye
vía correo electrónico a través de archivos adjuntos con la extensión
.BAT, .CMD, .EXE, .PIF, .SCR y .ZIP, y con su icono en Windows simula
ser un archivo de texto.
El formato del mensaje en el que viaja es variable, la dirección de
remite es falseada, el asunto es variable, habiéndose detectado los
siguientes textos:
- "Error"
- "Status"
- "Server Report"
- "Mail Transaction Failed"
- "Mail Delivery System"
- "hello"
- "hi"
Como cuerpo del e-mail se han podido confirmar los siguientes textos:
- "The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment".
- "The message contains Unicode characters and has been sent as a
binary attachment."
- "Mail transaction failed. Partial message is available."
- "test"
Cuando se ejecuta en un sistema crea los siguientes archivos:
- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system)
de Windows
El archivo "Message" lo crea con caracteres al azar, y muestra su
contenido con el bloc de notas. Con este efecto el gusano intenta
engañar al usuario, para que crea que el archivo adjunto en el
e-mail que ha ejecutado era sólo texto sin sentido, cuando en
realidad ha activado el gusano y da comienzo su rutina de infección
y propagación.
Añade las siguientes entradas en el registro de Windows para
asegurarse su ejecución en cada inicio del sistema:
- HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
También intenta reproducirse a través de redes P2P copiándose
en la carpeta de archivos compartidos de Kazaa con las extensiones
.PIF, .SCR .BAT y los siguientes nombres:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Por último se ha detectado que el gusano abre el puerto TCP 3127
en los sistemas infectados, lo que podría sugerir funcionalidades
de puerta trasera.
En el momento de redactar esta nota, sólo TrendMicro reconocía el
gusano desde últimas horas del lunes 26 como "WORM_MIMAIL.R",
NOD32 lo hacía durante las primeras horas de la madrugada del ya
martes 27 como "Win32/Mydoom.A", seguido a los pocos minutos por
Antigen como "MyDoom.A@m".
Symantec tiene publicada la alerta en su web como categoría 4 (en
una escala de 1 a 5), y Network Associates (McAfee) define la
alerta como "High-Outbreak", si bien ambas aun están analizando el
gusano y no han proporcionado la actualización oficial a los
usuarios de sus antivirus. En el caso de McAfee sí dispone ya de
una firma adicional (Extra DAT) para actualizar a demanda.
Igualmente no reconocen aun el nuevo gusano las soluciones
InoculateIT, Kaspersky, Panda y Sophos.
Un saludo
Comandante del U-111
Y PARA LOS PARANOICOS... EL LIMPIADOR DE SYMANTEC:
http://securityresponse.symantec.com/av ... Novarg.exe
Como decía mi abuelo: "si puedes echar 2...mejor que echar uno".
http://securityresponse.symantec.com/av ... Novarg.exe
Como decía mi abuelo: "si puedes echar 2...mejor que echar uno".
J.P. Mancuso
-
Invitado
Hola... STOP... habla el abogado del diablo...STOP...
Los virus antes mencionados NO AFECTAN a vuestros ordenadores, puesto que lo unicoque hacen es dejar un agujero para que alguien se cuele posteriormente. Pero LOS USUARIOS NORMALES tenemos cosas NORMALES en nuestros ordenadores, y por tanto, estamos fuera de los 'target' que tienen los inventores del virus.
El objetivo es una compañia que ha denunciado a Linux. El 2 de febrero, todos los que tengamos este virus en el ordenador, serviremos de puente para que los hakers hagan escalada hasta el servidor de dicha compañia.
Que no os engañen! Hoy dia, los virus sonpara afectar empresas, no usuarios. Cuando dicen PELIGROSO es que va a hacer pupita a alguna empresa. Si no hay 'soporte' no se puede atacar a ningun servidor.
Estar infectado es como afiliarse al partido: Estas deacuerdo con el asalto quetendra lugar el 2 de febrero.
Si hay barreras, que no sean por dinero
Los virus antes mencionados NO AFECTAN a vuestros ordenadores, puesto que lo unicoque hacen es dejar un agujero para que alguien se cuele posteriormente. Pero LOS USUARIOS NORMALES tenemos cosas NORMALES en nuestros ordenadores, y por tanto, estamos fuera de los 'target' que tienen los inventores del virus.
El objetivo es una compañia que ha denunciado a Linux. El 2 de febrero, todos los que tengamos este virus en el ordenador, serviremos de puente para que los hakers hagan escalada hasta el servidor de dicha compañia.
Que no os engañen! Hoy dia, los virus sonpara afectar empresas, no usuarios. Cuando dicen PELIGROSO es que va a hacer pupita a alguna empresa. Si no hay 'soporte' no se puede atacar a ningun servidor.
Estar infectado es como afiliarse al partido: Estas deacuerdo con el asalto quetendra lugar el 2 de febrero.
Si hay barreras, que no sean por dinero
-
oarso
- Könteradmiral
- Mensajes: 4609
- Registrado: 30 Nov 2000 01:00
- Ubicación: RENTERIA ( A 8 KM. DE SAN SEBASTIAN.- GUIPUZCOA
! Grasssssias ¡ , a todos.
Muy interesante e instructivo.
Tengo instalado el Panda Titanium, actualizado al dia de hoy.
¿Es suficiente?
Aunque lo que dice Wulfmarine me tranquiliza, no veo por que tenga mi ordenador que servir de puente para hacer no se que.
Un saludo
Muy interesante e instructivo.
Tengo instalado el Panda Titanium, actualizado al dia de hoy.
¿Es suficiente?
Aunque lo que dice Wulfmarine me tranquiliza, no veo por que tenga mi ordenador que servir de puente para hacer no se que.
Un saludo
¿Profesión?
Técnico Superior en sistemas de refrigeración de materiales de construcción.
¿El que moja los ladrillos en las obras?
El mismo.
-
Mendas
- Leutnant der Reserve
- Mensajes: 7613
- Registrado: 31 Oct 2000 01:00
- Ubicación: en el fondo del mar, matarile rile rile...
Gracias por lo de paranoico,Mancuso escribió:Y PARA LOS PARANOICOS... EL LIMPIADOR DE SYMANTEC:
http://securityresponse.symantec.com/av ... Novarg.exe
Me doy por aludido.¿Donde he dejado el tranxilium q no me acuerdo?
A ver si me acuerdo de comprar Prozac
[img]http://smilies.sofrayt.com/^/aiw/dwarf.gif[/img][img]http://smilies.sofrayt.com/^/aiw/orc.gif[/img]
-
Mac
- Leutnant der Reserve
- Mensajes: 2077
- Registrado: 30 Nov 2000 01:00
- Ubicación: Moviendome entre Altea y Alicante
- Contactar:
Wulf, no te equivoques, un virus es un virus y hay que hacer todo lo posible por evitar tenerlo. Y en concreto este, aunque este diseñado para atacar a http://www.sco.com el dia 1 de febrero, tambien te abre puertos de entre el 3127 al 3198, que te pueden dejar en pelotas el equipo, no ante un 'superhacker' que pierda el tiempo en meterse en tu maquina, pero si ante otro virus que aproveche ese agujero para hacer lo que le hayan programado.
Ademas, el propio virus busca direcciones de correo en archivos de tu disco duro con las extensiones HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y TXT. Despues se manda una copia de si mismo a todas las direcciones que tiene añadiendo a cada una una serie de prefijos, por lo que si encuentra 100 direcciones, intenta mandarse a unas 10 variantes de esa direccion, por lo tanto, son 1000 intentos de conexion via SMTP cada vez que se ejecuta el virus. Tambien, entre el 1 y el 12 de febrero realizara ataques contra la web mencionada CADA SEGUNDO.
Esto supone una ralentizacion del sistema (tanto del disco duro, como de ancho de banda) totalmente innecesaria y evitable. A mi me la trae al pairo el http://www.sco.com y puede que este a favor de que la ataquen o no, pero no tolero que se hagan cosas en mi pc que no permita yo.
Si a esto le restamos la gran facilidad con la que puede evitarse este hecho, que es no ejecutar archivos de mails sospechosos y ya esta, no considero que debamos volvernos paranoicos o llegar a temer por nuestras vidas
Si un 'hacker' quiere atacar algun sitio, que me deje a mi en paz. Y por cierto, todavia me estoy cagando en el gordo-los-cojones que invento el blaster, pues perdi unos valiosos documentos en una de las veces que se apago el ordenador de repente y estaban guardandose los archivos. Va por ti, tontolamierda, metete tu virus por tu grasiento culo.
Un saludo.
Ademas, el propio virus busca direcciones de correo en archivos de tu disco duro con las extensiones HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y TXT. Despues se manda una copia de si mismo a todas las direcciones que tiene añadiendo a cada una una serie de prefijos, por lo que si encuentra 100 direcciones, intenta mandarse a unas 10 variantes de esa direccion, por lo tanto, son 1000 intentos de conexion via SMTP cada vez que se ejecuta el virus. Tambien, entre el 1 y el 12 de febrero realizara ataques contra la web mencionada CADA SEGUNDO.
Esto supone una ralentizacion del sistema (tanto del disco duro, como de ancho de banda) totalmente innecesaria y evitable. A mi me la trae al pairo el http://www.sco.com y puede que este a favor de que la ataquen o no, pero no tolero que se hagan cosas en mi pc que no permita yo.
Si a esto le restamos la gran facilidad con la que puede evitarse este hecho, que es no ejecutar archivos de mails sospechosos y ya esta, no considero que debamos volvernos paranoicos o llegar a temer por nuestras vidas
Si un 'hacker' quiere atacar algun sitio, que me deje a mi en paz. Y por cierto, todavia me estoy cagando en el gordo-los-cojones que invento el blaster, pues perdi unos valiosos documentos en una de las veces que se apago el ordenador de repente y estaban guardandose los archivos. Va por ti, tontolamierda, metete tu virus por tu grasiento culo.
Un saludo.
-
Invitado
A mí me llego al correo del curro. Como las administraciones públicas tienen un "particular" sentido de la importancia de las cosas, el antivirus es de chiste. Menos mal que el correo tiene vista previa y lo fulminé enseguida y sin abrirlo, claro.
Y en último remedio, en algunas de las mejores empresas del país se tienen unos antivirus en condiciones (Gracias, Alf ).
Y en último remedio, en algunas de las mejores empresas del país se tienen unos antivirus en condiciones (Gracias, Alf
).