Download Consejos para protegerse de los Virus Informáticos Lista de

Edición Nº 110 / 20 Octubre de 2005
Visite el Portal del Estado Peruano:
www.peru.gob.pe
9,586:0<72%/6#00
Ô VIRUS
W32/RONTOKBRO.F@MM
$OLDV 0\WRE.+ ,:RUP0\WREEL ,:RUP0\WRE=8 1HW:RUP0\ERW 1HW
:RUP:LQ0\WREEL:0\7RE%,QHW:0\WRE/6#PP:0\WRE3%
:LQ+//00\'RRP :LQ:RUP0\WRE%, :LQ*OLHGHU7URMDQ
:LQ0\WRE
:LQ0\WRE.+
:LQ0\WRE/3
:RUP0\WRE,%
\
:RUP0\WRE-=
'(6&5,3&,Ï1
Gusano que se propaga masivamente por correo electrónico. Utiliza las
funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC.
Un BOT es un programa robot que actúa como un usuario y está preparado para
responder o actuar automáticamente ejecutando ciertos comandos.
Ô VIRUS W32/ZOTOB.K
También modifica el archivo HOSTS para evitar que el usuario pueda acceder a
determinadas páginas y sitios de actualizaciones de antivirus.
Ô VIRUS W32/AGOBOT.DXO
Los mensajes enviados tienen las siguientes características:
Ô VIRUS
W32/MYTOB.LS@MM
Ô VIRUS
W32/SOBER.R@MM
Ô VIRUS TROJ/TALADRA-F
Ô Consejos para
protegerse de los Virus
Informáticos
Ô Lista de Antivirus
'H>GLUHFFLyQIDOVD@
Puede utilizar direcciones creadas con alguno de los siguientes nombres.
adam
alex
andrew
anna
bill
bob
bob
brenda
brent
brian
claudia
dan
dave
david
debby
frank
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
josh
julie
kevin
leo
$VXQWR>XQRGHORVVLJXLHQWHV@
-
*DETECTED* Online User Violation
Email Account Suspension
Important Notification
Members Support
-
linda
maria
mary
matt
michael
michael
mike
paul
peter
ray
robert
sales
sam
Sandra
serg
smith
stan
steve
ted
tom
Security measures
Warning Message: Your services near to be closed.
Your Account is Suspended
Notice of account limitation
&RQWHQLGR XQRGHORVVLJXLHQWHV
o Unisva-Peru
o Sophos
http://esp.sophos.com/
o PerSystem
o Hacksoft
o Hispasec
o Panda Software
'HDU>XVXDULR@0HPEHU
'HDU>XVXDULR@0HPEHU
:HKDYHWHPSRUDULO\VXVSHQGHG\RXUHPDLODFFRXQW
<RXUHPDLODFFRXQWZDVXVHGWRVHQGDKXJHDPRXQW
>GLUHFFLyQIDOVD@
RI
7KLVPLJKWEHGXHWRHLWKHURIWKHIROORZLQJUHDVRQV
XQVROLFLWHGVSDPPHVVDJHVGXULQJWKHUHFHQWZHHN,I
$UHFHQWFKDQJHLQ\RXUSHUVRQDOLQIRUPDWLRQLH
\RX
FKDQJHRIDGGUHVV
FRXOGSOHDVHWDNHPLQXWHVRXWRI\RXURQOLQH
6XEPLWLQJLQYDOLGLQIRUPDWLRQGXULQJWKHLQLWLDOVLJQ
H[SHULHQFHDQGFRQILUPWKHDWWDFKHGGRFXPHQWVR
XSSURFHVV
\RXZLOO
$QLQQDELOLW\WRDFFXUDWHO\YHULI\\RXUVHOHFWHG
QRWUXQLQWRDQ\IXWXUHSUREOHPVZLWKWKHRQOLQH
RSWLRQRIVXEVFULSWLRQGXHWRDQLQWHUQDOHUURUZLWKLQ
VHUYLFH
RXUSURFHVVRUV
,I\RXFKRRVHWRLJQRUHRXUUHTXHVW\RXOHDYHXVQR
6HHWKHGHWDLOVWRUHDFWLYDWH\RXU>GRPLQLR@DFFRXQW
FKRLFHEXWWRFDQFHO\RXUPHPEHUVKLS
6LQFHUHO\7KH>GRPLQLR@6XSSRUW7HDP
9LUWXDOO\\RXUV
$WWDFKPHQW1R9LUXV&OHDQ
7KH>GRPLQLR@6XSSRUW7HDP
>GRPLQLR@$QWLYLUXV>GLUHFFLyQ@
$WWDFKPHQW1R9LUXVIRXQG
'HDUXVHU>XVXDULR@
'HDUXVHU>XVXDULR@
<RXKDYHVXFFHVVIXOO\XSGDWHGWKHSDVVZRUGRI\RXU
,WKDVFRPHWRRXUDWWHQWLRQWKDW\RXU
>GRPLQLR@$QWLYLUXV>GLUHFFLyQ@
>GRPLQLR@DFFRXQW
,I\RXGLGQRWDXWKRUL]HWKLVFKDQJHRULI\RXQHHG
DVVLVWDQFHZLWK\RXUDFFRXQWSOHDVHFRQWDFW>GRPLQLR@
>GRPLQLR@8VHU
3URILOH[UHFRUGVDUHRXWRIGDWH)RUIXUWKHU
FXVWRPHUVHUYLFHDW>GLUHFFLyQIDOVD@
GHWDLOVVHHWKHDWWDFKHGGRFXPHQW
7KDQN\RXIRUXVLQJ>GRPLQLR@7KH>GRPLQLR@6XSSRUW
7KDQN\RXIRUXVLQJ>GRPLQLR@
7HDP
7KH>GRPLQLR@6XSSRUW7HDP
$WWDFKPHQW1R9LUXV&OHDQ
$WWDFKPHQW1R9LUXV&OHDQ
>GRPLQLR@$QWLYLUXV>GLUHFFLyQ@
>GRPLQLR@$QWLYLUXV>GLUHFFLyQ@
'DWRVDGMXQWRV>XQRGHORVVLJXLHQWHV@
[caracteres al azar].???
accepted-password.???
account-details.???
account-info.???
account-password.???
account-report.???
approved-password.???
readme.???
document.???
email-details.???
email-password.???
important-details.???
new-password.???
password.???
updated-password.???
Donde "???" puede ser una de las siguientes
extensiones:
.bat
.cmd
.exe
.pif
.scr
.zip
0$6,1)250$&,Ï1
KWWSZZZVRIWGRZQORDGRUJILFKDVPDVEXVFDGRVYLUXV
UHSRUWJXLDVBGHBVHJXULGDGP\WRENKBDVS
KWWSZZZSHUDQWLYLUXVFRPVRVYLUXVYLUXIDPRP\WREOV
KWP
62/8&,Ï1
1. Si utiliza Windows Me o XP, y sabe cuándo se
produjo la infección, puede usar la característica de
Restauración del Sistema para eliminar el virus
volviendo a un punto de restauración anterior a la
infección. (Tenga en cuenta que se desharán los
cambios de configuración de Windows y se
eliminarán todos los archivos ejecutables que haya
creado o descargado desde la fecha del punto de
restauración)
2. Si esto no es posible o no funciona es
recomendable
desactivar
temporalmente
la
Restauración del Sistema antes de eliminar el virus
por otros medios, ya que podría haberse creado
una copia de seguridad del virus.
KWWSZZZYVDQWLYLUXVFRP
9,586:62%(55#00
$OLDV&0(:6REHU4#PP:6REHU<ZRUP
:6REHU2:250B62%(5$&6REHU5
Desactivar Sistema en Windows ME:
KWWSDOHUWD
DQWLYLUXVUHGHVYLUXVYHUBSDJKWPO"WHPD
SDJLQD
9DUWLFXOR Desactivar Sistema en Windows XP:
KWWSDOHUWD
DQWLYLUXVUHGHVYLUXVYHUBSDJKWPO"WHPD
SDJLQD
9DUWLFXOR %$&.'2257URMDQ(PDLO:RUP:LQ9%ED,
:RUP6REHU87URMDQ36::LQ9%JU:6REHU4
:6REHU5#PP:6REHUU#00
:6REHU<ZRUP:6REHU2:LQ6REHU3
:LQ6REHU6#PP:LQ6REHU:LQ6REHU5
'(6&5,3&,Ï1
Gusano que se propaga a través del envío masivo de
correo electrónico.
:RUP6REHU5:RUP6REHU4:250B62%(5$&
Utiliza su propio motor SMTP, lo que hace
independiente su funcionamiento del cliente de correo
instalado en el equipo.
El mensaje puede ir escrito en inglés o alemán
(dependiendo del destinatario) y su archivo adjunto es
respectivamente pword_change.zip o KlassenFoto.zip.
Inmediatamente después de su ejecución muestra la
siguiente caja de diálogo
3. Con un antivirus actualizado, localice todas las
copias del virus en el disco duro de su PC.
(/,0,1$&,210$18$/'(/9,586
En el caso de que no se pueda eliminar el archivo del virus,
debe terminar manualmente el proceso en ejecución del
virus.
1. Abrir el Administrador de tareas (presionar
Control+Mayúsculas+Esc). En Windows 98/Me
seleccionar el nombre del proceso y detenerlo. En
Windows 2000/XP, en la pestaña 'Procesos' hacer
clic derecho en el proceso y seleccionar 'Terminar
Proceso'. A continuación vuelva a intentar el
borrado o reparación del archivo.
2. A continuación editar el registro para deshacer los
cambios
realizados
por
el
virus.
Ser
extremadamente cuidadoso al manipular el
registro. Si se modifica claves de manera
incorrecta puede dejar el sistema inutilizable.
3. Para evitar que el gusano sea ejecutado
automáticamente cada vez que el sistema es
reiniciado, eliminar las siguientes claves del
registro de Windows, el valor indicado:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Cur
rentVersion\Run
Valor: " WinINet" =
"%Windir%\ConnectionStatus\services.exe"
4. Reiniciar la computadora y explorar todo el
disco duro con un antivirus para asegurar la
eliminación del virus.
0$6,1)250$&,Ï1
Zotob.K es un gusano, que se conecta a un servidor y
ejecuta comandos y acciones en forma remota, intentando
conectarse a direcciones IP extraídas del sistema
infectado.
El virus infecta los siguientes sistemas operativos:
Windows
98/Me/2000/XP
incluyendo
servidores
NT/2000/Server 2003, desarrollado en MS Visual C++.
Entre las acciones remotas que ejecuta el gusano tenemos
las siguientes:
http://www.vsantivirus.com/sober-r.htm
•
http://www.enciclopediavirus.com/virus/vervirus.php?id=2593
•
http://www.hacksoft.com.pe/virus/w32_sober_q.htm
•
•
•
•
http://www.cintel.org.co/noticintel/noticia.php3?nt=4409&edicion
=649
http://www.softdownload.org/fichas/masbuscados/noticias/sober.
r._7008.asp
http://www.avira.com/es/threats/Worm_Sober_Q.html
9,586:52172.%52)#00
$OLDV:5RQWRNEURJHQ#00
Infecta los siguientes sistemas operativos: Windows
98/NT/Me/2000/XP/,
incluyendo
los
servidores
NT/2000/Server 2003 está desarrollado y compilado en
MS Visual Basic, con una extensión de 42 KB.
Los mensajes
características:
enviados
tienen
las
5HPLWHQWH H[WUDtGDVGHOVLVWHPD
$VXQWR HQEODQFR
&RQWHQLGR HQEODQFR
$QH[DGR .DQJHQH[H
0$6,1)250$&,Ï1
•
Capturar información del sistema, redes, estaciones y
unidades de disco.
Descargar y ejecutar archivos con códigos malignos
desde el servidor IRC.
Descargar una copia de sí mismo.
Terminar procesos en ejecución.
Actualizar el gusano desde la web.
Envía paquetes a direcciones IP aleatorias, extraídas
del sistema infectado.
Puede controlar los sistemas en forma remota.
9,586:$*2%27';2
$OLDVTroj/Gaobot.DXO
'(6&5,3&,Ï1
Es un gusano residente en memoria de propagación
masiva a través de mensajes de Correo con un Asunto,
Contenido en blanco y archivo anexado con el icono de
una carpeta.
'(6&5,3&,Ï1
Claves:
9,586:=272%.
$OLDV,:RUP=RWRE.
siguientes
http://www.perantivirus.com/sosvirus/virufamo/rontokbrof.htm
'(6&5,3&,Ï1
Agobot.DXO es un destructivo gusano, que se propaga a través
de redes con recursos compartidos.
Termina los procesos de antivirus, firewalls y software de control,
bloques el acceso a diversas direcciones URL, se conecta a
servidores del IRC (Internet Relay Chat) abre un Backdoor en una
dirección IP ubicada en Hong Kong.
El gusano infecta los siguientes sistemas operativos: Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server
2003, está programado en Visual C++.
9,586752-7$/$'5$)
$OLDV 7URMDQ:LQ=DSFKDVW
El virus infecta a Sistemas operativos con entorno Windows.
Permite el acceso no autorizado al equipo infectado Se instala en
el registro del sistema.
El troyano crea el archivo <System>\ntsvc.ocx.
Troj/Taladra-F se registra como un servicio del sistema con el
nombre "NTAuth" y se activa de forma automática en el inicio
del sistema:
+./0?6<67(0?&XUUHQW&RQWURO6HW?6HUYLFHV?17$XWK?
El archivo ntsvc.ocx se registra como objeto COM desde las
siguientes entradas del registro:
6HDGMXQWDXQDOLVWDGHSiJLQDVZHEVGRQGHHOXVXDULR
SXHGH REWHQHU PD\RU LQIRUPDFLyQ VREUH YLUXV \
DFWXDOL]DUHODQWLYLUXV
120%5('(/
3$*,1$:(%
$17,9,586
HKCR\CLSID\(E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C)
HKCR\Interface\(E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C)
HKCR\Interface\(E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C)
HKCR\NTService.Control.1\
HKCR\TypeLib\(E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C)
&216(-26 3$5$ 3527(*(56( '( /26
9,586 ,1)250$7,&26
Hay muchos virus que se esparcen mediante la red a
nivel mundial y nacional, por lo que, indicamos a
continuación algunas recomendaciones para que las
instituciones y usuarios en general puedan proteger
sus equipos informáticos:
♦
♦
♦
Utilice
un
buen
frecuentemente.
antivirus
y
actualícelo
Compruebe que el antivirus incluye soporte
técnico, actualizaciones urgentes ante nuevos virus
y servicios de alerta.
Si dispone de herramientas de filtrado, configúrelas
para que rechacen los mensajes que cumplan las
características de los virus más conocidos.
3HU$QWLYLUXV
7KH+DFNHU
$9$67$QWLYLUXV
=DS$QWLYLUXV
6RSKRV$QWLYLUXV
1RUWRQ$QWLYLUXV1$9
$QWLYLUDO7RRONLW3UR
No ejecute archivos adjuntos desconocidos y
bórrelos LQFOXVR GH OD FDUSHWD GH (OHPHQWRV
(OLPLQDGRV.
♦
Los archivos adjuntos deben ser revisados por un
antivirus actualizado.
http://www.sarc.com/avcenter/downlo
ad.html
http://www.kaspersky.com/
$93
(6DIH
$QWLYLUXV(QWHUSULVH
3URWHFWLRQ
,QRFXODWH,7
0F$IHH9LUXV6FDQ
$9*$QWLYLUXV
6\PDQWHF
7UHQ0LFUR
%LW'HIHQGHU
$QWLYLUXV
♦
http://www.pandasoftware.es/
http://www.persystems.net/
http://www.hacksoft.com.pe/
http://www.antivir.com/support.htm
http://www.zapantivirus.com
http://esp.sophos.com/
3DQGD6RIWZDUH
http://www.esafe.com/download/virusi
g.html
http://www.commandcom.com/html/fil
es.html
http://support.cai.com/Download/virus
sig.html
http://download.mcafee.com/updates/
updates.asp
http://www.grisoft.com/us/us_index.p
hp
http://www.symantec.com/
http://www.trendmicro.com/download/
pattern.asp
http://www.bitdefender-es.com
http://www.antivirus.com
&8$/48,(5 &2168/7$ (19,$5 81 &255(2
$/
&(1752'(&2168/7$
(,19(67,*$&,2162%5(6(*85,'$''(/$
,1)250$&,21
♦ Tenga cuidado con los archivos que reciba a través
de las aplicaciones de intercambio de archivos
punto a punto (P2P).
FFLVL#SFPJRESH
7HOpIRQR ²