Download boletínde
Document related concepts
no text concepts found
Transcript
Oficina Nacional de GOBIERNOELECTRÓNICO e INFORMÁTICA PRESIDENCIA DEL CONSEJO DE MINISTROS BOLETÍN DE Edición Nº 129/ 21 Mayo de 2007 ALERTA ANTIVIRUS Visite el Portal del Estado Peruano: www.peru.gob.pe Centro de Consulta e Investigación sobre Seguridad de la Información GUSANO AUTOIT.Q Ô GUSANO AUTOIT.Q Alias: Autoit.Q, IM-Worm.Win32.Sohanad.aa, Trojan.Agent.TXW, Trojan.Virtumod.IZ, TrojanDownloader.AutoIt.g, Win32/Autoit.Q, Worm.Win32.ModifiedUPX.gen!90 Ô GUSANO Y TROYANO STRATION.ZH Ô GUSANO BUTILEG Trojan/Worm, Se propaga a través de programas de mensajería instantánea, enviando mensajes con enlaces a todas las listas de contacto del usuario infectado. Si el usuario hace clic en el enlace, se descarga y ejecuta el gusano propiamente dicho, desde determinados sitios de Internet. También puede copiarse en disquetes y unidades removibles (memorias USB, etc.), infectando otros equipos por esos medios. Ô CABALLO DE TROYA EXPLOIT.ADODB.STR EAM.E MAS INFORMACIÓN • Ô TROYANO VB.DS • ALERTA ANTIVIRUS http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6867 Ô Lista de Antivirus Ô Vocabulario Básico ENCICLOPEDIA DE VIRUS http://www.enciclopediavirus.com/virus/vervirus.php?id=3965 GUSANO Y TROYANO STRATION.ZH Alias: Stration.ZH, Email-Worm.Win32.Warezov.hd, Generic4.KVQ, MalwareScope.Worm.Warezov.1, Possible_Strat.6, Trojan:Win32/Stration.A!dll, W32/Spamta.XN.worm, Win32.Stration.DAO, Win32/Stration.worm.53248.Y, Win32/Stration.ZH, Worm.Stration.Gen, WORM/Stration.Gen Gusano de Internet que se propaga por correo electrónico, enviándose como adjunto en un mensaje a toda la lista de direcciones obtenidas en diferentes archivos de la máquina infectada. También posee la capacidad de descargar y ejecutar otros componentes de Internet. Intenta deshabilitar el acceso a sitios relacionados con aplicaciones de seguridad. FUENTES Al ejecutarse, abre el bloc de notas mostrando caracteres al azar. Puede mostrar una ventana de error falsa. Para propagarse como gusano, utiliza mensajes con las siguientes características: • • • • Alerta Antivirus VSANTIVIRUS SOPHOS Enciclopedia de Virus De: [dirección falsa] Para: [dirección al azar] NOTA: El gusano, busca direcciones en archivos con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .html .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml • Error Good day hello Mail Delivery System Mail server report Mail Transaction Failed picture Server Report Status test Texto del mensaje: [uno de los siguientes] • • • • VSANTIVIRUS http://www.vsantivirus.com/stration-zh.htm Asunto: [uno de los siguientes] [vacío] Mail transaction failed. Partial message is available. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters [and has been sent as a binary attachment. También puede utilizar el siguiente texto: • UP TO DOWN http://foro.uptodown.com/viewtopic.php?t=47737 GUSANO BUTILEG Alias: Butileg, Win32/Butileg, Win32/Butileg.A, Win32/Butileg.C, Win32/Butileg.E Win32/Butileg.B, Caballo de Troya que descarga otros malwares de Internet y puede infectar archivos .EXE. También puede propagarse como gusano a unidades removibles USB. Cuando se ejecuta, crea archivos en el sistema. También copia el archivo NOTEPAD.EXE de Windows (bloc de notas). Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms). Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring. Best regards, Customers support service Datos adjuntos: [uno de los siguientes] • • • • • • • • • • • • data.[ext 1].[ext 2] body.[ext 1].[ext 2] data.[ext 1].[ext 2] doc.[ext 1].[ext 2] docs.[ext 1].[ext 2] document.[ext 1].[ext 2] file.[ext 1].[ext 2] message.[ext 1].[ext 2] readme.[ext 1].[ext 2] test.[ext 1].[ext 2] text.[ext 1].[ext 2] Update-KB????-x86.exe Donde "????" son números al azar. [Ext 1] puede ser una de las siguientes extensiones: • • • • • .dat .elm .log .msg .txt .bat .cmd .exe .pif .scr MAS INFORMACIÓN • VSANTIVIRUS http://www.vsantivirus.com/butileg.htm • ALERTA ANTIVIRUS alerta-antivirus.red.es/virus/detalle_virus.html?cod=6872 CABALLO DE TROYA EXPLOIT.ADODB.STREAM.E Alias: Exploit.ADODB.Stream.E, Exploit.ADODB.Stream.EX, HTML/Dldr.Metalur.A, JS/Exploit.ADODB.Stream.E, JS/Exploit_based.D, JS/MS06-014!exploit, JS/Wonka, JS/Wonka.E!tr, JS_/Seeker, Mal/FunDF-A, Script.Dldr.Metalur.A, Trojan-Downloader.JS.Inor.A, TrojanDownloader.JS.Small.dn, VBS.Psyme.377, W32/Sohanat.BW.worm Caballo de Troya en JavaScript que puede ser descargado de sitios web que han sido comprometidos. El código descargado suele estar codificado para eludir su detección como código malicioso. Cuando llega al equipo del usuario, puede crear y ejecutar un archivo en el sistema, y luego intenta conectarse y descargar otro malware desde Internet. En ocasiones, entre [ext 1] y [ext 2] pueden existir varios espacios en blanco. MAS INFORMACIÓN • El troyano también intenta copiarse a todas las unidades removibles USB, junto a un archivo AUTORUN.INF que hace que su código se ejecute cuando el dispositivo removible es insertado y está activada la opción de ejecución automática. Puede descargarse sin el conocimiento del usuario por medio de un IFRAME, generalmente en banners publicitarios, valiéndose de una vulnerabilidad que permite su ejecución por medio del control ActiveX "ADODB.Stream" (no se ejecuta en equipos con todos los parches de actualización al día). [Ext 2] es una de las siguientes extensiones: • • • • • El código del virus se agrega al principio de los archivos que infecta, los que mantienen sus iconos originales. ENCICLOPEDIA DE VIRUS http://www.enciclopediavirus.com/virus/vervirus.php?id=3966 MAS INFORMACIÓN • VSANTIVIRUS http://www.vsantivirus.com/exploit-adodb-stream-e.htm • ALERTA ANTIVIRUS http://alerta-antivirus.red.es/foros/read.php?5,5077,5993 TROYANO VB.DS VOCABULARIO BASICO Alias: • Antivirus: Aplicación que permite la detección y eliminación de virus en un ordenador. VB.DS, Trj/BadMerlin.B, Trojan.Nacluv, Virus.Win32.VB.ds, Win32/Nucluvg.A, Win32/VB.DS, Worm/VB.BDB Caballo de Troya que se presenta como un documento de Word. Cuando se ejecuta, el troyano busca archivos .DOC y .RTF en todas las carpetas de la unidad C:, y crea una copia de si mismo con el mismo nombre de cada archivo .DOC o .RTF encontrado, pero con la extensión .EXE Los documentos originales no son borrados, pero no son visibles bajo la configuración por defecto de Windows, ya que el troyano cambia sus atributos a oculto y del sistema (+H +S). No se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. • Aplicación: Programa o conjunto de programas diseñados para la realización de una tarea concreta, como puede ser la gestión de una base de datos, una aplicación de diseño gráfico, etc. Vulgarmente programa. • Archivo: También se puede llamar fichero. Es la manera de almacenar información que tienen los ordenadores. Pueden contener textos, fotos, vídeos, música, programas, etc. • Archivo adjunto: Archivo que se envía junto a un mensaje de correo electrónico. • Archivo comprimido: Formato especial de archivo que nos permite almacenar uno o más archivos o carpetas dentro de uno solo, además de poder reducir considerablemente el espacio que ocupan. Es muy útil para transportar datos en disquete o para enviarlos por correo electrónico. Quizá el formato más conocido sea el ZIP, aunque existen otros como TAR, BZ, GZ, RAR, ACE, etc. • Backdoor: Puerta trasera • Correo electrónico: Aplicación que permite el intercambio de mensajes y archivos a través de Internet. MAS INFORMACIÓN • ENCICLOPEDIA DE VIRUS http://www.enciclopediavirus.com/virus/vervirus.php?id=3967 • VSANTIVIRUS http://www.vsantivirus.com/vb-ds.htm LISTA DE ANTIVIRUS NOMBRE DEL ANTIVIRUS Panda Software Per Antivirus The Hacker AVAST Antivirus Zap Antivirus Sophos Antivirus Norton Antivirus (NAV) Antiviral Toolkit Pro (AVP) ESafe Antivirus Enterprise Protection InoculateIT McAfee VirusScan AVG Antivirus Symantec TrenMicro BitDefender Antivirus PAGINA WEB http://www.pandasoftware.es/ http://www.persystems.net/ http://www.hacksoft.com.pe/ http://www.antivir.com/support.htm http://www.zapantivirus.com http://esp.sophos.com/ http://www.sarc.com/avcenter/download .html http://www.kaspersky.com/ http://www.esafe.com/download/virusig. html http://www.commandcom.com/html/files .html http://support.cai.com/Download/virussi g.html http://download.mcafee.com/updates/up dates.asp http://www.grisoft.com/us/us_index.php http://www.symantec.com/ http://www.trendmicro.com/download/pa ttern.asp http://www.bitdefender-es.com http://www.antivirus.com • Ejecutar: Poner en marcha un programa. En Latinoamérica se dice "correr" un programa, adoptando la palabra "Run" del inglés. • Lista de correos: En inglés mail list. Programa de gestión de correo electrónico cuyo funcionamiento se basa en que almacena una lista de direcciones de correo de usuarios previamente registrados y cada mensaje que recibe, es transmitido a todas esas personas. • Malware: Cualquier programa, documento o mensaje, susceptible de causar perjuicios a los usuarios de sistemas informáticos. MALicious softWARE. • Puerta trasera: En inglés backdoor. Es una mecanismo que nos permite acceder a un sistema de una manera diferente (generalmente no autorizada) de la que usaríamos habitualmente. • Troyano: O "Caballo de Troya" o “Trojan”. Programa que se instala y ejecuta sin nuestro permiso y cuya misión es abrir una puerta de acceso a nuestro ordenador desde Internet, para robar datos o utilizarlo como "intermediario" en un ataque a otro ordenador. • Virus: Programa que se instala y ejecuta automaticamente y sin permiso. Su fin suele ser destructivo o intrusivo, borrando o corrompiendo ficheros, abriendo puertas traseras, etc. Además, los virus suelen camuflarse entre otros archivos y replicarse a sí mismos para dificultar su localización. • Worm: Gusano. Especie de virus diseñado para reproducirse una y otra vez hasta ocupar todo el espacio del disco duro para inutilizarlo. CUALQUIER CONSULTA ENVIAR UN CORREO AL CENTRO DE CONSULTA E INVESTIGACION SOBRE SEGURIDAD DE LA INFORMACION [email protected] Teléfono : 2744356 – 106