Alerta virus

[el mencey]

No paro de recibir desde ayer correos con este virus, tengan mucho cuidado.

http://iblnews.com/noticias/01/99015.html

Mydoom.A causa numerosas incidencias en entornos corporativos en pocas horas

En sólo unas horas desde su aparición, el nuevo gusano Mydoom.A ha causado ya numerosas incidencias entre miles de usuarios de varios países que se han visto afectados por el ataque inesperado de un nuevo virus preparado para distribuirse rápidamente. Su capacidad de propagación así como los daños que está provocando, hace de éste protagonista de una probable epidemia mundial comparada a la del pasado verano causada por Bugbear y Blaster.

Martes, 27 enero 2004
IBLNEWS, PANDASOFTWARE
El objetivo fundamental de Mydoom.A es colapsar los parques informáticos de las compañías, impidiendo a los usuarios trabajar con el ordenador.
Así, las compañías que se han visto afectadas han podido ver paralizada su producción debido al gran tráfico que genera Mydoom.A al reenviarse automáticamente a los contactos de las libretas de direcciones de los equipos afectados. En las próximas horas se espera que este tipo de situaciones se produzcan en los países que comienzan ahora su actividad, lo que provocará un aumento significativo de las incidencias.

Mydoom.A llega en un mensaje de correo electrónico que tiene un fichero adjunto. Al igual que los últimos protagonistas de grandes epidemias, utiliza las técnicas de ingeniería social para engañar al usuario y hacer que abra dicho mensaje. Al hacerlo, no sólo infecta al equipo que lo ha recibido, sino que se reenvía por sí solo a todos los contactos de la libreta de direcciones.

Además, abre el puerto TCP 3127 del ordenador afectado, permitiendo el control del equipo desde el exterior, lo que quiere decir que cualquier hacker malicioso podría introducirse en él y robar, manipular o destruir todo tipo de información contenida en el equipo.

Como dato interesante, reseñar que está preparado para lanzar un ataque de denegación de servicio DoS al sitio web www.sco.com el próximo 1 de febrero del presente año.

Mydoom.A busca direcciones de correo electrónico en los ficheros del equipo que tengan las siguientes extensiones: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Se envía por correo electrónico utilizando su propio motor SMTP.

El contenido del mensaje es variable, y puede estar compuesto por las siguientes frases:
Asunto:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Cuerpo:
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Nombre del fichero adjunto:
document
readme
doc
text
file
data
test
message
body

Extensión del fichero adjunto:
.pif
.scr
.exe
.cmd
.bat
.zip

Una vez ha infectado un equipo, si el usuario utiliza la red de intercambio de ficheros "peer to peer" KaZaa, copia un fichero en el directorio compartido que permite su distribución a través de este sistema. Dicho fichero puede tener alguno de los siguientes nombres:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

y la extensión.PIF, .SCR o .BAT.

Ante la posibilidad de un encuentro con Mydoom.A, Panda Software aconseja extremar las precauciones con los mensajes de correo electrónico recibidos, así como actualizar lo antes posible las soluciones antivirus y contar con un buen firewall.

[jasev]

Como siempre, no abrir correos de desconocidos y SOBRE TODO no ejecutar adjuntos cuya naturaleza sea... "sospechosa".

[jm_ruiz]

Menos mal que el .SAV no está entre las extensiones sospechosas!!!!

[Alfonso]

Yo tambien, pero solo a la cuenta de apolyton.

[academia]

Quote:

strip-girl-2.0bdcom_patches

Uy! entonces cague!!
Yo abro 20 archivos asi todos los dias

[Shaka Naldur]

yo tengo el ordenador conectado a la red de la universidad y estan todos lo ordendores del colegio infectados

aunque todavia nadie ha lamentado nada grave

[Dr. Nick]

Mierda. 6 mensajes infectados en una casilla. Cabe agregar que pesa entre 30-33 Kb el email que vayan a recibir.

[Arsen]

pos a mi esta vez de momoento no ma llegao ni uno!!! y mira que cada vez que sale uno de estos me colapsa la cuenta del maldito hotmail

[Jay Bee]

Pos yo los estoy recibiendo a cientos. tambien me han escrito dos mendas preguntandome que era eso que les estaba mandando que contenia un virus

[Chilean President™]

a mi me llegan varios mails de 248kb con el título "parche antivirus"

[Unspeakable Horror]

A mi no me llega nada

[Chilean President™]

si quieres yo te mando algo

[Niessuh]

A mi tampoco

[Unspeakable Horror]

No gracias CP

[Kramsib]

A mí últimamente me estaba llegando el DUMARU

llega como un mensaje de Microsoft y con el mensaje, "install this patch immediately".

¡¡¡ Carajo !!!, ¡¡¡ Un parche de Microsoft !!!, ¡¡¡ ESO ES UN VIRUS, SEGURO !!!

No, aunque ahora me lo tomo a broma, Master Zen puede dar testimonio de que anduve bastante preocupado. Pero de momento no hay ningún síntoma de que me haya infectado ya que no abrí el fichero adjunto.

Ayer mismo, también recibí dos mensajes, uno por la mañana y otro más tarde. No sabía de quien eran, no tenían casi cuerpo, sino una línea de mensaje y un archivo adjunto, los vi muy sospechosos y los borré. Luego me di cuenta que eran dos MyDoom , afortunadamente no abrí ninguno de los adjuntos con lo que espero que no me pase nada.

La cosa se está poniendo peligrosa.

¿Alguien sabe algo sobre esos virus que se propagan por MSN Messenger?.

[jm_ruiz]

Ya no hace falta abrir los adjuntos, algunos virus se activan con tan solo tener activada la vista previa del OutlooK, así que desactivarla!!!

[Chilean President™]

Microsoft ya ha sacado parches para resolver ese problema. La vista previa de Outlook es por lo menos inmune a MyDoom. Y sobre este virus:

Quote:

MyDoom no se rinde. Ya comenzó la cuenta regresiva para el gigantesco ataque digital contra Microsoft y la empresa de software SCO Group Inc. Por quinto día consecutivo, los proveedores de servicios de internet y las empresas quedaron pasmados ante la oleada de correos electrónicos infectados. Dicen que uno de cada tres mails enviados se vio afectado por MyDoom.A. Lejos, la epidemia más rápida de la Tierra virtual. Lo peor se vino este miércoles, cuando apareció una segunda variante: el MyDoom.B, que porta un programa cronometrado para atacar a SCO Group el domingo y a Microsoft el martes. Los expertos en seguridad dijeron que poco se podía hacer para frenar los ataques coordinados del infeccioso gusano. Es muy difícil para las empresas antivirus reaccionar ante estos escenarios, dijo Paul Wood, jefe de análisis de información de la empresa de seguridad de e-mail MessageLabs, con sede en el Reino Unido. El FBI intensificó la búsqueda para atrapar a sus creadores y SCO Group ofreció una recompensa de 250 mil dólares ($432 millones) por los causantes del mal. Pero Microsoft y SCO, siguen en la línea de fuego. De destrucción masiva SCO Group es una pequeña firma de software con sede en Utah (EE.UU.), que demandó a International Business Machines Corp. por el uso del código del sistema operativo Linux. La última versión del gusano está diseñada para inundar el sitio de Microsoft con solicitudes de información en un intento por desconectarla. Los computadores que funcionan con las últimas versiones del sistema operativo Windows están en riesgo de ser infectados. Para evitar el virus, recomiendan no descargar música en Kazaa ni abrir archivos adjuntos que vengan con extensión .exe, .scr, .cmdm, .bat, .zip, .pif. o que tengan ficheros ejecutables.

[DrGerry]

¿SCO una pequeña firma de software? Hace poco era una de las empresas más grandes del mundo, propietarios de la licencia de UNIX. Están en juicio con los creadores de LINUX porque dicen que es un robo a UNIX (lo cual se parece bastante a la realidad).

[DrGerry]

Forgeteada: por esa razón es que suponen que el virus fue creado por un linux-fan (podría ser un fan de mac, pero esos son tan nabos que los virus que mandan te piden por favor que formatees tu disco vos mismo)

[yaroslav]

Por alguna razon, un post que escribí aqui no ha aparecido...

Bueno, lo que decia es que despues de estudiar más a fondo el virus se cree ahora que usa www.sco.com para comprobar si hay conexion a Internet, pero que no hay níngun ataque de denegación de servicio contra SCO.

[ydiiby]

Quote:

------------------------------------------------------------------- Hispasec - una-al-día 03/02/2004 Todos los días una noticia de seguridad www.hispasec.com ------------------------------------------------------------------- Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer --------------------------------------------------------------------------------- Microsoft publica una actualización acumulativa para Internet Explorer en sus versiones 5.01, 5.5 y 6.0. y elimina tres nuevas vulnerabilidades entre las que se incluyen la ya famosa de falsificación de URLs. Con este parche Microsoft rompe su norma de publicar las actualizaciones el segundo martes de cada mes, lo cual indica la gravedad que los problemas corregidos suponen para la propia Microsoft. El primero de los problemas corregidos es la conocida vulnerabilidad de ocultación y falsificación de URLs, utilizada en los últimos tiempos en varias estafas de banca online como el caso del Banco Popular que ya denunciamos en este servicio y del cual demostramos su importancia en varios test que evidenciaban la gravedad del problema. La vulnerabilidad estaba relacionada con el tratamiento incorrecto de URLs que contienen caracteres especiales. Cuando se combinaba con una forma de autenticación básica de la forma "usuario:contraseña@" al comienzo de la URL, un atacante podía lograr construir un enlace de forma que al seleccionarlo el usuario visualizara una URL concreta en la barra de direcciones de Internet Explorer, cuando en realidad se visitaba un sitio web diferente. Para demostrar la gravedad e implicaciones de este problema Hispasec elaboró la siguiente página web con varios enlaces que demostraban la vulnerabilidad: http://www.hispasec.com/directorio/l...ciondeurl.html La segunda vulnerabilidad está relacionada con el modelo de seguridad de dominios cruzados de Internet Explorer que evita que ventanas de diferentes dominios intercambien información. Esta vulnerabilidad podía llegar a permitir la ejecución de scripts en la zona de seguridad local. La última de las vulnerabilidades corregidas hace relación a la operación de arrastrar y soltar durante eventos de dynamic HTML (DHTML) en Internet Explorer. Esta vulnerabilidad puede permitir que se grabe un archivo en el sistema del usuario si este llega a pulsar en un enlace. Al usuario no se le presentará ningún cuadro de dialogo para aprobar la descarga. Al corregir la vulnerabilidad de falsificación de URLs esta actualización de Internet Explorer también introduce cambios en la funcionalidad de Autenticación Básica del navegador. El parche elimina el soporte para tratar nombres de usuario y contraseñas en direcciones HTTP y HTTP con Secure Sockets Layer (SSL) o HTTPS. Esto quiere decir que no se soporta la siguiente sintaxis: http(s)://nombre_de_usuario:contraseña@servidor Sobre este asunto Microsoft ha publicado un artículo en su base de conocimientos y como solventar los problemas que este cambio de comportamiento pueda ocasionar a desarrolladores de aplicaciones y sitios web. http://support.microsoft.com/default.aspx?scid=kb;[LN];834489 Las actualizaciones publicadas se pueden descargar desde las siguientes direcciones: Internet Explorer 6 Service Pack 1: http://www.microsoft.com/downloads/d...displaylang=en Internet Explorer 6 Service Pack 1 (64-Bit Edition): http://www.microsoft.com/downloads/d...displaylang=en Internet Explorer 6 para Windows Server 2003: http://www.microsoft.com/downloads/d...displaylang=en Internet Explorer 6 para Windows Server 2003 (64-Bit Edition): http://www.microsoft.com/downloads/d...displaylang=en Internet Explorer 6: http://www.microsoft.com/downloads/d...displaylang=en Internet Explorer 5.5 Service Pack 2: http://www.microsoft.com/downloads/d...displaylang=en Internet Explorer 5.01 Service Pack 4: http://www.microsoft.com/downloads/d...displaylang=en Internet Explorer 5.01 Service Pack 3: http://www.microsoft.com/downloads/d...displaylang=en Internet Explorer 5.01 Service Pack 2: http://www.microsoft.com/downloads/d...displaylang=en Opina sobre esta noticia: http://www.hispasec.com/unaaldia/1927/comentar Más información: Microsoft Security Bulletin MS04-004 Cumulative Security Update for Internet Explorer (832894) http://www.microsoft.com/technet/sec...n/MS04-004.asp una-al-dia (11/12/2003) Falsificación de URL y ataque DoS recursivo en Internet Explorer http://www.hispasec.com/unaaldia/1873 una-al-dia (11/01/2004) Intento de estafa a los usuarios del Banco Popular http://www.hispasec.com/unaaldia/1904 Antonio Ropero

[Jay Bee]

Hay anglicismos que uno acepta, otros que aguanta y otros que usa con profusion pero lo que resulta de todo punto incomprensible es utilizar uno que ademas de no aportar nada, suena mal de cojons: "autenticar". Connio, que en castellano solo hay que añadirle la silaba fi por medio, tampoco es tan complicado!


PS. Bueno, ya que lo solte, me he tranquilizado un poco

[jasev]

Odio tener que decirte esto, Jay Bee (sobre todo porque yo estaba de acuerdo contigo), pero "autenticar" es la palabra correcta. En una de las últimas actualizaciones, la RAE aceptó "autentificar", pero sólo ha sido una concesión.

De hecho, si buscas en el diccionario "autentificar", sólo te dirá que es sinónimo de "autenticar".

[Jay Bee]

eso me pasa por no asegurarme primero con el diccionario. Me deje llevar por el anglicismo que yo creia analogo de "fluidizar" en lugar de "fluidificar".

De todos modos, autenticar suena mal de cojons, o no?

[jasev]

Sí, suena fatal. Yo pensé exactamente lo mismo que tú cuando lo escuché por primera vez.

[Chilean President™]

a propósito de esto. He escuchado últimamente la utilización de la palabra "fútil" como sinónimo de "inútil"... sé que existe la palabra futile en inglés que significa inutil, pero en español????..

[jasev]

Sí, existe. Del latín futilis. Yo diría que la palabra inglesa viene del francés futile, y no al revés.

EDIT: Por cierto, en español "fútil" no significa "inútil" sino "de poca importancia".

[Chilean President™]

A eso me refería!.. es lo mismo con la palabra "bizarro" que significa valiente (si mal no recuerdo) y no raro como la versión english.

[bruno321]

Solución:

USEN EL INTERNET DRUMMER! O alguno de esos programas para ver el email en el servidor antes de bajarlo! (si no les gustó el ID prueben el Email Remover). Yo desde que uso este programa no he tenido ningún problema, y me llegan miles de MyDoom, y antes de eso miles de Klez, y antes de eso miles de Sircam, y, y...

[Unspeakable Horror]

Y a mi me sigue sin llegar nada, en qué estarán metidos ustedes