BRAID. Se trata de una versión mejorada del virus Funlove. También conocido como Brid.a y Bridex, el gusano está en Visual Basic, usa su propio motor SMTP para propagarse por correo-e, falseando el remitente, aprovechando una vulnerabilidad de Internet Explorer para ejecutarse automáticamente en Outlook (aún cuando el usuario no abre el archivo con el gusano dentro) y agrega un archivo infectado EML al escritorio. Configura el registry para ejecutarse en cada inicio de sesión de Windows. Infecta archivos EXE, OCX y SCR. El correo-e con el gusano Braid contiene la siguiente información y un archivo readme.exe:

    Product Name: Microsoft Windows [versión de Windows]
    Product Id: [Identificador de Windows]
    Product Key: [Llave de Windows]
    Process List: [procesos en ejecución]

    Thank you.

Al ejecutarse Braid sobreescribe los archivos regedit.exe y msconfig.exe en el directorio Windows\System y agrega Bride.exe. Al ejecutarse, estos archivos infectan los archivos EXE, OCX y SCR.
RECOMENDACIONES: Además de las recomendaciones acostumbradas contra los virus (ver recuadro), si usa Microsoft Internet Explorer verifique que esté actualizado con el Parche de Seguridad dispuesto por Microsoft.       

TROYANO TROJ_FLOOD.BI.DR. Es un programa tipo puerta trasera que permite la entrada oculta de usuarios maliciosos al equipo infectado. El troyano deposita varios archivos en el directorio System de Windows, crea directorios bajo dicha carpeta para depositar scripts maliciosos y además configura el registry para asegurar su ejecución en cada inicio de sesión de Windows. La puerta trasera que instala el troyano permite a usuarios maliciosos tomar el control remoto de los sistemas infectados, forzándolos a comportarse como servidores FTP para que permita la carga y descarga, en forma remota, de archivos hacia y desde los equipos infectados. Los scripts son del tipo IRC para usarse en ataques de negación de servicio distribuido (DDoS). El troyano llega como un programa tipo setup y corre sobre Windows 9x/ME/2000/XP. Bajo el directorio System de Windows, crea la carpeta STDE9 donde deposita los siguientes archivos:

SVCHOST32.EXE
BOOTDRV.DLL
EXPLORE.DAT
EXPLORER.EXE		 EXPLORE.EXE
IISCACHE.DLL
WEB.SWF
LIBPARSE.EXE		 NAVDB.DBX
PSEXEC.EXE
RCFG.INI
RCONNECT.EXE		 RCONNECT.CONF
STR.VXD
SECURE.BAT
V32DRIVER.BAT


Posteriormente el troyano crea un directorio www en STDE9 donde deposita los siguientes scripts IRC que permiten la compartición de archivos mediante mIRC:

www\MDX.DLL
www\MOO.DLL
www\VIEWS.MDX		 www\WEBSERV.MRC
www\HTDOCS
www\htdocs\README.HTM		 www\htdocs\SHIK.GIF
www\WWWLOGS


RECOMENDACIONES: Además de las recomendaciones generales contra virus (ver recuadro) utilice un software antitroyano (p. ej. PestPatrol 4.0) para este tipo de código malicioso que a veces no es considerado exactamente un virus.

TROYANO TROJ_INOR.A QUE ENVIA CORREO-E DE UN USUARIO REMOTO. Descarga y ejecuta código malicioso desde un sitio web. Identificado como BKDR_JEEM.A, realiza ajustes en el sistema para configurarlo como un servidor de correo-e que será utilizado por un usuario remoto. El troyano se difunde en un archivo adjunto en correos-e engañosos de parte del remitente, con el texto  “Hello, world Inor”. Al ejecutarse, el troyano descarga el archivo COUNTER.C desde un sitio web, lo guarda como OUTPUT.EXE y lo ejecuta. En caso de fallar la descarga de COUNTER.C, el troyano crea una entrada en el Registry del sistema para ser ejecutado en cada inicio de sesión de Windows e intente de nuevo la descarga del archivo.     

GUSANO WORM_HOBBIT.G, se propaga mediante correo-e de Microsoft Outlook y archivos de la red KaZaa. El gusano va en el archivo Anti-Bug.exe con el cual se pretende engañar a la víctima para hacerlo creer que eliminará el gusano BugBear, un virus que recientemente ha afectado a cientos de computadoras. El correo-e infectado llega con el asunto (subject) "Fwd: Scan your computer for this new virus threat...". En el caso de la red KaZaa el gusano se copia en los directorios "C:\KaZaa\My Shared Folders" y "C:\Program Files\KaZaa\My Shared Folders". El gusano también puede copiarse en el directorio de Windows bajo los nombres shizzle.exe y Anti-Bug.exe. Para ejecutarse en cada inicio del sistema, el gusano modifica el Registry agregando la entrada correspondiente. Es posible que intente depositar otros archivos con otros nombres y extensiones (posiblemente .EXE, .PIF, .BAT o .SCR). El gusano intenta realizar ataques DoS (Denial of Service) a otros sitio web mediante el envío de PINGs en forma continua.     

GUSANO W32/BUGBEAR@MM se propaga en correos-e que el gusano envía a las direcciones de correo-e alojadas en el equipo infectado. También se difunde mediante las comparticiones de red. Otras actividades que realiza son: enviar tareas de impresión a las impresoras de la red infectada; intentar desactivar productos de seguridad, como software antivirus y de firewalls personales; instalar troyanos que capturan lo que escribe el usuario en el equipo infectado, como passwords; permitir que un atacante pueda conectarse comprometiendo la seguridad de la red. El atacante puede utilizar el equipo infectado para subir archivos a otros equipos desde el equipo infectado, descargar archivos al equipo infectado, ejecutar programas o detener los programas en ejecución.    

GUSANO W32.OPASERV.WORM es un gusano que no se difunde por correo-e sino a través de comparticiones de red. Se copia al equipo víctima como archivo de nombre Scrsvr.exe. Intenta descargar actualizaciones desde un sitio en Internet, con quien también intercambia información del equipo infectado. Revise si su equipo no ha sido infectado: Si el gusano fue ejecutado localmente en el equipo, en el directorio C:\  alojará los archivos Scrsin.dat y Scrsout.dat; si el gusano fue ejecutado en forma remota, aloja el archivo Tmp.ini en el mismo directorio. También es conocido como Opasoft.      

GUSANO APACHE/MOD_SSL EN SISTEMAS LINUX APACHE. Afecta a los sistemas Linux que ejecutan Apache con el módulo OpenSSL (mod_ssl) que accesa Secure Socket Layer (SSLv2) en OpenSSL 0.9.6d o anteriores sobre arquitecturas Intel x86. El gusano busca otras vulnerabilidades en el sistema y hosts adicionales para seguir propagándose. Un atacante puede ejecutar código para obtener acceso privilegiado en el sistema infectado. El gusano contiene una funcionalidad de puerta trasera (backdoor) que permite el acceso sin autenticación y puede actuar como plataforma de ataques distribuidos de negación de servicio (DDoS) contra otros sistemas. El gusano deposita su código en /tmp/.bugtraq.c, que una vez compilado con gcc, se deposita en /tmp/.bugtraq. El gusano también es referido como linux.slapper.worm
o bugtraq.c worm.
RECOMENDACIONES: Verifique la no existencia de los archivos /tmp/.bugtraq.c o /tmp/.bugtraq. Si existe uno de ellos, su sistema ha sido comprometido. Aplique el parche de seguridad disponible por el vendedor del software (http://www.openssl.org/source/), siguiendo sus recomendaciones de instalación. Si le es posible, actualice OpenSSL a la última versión disponible (0.9.6g). Desactive SSLv2. Vuelva a compilar las aplicaciones que utilizan OpenSSL para soportar los servicios SSL o TLS, y reinicie el sistema para eliminar el código vulnerable.

FRETHEM. Es un "gusano" que se propaga vía Microsoft Outlook en un correo-e con las siguientes características:

Subject: Re: Your password! 
Message Body: ATTENTION!
You can access very important information by this password
DO NOT SAVE password to disk
use your mind 
now press cancel
Attachment: Decrypt-password.exe y Password.txt

El gusano utiliza su propio motor SMTP para propagarse a las direcciones contenidas en el Windows Address Book del sistema infectado y en las que se encuentran en los archivos .dbx, .wab, .mbx, .eml y .mdb. Puede ocasionar condiciones de negación de servicio en redes cuyos sistemas han sido infectados o con bastante tráfico de correo-e infectado.
RECOMENDACIONES: Si usa MS Internet Explorer, actualízela a la última versión disponible, incluso aplique el parche de seguridad liberado por Microsoft para IE. Siga las recomendaciones generales contra los virus (ver recuadro).

VBS_VBSWG.AQ es un "gusano" destructivo hecho en Visual Basic Script (VBScript) y que invita a ver imágenes de Shakira. Se propaga usando Microsoft Outlook mediante un correo-e con las siguientes características:

Subject: Shakira's Pictures
Message Body: Hi :
i have sent the photos via attachment
have funn...
Attachment: ShakiraPics.jpg.vbs

Al ejecutarse, el gusano deposita el archivo SHAKIRAPICS.JPG.VBS en el directorio Windows y agrega una entrada de registro que le permite ejecutarse en cada inicio de Windows. El gusano se copia a todos los archivos .VBS y .VBE encontrados en el equipo infectado, incluyendo unidades remotas, e intentando infectar discos flexibles o Zip si se encuentran alojados en las unidades correspondientes en el momento que el gusano se está ejecutando.

KLEZ  es un "gusano" que utiliza su propio motor SMTP para propagarse vía correo-e, con un "asunto" variable, toda vez que lo selecciona de una lista en forma aleatoria, y un "remitente" falso, ya que lo obtiene de la libreta de direcciones del equipo infectado. Al ejecutarse, el "gusano" deposita un  archivo WINK*.EXE en la carpeta Sistema de Windows que le permte ejecutarse en cada inicio de Windows. También infecta archivos .exe. Se han detectado recientemente variantes KLEZ.H, KLEZ.G y KLEZ.GEN.  El impacto de KLEZ.H está creciendo al afectar ya a un gran número de computadoras. KLEZ.H puede revelar información confidencial de los equipos afectados. KLEZ.G crea una entrada en la clave AutoRun del Registro del Sistema y busca archivos .exe asociados con software antivirus para desactivarlos. KLEZ.GEN utiliza la libreta de direcciones de Microsoft Outlook para propagarse como un archivo adjunto con una extensión que puede ser .bat, .exe, .pif or .scr. Puede incluir un virus que destruirá archivos el día 13 de los meses de marzo y septiembre. Se ha detectado que el "gusano" deposita un archivo (PE_ELKERN.D de aproximadamente 10 KB) en el directorio de archivos de programa (C:\Program Files), que puede infectar archivos en directorios compartidos de una red de cómputo y desactivar la protección del sistema de archivos, lo que puede ocasionar una infección completa al sistema.

W32/MYLIFE.B@MM  utiliza ingeniería social para seducir al usuario a abrir un archivo adjunto, formato .scr, que contiene una caricatura de Bill Clinton. Trae como asunto el texto "Bill Caricature". El virus se está propagando rápidamente y tiene como finalidad borrar archivos de programa. Se han detectado variantes del virus con los nombres WORM_MYLIFE.C y WORM_MYLIFE.F. Estos también son destructivos y llegan en un archivo adjunto a correos-e con el asunto identificado como "the list" o "The List.". WORM_MYLIFE.C llega con el archivo "List.TXT.scr." y se dice que durante los minutos 50 a 59 de cada hora borra las carpetas bajo el directorio raíz  C:\ y formatea las unidades D:\, E:\, F:\, G:\, H:\, e I:\. WORM_MYLIFE.F llega con el archivo adjunto "List480.TXT.scr", borra todos los archivos bajo el directorio raíz C:\ y formatea las unidades D:\, E:\, F:\, G:\, H:\ e I:\ en caso de que existan en el equipo infectado. Otras variantes detectadas: MYLIFE.G y MYLIFE.J.

WORM_SHREW.A está desarrollado con Visual Basic y utiliza Microsoft Outlook para copiarse y difundirse mediante las direcciones de correo-e del Windows Address Book (WAB) del equipo infectado.    

BKDR_WARHOME.A aparece en programas tipo servidor y cliente y puede ser utilizado para comprometer la seguridad de una red de cómputo. El programa tipo cliente puede borrar archivos y directorios en el equipo que ejecuta el programa tipo servidor.   

WORM_PORKIS.A es un virus que viene en un archivo adjunto a correos-e enviados con Microsoft Outlook. El archivo se identifica como Porkis.exe y se propaga a todas las direcciones de correo-e contenidas en el Windows Address Book (WAB) del equipo infectado.    

TROJ_JUNTADOR.B está desarrollado en Delphi y puede enviar mensajes ICQ. Baja archivos en los directorios de Windows y System. También descarga los programas BKDR_PSYCHWARD.F y BKDR_OBLIVION.B1 que pueden ser utilizados para el acceso a equipos de cómputo sin registro alguno.

VIRUS W32/Myparty Virus que afecta a los sistemas Microsoft Windows. Llega en un correo-e con las siguientes características:
                      SUBJECT: new photos from my party!
                      BODY: 
                                Hello!
                                My party... It was absolutely amazing!
                                I have attached my web page with new photos!
                                If you can please make color prints of my photos. Thanks!
                      ATTACHMENT: www.myparty.yahoo.com
El attachment contiene el virus. El uso de "www" confunde a la persona ya que "cree" que al hacer click se accesará una página en Internet cuando en realidad se trata de un archivo con extensión .com ejecutable en Windows.  El virus envía copias de su código malicioso a las direcciones de correo-e de la libreta de direcciones de Windows y de Outlook Express.

VIRUS W32/YARNER. Gusano de correo-e que usa sus propias rutinas SMTP para enviar correo-e. Es un archivo .exe y está escrito en Delphi. Se han detectado algunas variantes del gusano que tienen la misma funcionalidad e igual texto en el mensaje con el que se propaga. El gusano intenta enviarse a las direcciones de correo-e encontradas en la Libreta de Direcciones del equipo infectado. Más información la puede conocer en:
http://www.sophos.com/virusinfo/analyses/w32yarner.html

http://www.ananova.com/yournews/story/sm_524922.html

http://www.f-secure.com/v-descs/yarner.shtml

VIRUS W32.Led.   Es un gusano para correo masivo que afecta Microsoft Outlook, mIRC y Microsoft Messenger. Busca direcciones e-mail, archivos .vbs, y después de crear una lista de ellos los ejecuta uno por uno. El asunto en el e-mail con el gusano se identifica con "Yo Momma".

TROJ_FRAG.A   Troyano capaz de producir un componente del servidor para registrar entradas desde el teclado, habilitar conexiones a puertos, enviar correo electrónico o modificar  el registro del sistema (registry).

VIRUS WORM_REXLI.A - Gusano destructivo para sistemas Win32. Sobreescribe todos los archivos *.VBS y SCRIPT.INI. Borra ciertos archivos del sistema. Viene en un correo-e con asunto "Cool linki". Se propaga enviando copia de sí mismo por correo-e a todas las direcciones contenidas en el Windows Address Book (WAB) del equipo infectado y también mediante el Internet Relay Chat (mIRC).

Nuevos Virus, Vulnerabilidades e Incidentes de Seguridad
 

IMPORTANTE.  Esta información es proporcionada con un sólo propósito: promover una cultura de la seguridad informática. Difundir las amenazas, riesgos e incidentes a la seguridad de los sistemas de cómputo e información para que los administradores de sistemas y/o de la seguridad informática puedan actuar y proteger su infraestructura informática y la información misma. La información aquí presentada puede cambiar sin previo aviso. Su uso es bajo riesgo y responsabilidad del propio usuario y no de ASI Auditores. Es ALTAMENTE RECOMENDABLE que antes de ejecutar alguna acción para mitigar o evitar los riesgos y amenazas informados, el usuario evalúe todo el impacto posible para no afectar la continuidad de las operaciones informáticas.