WORM_JUBON.A es un gusano que está propagándose vía Internet en sistemas Windows 95/98/ME/NT/2000/XP. Al ejecutarse, intenta descargar un archivo identificado como BOND.EXE con contenido malicioso y que se encuentra en un sitio web malicioso. El archivo descargado sirve para iniciar el envío masivo de correo-e. También intenta establecer una conexión con dos direcciones IP a través del puerto 80. El gusano modifica el Registro del sistema para asegurarse de ser ejecutado en cada inicio de Windows.   «Inicio de Página»

WORM_SCOLD.A es un gusano que se difunde por correo-e en un archivo adjunto .SCR, que contiene un protector de pantalla, afectando a sistemas Windows 95/98/ME/NT/2000/XP. El nombre de este archivo adjunto no es fijo, ya que se genera de forma aleatoria. El gusano se auto-envía a las direcciones contenidas en la lista de contactos de Microsoft Outlook y en las que encuentra en los archivos .HTML y .HTM contenidos en el equipo infectado. Scold hace cambios en el Registro del sistema para asegurarse de que será ejecutado en cada inicio de sesión de Windows.   «Inicio de Página»

WORM_AGOBOT.AZ es un gusano que se está esparciendo muy rápidamente, afectando sistemas Windows 2000 y XP. Explota la vulnerabilidad de Windows en las llamadas a procedimientos remotos (RPC-DCOM), que puede permitir a un usuario remoto obtener el acceso total y ejecutar código de su elección en la computadora vulnerable. También intenta, mediante una búsqueda en la red, encontrar computadoras vulnerables escaneando de forma aleatoria direcciones TCP/IP en el puerto 135. Esta variante de AGOBOT explota también una vulnerabilidad en el servicio de localización de RPC (RPC Locator) y busca equipos vulnerables escaneando direcciones TCP/IP sobre el puerto 445. AGOBOT.AZ también explota la vulnerabilidad buffer overrun en WEBDAV de IIS5 para intentar ejecutar código de su elección en el equipo vulnerable. Utiliza una lista de passwords para intentar el acceso a computadoras remotas con passwords débiles. Actúa como puerta trasera para permitir a usuarios maliciosos el acceso a la computadora infectada a través del IRC (Internet Relay Chat) y actúa como un agente a la espera de comandos remotos. También intenta la terminación de ciertos procesos de Windows.  Al ejecutarse, se copia en la carpeta de Windows con el nombre de WINCOMM.EXE y modifica el Registro del sistema para asegurar su ejecución automática en cada inicio de sesión del sistema.   «Inicio de Página»

TROYANO QUE ROBA PASSWORDS.  Con diferentes nombres, Troj/Tofger.A, MultiDropper.GP.A, Trojan.Sefex y TrojanDropper.JS.Mimail.B, este troyano utiliza un archivo zip aparentemente protegido con password para capturar todo lo que se teclea y enviarlo a un sitio remoto una vez que detecta una conexión activa a Internet. El troyano se ejecuta en sistemas Windows, modificando el archivo system.exe, así como el Registro del sistema para ejecutarse en cada inicio de sesión. Llega en un correo-e con asunto (subject) en blanco y lleva adjunto el archivo MyProfile.zip, protegido con password, aunque ésta es mencionada en el cuerpo del mensaje. El troyano se propaga vía correo-e, IRC y redes peer-to-peer. 
RECOMENDACIONES: Es recomendable utilizar un programa antitroyano, ya que no todos los programas antivirus actúan sobre los troyanos. De todos modos, actualice el programa antivirus.   «Inicio de Página»

WORM_WOZER.A es un gusano que actúa sobre Windows 95/98/ME/NT/2000/XP, intentando detener la ejecución de programas antivirus, y que se propaga vía correo-e, comparticiones de red y mIRC. Para difundirse vía correo-e, Wozer usa las direcciones de correo-e que encuentra en archivos contenidos en el equipo infectado con extensiones htm, html, wab, eml, ods, mmf, nch, mbx, tbb, cpp, dpr, frm, bas, doc, rtf, vbs, txt, y asp. Mediante su propio motor SMTP, Wozer se envía a dichas direcciones como un archivo adjunto llamado ecard.zip simulando ser una tarjeta electrónica enviada supuestamente por un admirador secreto. En Windows NT/2000/XP, Wozer modifica el Registro del sistema para asegurar su ejecución en cada inicio de sesión; en tanto que en Windows 95/98/ME modifica el archivo SYSTEM.INI. Para propagarse vía comparticiones de red, Wozer se copia como winupdate.exe en unidades mapeadas de la red. Vía mIRC el gusano copia un archivo script.ini con código malicioso en la carpeta mIRC, que envía el ecard.zip a todos los usuarios que se encuentran en el mismo canal mIRC en que está el usuario infectado.   «Inicio de Página»

WORM_MOEGA.C es un gusano con capacidades de puerta trasera que actúa en sistemas Windows NT/2000/XP. Para propagarse escanea el sistema infectado en busca de hosts en el dominio del sistema para copiarse en aquellos que tienen comparticiones con passwords débiles mediante una conexión en el puerto 139 del host y utilizando los nombres de usuario administrator, database, guest, owner, root, sql, sqlagent, system, user y wwwadmin. Utiliza su capacidad de puerta trasera para conectarse a un servidor IRC (Internet Relay Chat) remoto y unirse a un canal, donde el atacante puede enviar comandos con código malicioso para ejecutarse en el sistema afectado. También modifica el Registro del sistema para ejecutarse en cada inicio de sesión.   «Inicio de Página»

WORM_MIMAIL.H es una nueva variante del gusano MIMAIL que se difunde vía correo-e usando su propio motor SMTP (Simple Mail Transfer Protocol). Afecta a los sistemas Windows 95/98/ME/NT/2000/XP. El correo-e con el que se propaga es engañoso en cuanto a su remitente y lleva adjunto el archivo readnow.zip, que debe ser extraído y ejecutado para su activación. MIMAIL.H intenta encontrar una conexión activa para Internet y realizar un ataque de negación de servicio a los sitios web www.spamhaus.org y www.spews.org. Modifica el Registro del sistema para ejecutarse en cada inicio de Windows. Al ejecutarse, se registra como un servicio en proceso, que en el caso de Windows 95/98/ME no puede ser visto en la lista de tareas en proceso.
UPDATE: MIMAIL.I y MIMAIL.J se están propagando en correos-e que dicen provenir de PayPal, un servico de Internet para enviar o recibir pagos en linea, lo cual es falso. El alto riesgo de estas nuevas variantes de MIMAIL se encuentra en la solicitud que hacen al usuario para actualizar la información de la cuenta en PayPal, incluyendo datos relacionados con la tarjeta de crédito. Para forzar al usuario a introducir dicha información, MIMAIL advierte que de no hacerlo la cuenta que se tenga con PayPal expirará transcurridos 5 días después de recibido el mensaje. Si el engaño de MIMAIL surte efectos, la información introducida por el usuario es enviada a cuentas de correo del autor de MIMAIL. Para ello, primero intenta una conexión al sitio www.akamai.com para detectar si el sistema infectado está conectado a Internet. Al mismo tiempo el gusano pide ejecutar los archivos adjuntos para hacer la actualización y cuyos nombres pueden ser www.paypal.com.scr, paypal.asp.scr, www.paypal.com.pif o InfoUpdate.exe. MIMAIL se instala en la carpeta de Windows como svchost32.exe y modifica el Registro del sistema para ejecutarse en cada inicio de sesión.   «Inicio de Página»

WORM_MIMAIL.C. RIESGO MEDIO. La rápida propagación de este gusano ha puesto en alerta a los fabricantes de antivirus. MIMAIL.C es un gusano que afecta a sistemas Windows 95, 98, ME, NT, 2000 y XP. Para propagarse, MIMAIL.C utiliza su propio motor SMTP (Simple Mail Transfer Protocol). MIMAIL.C llega en un correo-e que lleva adjunto el archivo photos.zip, que a su vez contiene dos archivos: uno .HTML y otro .EXE. Cuando el archivo .HTML es abierto, el código malicioso que lleva dentro es ejecutado para explotar una vulnerabilidad de Internet Explorer y ejecutar el archivo .EXE con el programa del gusano para inicia su trabajo malicioso, entre otros:

- Se copia en la carpeta Windows del sistema
- Modifica el Registro del sistema para ejecutarse en cada inicio de sesión
- Checa si existe conexión con Internet para iniciar su propagación vía correo-e, con direcciones engañosas en el campo remitente
- Intenta ataques de negación de servicio contra los sitios www.darkprofits.com y www.darkprofits.net
- Busca si hay ventanas activas con Internet Explorer e intenta recuperar entradas de datos con información confidencial, como passwords. Los datos obtenidos los guarda en un archivo C:\TMPE.TMP que después envía a las direciones de correo-e omnibbb@gmx.net, drbz@mail15.com, omnibcd@gmx.net y kxva@mail15.com, que son controladas por el autor del gusano.    «Inicio de Página»

WORM_RANDEX.Q es un gusano con capacidades de puerta trasera que permite el acceso a un atacante remoto vía IRC (Internet Relay Chat). RANDEX se ejecuta en sistemas Windows 95/98/ME/2000/NT/XP. Para propagarse se aprovecha de passwords débiles en el equipo objetivo. Al ejecutarse se esconde registrándose como un servicio API. También modifica el Registro del sistema para ejecutarse en cada inicio de sesión del sistema.    «Inicio de Página»

WORM_REDIST.E es un gusano que se propaga vía correo-e y redes P2P. Afecta a los sistemas Windows 95/98/ME/NT/2000/XP. Su mayor riesgo es que puede robar passwords. Para su difusión por correo-e utiliza Microsoft Outlook. Al ejecutarse modifica el Registro del sistema para ejecutarse en cada inicio de Windows. Se propaga por correo-e usando Microsoft Outlook (MAPI) y las direcciones de correo-e que encuentra en la libreta de direcciones del usuario infectado. También intenta propagarse a otros usuarios vía redes P2P y chat. Intenta capturar las passwords ingresadas por el usuario, inclusive las que se encuentren ocultas en la caché del sistema, y enviarlas a su autor que ubica en la dirección de correo-e Zed_rRlf@hotmail.com.  Sin embargo, esto sólo sucede en sistemas con Windows 95/98, ya que API no es utilizada en sistemas basados en NT.   «Inicio de Página»

TROJ_QHOSTS.A es un troyano proveniente de varios sitios web maliciosos. Se aprovecha de la vulnerabilidad de Microsoft Internet Explorer que permite la ejecución de código arbitrario con tan sólo visitar una página HTML. A través de esta vulnerabilidad, el troyano se copia y ejecuta en el equipo con el sistema vulnerable. Al visualizar la página con el código malicioso, otras páginas son desplegadas una de las cuales descarga un archivo llamado aolfix.exe que contiene e infecta al sistema con QHOSTS. Cuando el troyano consigue introducirse en la computadora, modifica la configuración de TCP/IP en la computadora, en particular las direcciones de los servidores de DNS para que todos los requerimientos sean enrutados a direcciones IP determinadas por el autor de QHOSTS. También redirecciona búsquedas que los usuarios hagan a sitios populares como google.com y altavista.com y en su lugar utilicen un sitio que el autor de QHOSTS ha seleccionado. Por lo mismo, estos servicios pueden no estar disponibles para los usuarios.El troyano se ejecuta en sistemas Windows 95, 98, ME, NT, 2000 y XP.
RECOMENDACIONES: Actualizar Microsoft Internet Explorer con el último parche de seguridad proporcionado por Microsoft.   «Inicio de Página»

WORM_SMIBAG.A es un gusano que se propaga por MSN Messenger enviando copias de sí mismo a todos los usuarios de MSN encontrados en la lista de contactos del usuario cuyo equipo ha sido infectado. SMIBAG va en un archivo SMB.EXE que opera en sistemas Windows 95/98/ME/NT/2000/XP. Al ejecutarse el gusano, despliega anuncios popup de páginas de sitios web para adultos. Modifica el Registro del sistema para ejecutarse en cada inicio de sesión de Windows.   «Inicio de Página»

WORM_CASPID.A es un gusano que afecta a sistemas Windows 95/98/ME/NT/2000/XP y se propaga por correo-e y redes P2P, como Kazaa, Morpheus, LimeWire y BearShare. CASPID se copia en el equipo infectado como un archivo HTML que utiliza como fondo por default en todos los correos-e enviados con Microsoft Outlook Express. El gusano explota una vulnerabilidad en Microsoft Outlook Express 5.5/6.0, que activa código MIME en archivos HTML para ejecutarlo. Al ejecutarse, CASPID se copia con un nombre aleatorio y extensión .SCR; en la carpeta de Windows se copia como CAPSIDE.EXE, CAPSIDERED.PIF. También deposita código MIME en formato HTML, con los nombres CAPSIDE.HTM y CAPSIDECODE.HTM. Modifica el Registro del sistema para ejecutarse en cada inicio de Windows. El gusano se propaga vía carpetas compartidas peer-to-peer bajo las siguientes aplicaciones: BearShare, eDonkey, Filetopia, Grokster, iMesh, Kazaa, LimeWire, Morpheus y SoulSeek. Deposita código MIME en formato HTML en carpetas compartidas con aplicaciones P2P usando nombres aleatorios de archivo. Para propagarse por correo-e usa una copia de sí mismo codificada en MIME, CAPSIDE.HTM, que configura para ser usado por default en fondos de Microsoft Outlook Express. Como resultado una copia del gusano se incrusta automáticamente en todo correo-e enviado con el fondo HTML. El gusano también infecta a los archivos HTML en todas las carpetas y subcarpetas del equipo infectado.     «Inicio de Página»

WORM_SWEN.A es un nuevo gusano de correo masivo que se está difundiendo como "September 2003, Cumulative Patch" para MS Internet Explorer, MS Outlook y MS Outlook Express. Afecta a sistemas Windows 95/98/NT/ME/2000/XP y se disfraza como un correo-e emitido desde Microsoft Windows Update. Además de propagarse por correo-e, SWEN se está difundiendo vía redes peer-to-peer (como Kazaa), IRC y newsgroups, e intenta desactivar programas antivirus y firewall personales en el equipo infectado. SWEN usa su propio motor SMTP para propagarse por correo-e y obtiene las direcciones de correo-e de archivos .EML, .WAB, .DBX y .MBX que localiza en el equipo infectado. Lleva adjunto un archivo .EXE con nombre aleatorio. Al ejecutarse, SWEN se copia en la carpeta Windows, con nombre y extensión aleatorias, y modifica el Registro del sistema para ejecutarse en cada inicio de Windows. También a través de su motor SMTP, SWEN intenta conectarse a cualquiera de los servidores NNTP (Network News Transfer Protocol) en busca de contactos objetivo para su propagación. Se copia en una carpeta compartida en una red P2P y modifica el registro para poder ser copiado en la red Kazaa. Para propagarse vía mIRC, SWEN crea o sobreescribe el archivo SCRIPT.INI en el directorio donde se instaló mIRC. El gusano se copia en todas las carpetas de inicio que están mapeadas en la red.
RECOMENDACIONES: Los administradores de sistemas, de seguridad y los usuarios deben actualizar lo más pronto posible su programa antivirus y definiciones de virus para su protección contra este nuevo gusano. También deberán asegurarse de que todas las comparticiones de archivos en la red estén desactivadas y de que sólo las que sean necesarias deberán estar protegidas con password.   «Inicio de Página»

ALERTA DE VIRUS: WORM_SOBIG.F RIESGO MEDIO. 19-Agosto-2003: Nueva variante del conocido gusano W32/Sobig de correo masivo. Afecta sistemas Windows 95/98/ME/NT/2000/XP. Está diseñado para propagarse vía correo-e usando su propio motor SMTP(Simple Mail Transfer Protocol) y utilizando direcciones de correo-e que recoge de archivos con extensiones DBX, HLP, MHT, WAB y HTML.  También puede difundirse vía comparticiones de red de forma similar a la variante Sobig.E. El correo-e con el que se transmite y replica masivamente contiene un campo "from" engañoso, ya que puede ser cualquiera de las direcciones de correo-e que recopiló del equipo infectado. Esto surte el efecto de que el usuario perciba que quien le envió el correo-e con el virus está infectado, lo cual no necesariamente es cierto, haciendo no confiable la fuente de origen del correo-e. Los correos-e de Sobig.F llevan adjunto archivos con extensión .pif o .scr. El gusano está diseñado para detener su propagación el 10-Sep-2003. 
RECOMENDACIONES:  Actualizar el software antivirus. Asegurar que todas las comparticiones de red estén desactivadas a menos que sean necesarias. De ser posible proteja las comparticiones de red con el uso de passwords. «Inicio de Página»

WORM_TZET.A es un gusano que afecta a los sistemas Windows 95/98/ME/NT/2000/XP. Además actúa como puerta trasera y contiene script malicioso IRC que modifica el Registro para ejecutarse en cada inicio de Windows. Se difunde y copia al penetrar sistemas con passwords débiles. Al ejecutarse deposita archivos en el directorio System32 bajo Windows (C:\Windows o C:\WINNT). El código malicioso intenta el acceso a sistemas vulnerables por passwords débiles, utilizando cuentas como administrator, Administrator, admin, root, sql, wwwadmin, sqladmin, wwwroot, guest, server, entre otras, y passwords como password, admin, administrator, Administrator, sql, guest, server, entre otras. El gusano utiliza un archivo AUTHEXEC.BAT (BAT_TZET.A) para intentar la conexión con sistemas vulnerables, donde se copia como X586.EXE, que ejecuta de forma remota usando la utilería PsExec. Al estar activo en el sistema infectado, Tzet se conecta a un servidor IRC remoto, a través del cual un usuario remoto puede llegar a tener el control del sistema infectado mediante el uso de comandos IRC, permitiendo el uso del sistema afectado para ataques de negación de servicio de otros sistemas, recuperar información del sistema, borrar y renombrar archivos, entre otras.     «Inicio de Página»

WORM_SACHIEL.F es un gusano destructivo que borra archivos críticos de Windows. Utiliza un ícono generalmente asociado con archivos JPEG y se ejecuta sobre sistemas Windows 95/98/ME/NT/2000/XP. Al ejecutarse, el gusano se copia como winrun.sys.pif y helpdks.dll en la carpeta System y como Sachiel.sys.bat en la carpeta Windows\help\. El gusano crea entradas tipo autorun para ejecutarse de forma automática en cada inicio de Windows. Una vez activo en la memoria del equipo infectado, el gusano se copia en los diskettes insertados en el equipo con cualquiera de los siguientes nombres: Andrea.jpg.scr, Expedientes.txt.bat, Noticia(2).jpg.scr, CrackerMail.txt.pif o ChupaCabras.jpg.scr. Sachiel también borra los archivos críticos REGEDIT.EXE, MSCONFIG.EXE y SFC.EXE .   «Inicio de Página»

WORM_AGOBOT.R es un gusano que afecta a los sistemas Windows NT/2000/XP. Tiene capacidades de puerta trasera para conectarse a un servidor IRC (Internet Relay Chat) y recibir comandos remotos que ejecuta en el equipo infectado. Esto pone en riesgo al equipo infectado ante la posibilidad de que un usuario remoto pueda tener el control virtual del equipo. El usuario remoto puede ejecutar un archivo específico, recuperar información del sistema, descargar y/o ejecutar u archivo desde Internet, vía FTP o HTTP, inclusive actualizar el código malicioso del gusano desde un sitio remoto vía FTP o HTTP. Al ejecutarse, el gusano se copia en la carpeta de Windows bajo los nombres de SVCHOS1.EXE y RPCFIX.EXE. Modifica el Registro del sistema para que el archivo SVCHOS1.EXE se ejecute en cada inicio de Windows. AGOBOT se propaga en respuesta a comandos que recibe del exterior para escanear sistemas objetivo en busca de cuentas de usuarios con passwords débiles o que tengan presente las vulnerabilidades RPC DCOM o Buffer Overflow en el servicio Locator, por lo que es importante mantener actualizados los sistemas con los parches de seguridad provistos por Microsoft.    «Inicio de Página»

WORM_RANDEX.E afecta los sistemas Windows NT/2000/XP, modificando el Registro del sistema para ejecutarse en cada inicio de Windows. Deposita el archivo PAYLOAD.DAT, que es una puerta trasera para asegurarse que se esté ejecutando en la memoria activa. La puerta trasera se conecta a una dirección IP, vía un puerto aleatorio, para reportarse lista para recibir comandos y ejecutarlos. Utiliza los puertos TCP 3330, 3331 y  3332. Usando direcciones IP aleatorias, accesa a otros equipos sobre comparticiones SMB vía puerto 445. También utiliza passwords aleatorias al intentar accesar los equipos, como la contraseña nula, 123, 1234, 123456, 654321, admin, entre otras. De lograr penetrar en los equipos atacados, se copia como MSMSGRI32.EXE en los directorios \c$\winnt\system32 o \Admin$\system32\ de los equipos vulnerables, configurando su ejecución programada.   «Inicio de Página»

WORM_AINJO.E es un gusano que afecta los sistemas Windows 95/98/NT/ME/2000/XP. Se difunde vía Internet Relay Chat (IRC), redes peer-to-peer para compartición de archivos, como Kazaa, y por correo-e usando Microsoft Outlook. Al ejecutarse, el gusano se copia en la carpeta Windows como Kernelw32.exe y Blank.scr, y modifica el Registro del sistema para ejecutarse en cada inicio de Windows. El correo-e donde llega contiene como archivos adjuntos cualquiera de los siguientes: SaveNow.zip, Report.zip, FFA.zip o FreeJoin.zip. A través de redes compartidas, como es el caso de Kazaa, el gusano deposita en la carpeta C:\Program Files\Kazaa\My Shared Folder, los siguientes archivos: XPPatch.exe, NUDE7430482Jpg.exe, AVUPDATE.EXE, ASIAN568230485Jpg.exe, NAVUPDATE.EXE, PIC92124430Jpg.exe, LIVEUPDATE.EXE, AMATEURE4981158Jpg.exe, MCAFEE.EXE, SEXY50769389Jpg.exe, PASSWORD.EXE, Fisting612347221Jpg.exe, SEXSHOW.EXE, Preeteens69625457Jpg.exe, ANTIVIRAL.EXE, Lolita3830436Jpg.exe, Fetish57700493Jpg.exe, FREE_FIREWALL.EXE, Girls887525186Jpg.exe. El gusano deposita o sobreescribe el archivo MIRC.INI, en la carpeta donde está instalado mIRC, y se ejecuta automáticamente al ejecutar mIRC. Inicializa mIRC para enviar una copia del gusano como FREEPIC.ZIP a todos los usuarios que están en el mismo canal que el usuario infectado.   «Inicio de Página»

ALERTA DE VIRUS: WORM_MSBLAST.A RIESGO MEDIO. 11-Agosto-2003: Se han reportado infecciones de un gusano llamado WORM_MSBLAST.A que explota la vulnerabilidad crítica en la Llamada Remota de Procedimientos (RPC) de sistemas Windows NT/2000/XP/2003 de Microsoft. Al explotar esta vulnerabilidad, un atacante puede obtener acceso total en los sistemas afectados y ejecutar código de su elección, comprometiendo su seguridad. El gusano escanea de forma continua el sistema infectado y envía datos otros sistemas vulnerables a través del puerto 135. Se ha identificado que cuando la fecha del sistema sea 15 de agosto, el gusano realiza un ataque distribuido de negación de servicio contra el sitio web windowsupdate.com. Al ejecutarse, el gusano modifica el Registro del sistema para poder ser ejecutado en cada inicio de sesión del sistema. Para comenzar a infectar otros equipos en la misma red, el gusano abre el puerto 4444 y lo usa para su shell remoto. Simula ser un servidor FTP trivial que escucha por el puerto 69 e intenta descargar de un equipo remoto el archivo MSBLAST.EXE en el directorio System32 ( C:\Windows\System32 o C:\WINNT\System32) que el mismo equipo remoto ejecuta para iniciar un nuevo ciclo del gusano en otro equipo infectado.
Update 14-AGO-2003: El nivel de propagación y el descubrimiento de variantes del gusano, coloca a MSBLAST en un nivel alto de riesgo para los sistemas vulnerables. Hay una variante que incluye código malicioso tipo troyano.
RECOMENDACIONES:  Monitorear el tráfico de la red en busca de un posible tráfico hacia windowsupdate.com, ya que ello puede significar la presencia de una infección en la red. Los sitios que no usan windowsupdate.com pueden bloquear el tráfico de salida hacia windowsupdate.com, aunque esto debe hacerse con precaución y con el conocimiento de las necesidades actuales de operación. Aplicar el parche de seguridad provisto por Microsoft en su Boletín de Seguridad MS03-026. Más información de la vulnerabilidad.    «Inicio de Página»

ALERTA DE VIRUS: WORM_MIMAIL.A RIESGO MEDIO. 1-Agosto-2003: Un nuevo código malicioso se está propagando rápidamente en los Estados Unidos. Este código malicioso es detectado como WORM_MIMAIL.A por lo que Trend Micro ha declarado una Alerta Amarilla para controlar la difusión de dicho código malicioso. Se trata de un gusano que se propaga vía correo-e usando su propio motor SMTP (Simple Mail Transfer Protocol) y llega con un archivo adjunto con extensión ZIP que contiene un archivo HTML, dentro del cual va incrustado un ejecutable (EXE). Los detalles del correo-e son los siguientes:

W32.GRUEL@MM. Gusano de correo masivo que se está propagando disfrazado como una actualización crítica de Microsoft o como una advertencia de virus proveniente de Symantec. También llamado Fakerr, el gusano intenta borrar archivos del sistema y usa la libreta de direcciones de Outlook y redes P2P de KaZaA para propagarse. Modifica el Registro del sistema para ejecutarse cada vez que se inicia el sistema. Parece que está escrito en VB y que puede desactivar procesos como Task Manager, Logoff, Shutdown, Lock Computer y Change Password.
RECOMENDACIONES: Filtrar la entrada de archivos .exe en el gateway del correo-e y actualizar el software antivirus y antitroyano.  «Inicio de Página»

TROJ_MIGMAF.A. Troyano que puede llegar como el archivo WINGATE.EXE y se ejecuta en sistemas Windows 98/ME/NT/2000/XP. No tiene un mecanismo de propagación. Puede llegar ya sea enviado por otro código malicioso o ser introducido con intervención del usuario en los sistemas infectados. Una vez que se ejecuta, el troyano crea una entrada para ejecutarse en cada inicio de Windows. Migmaf verifica si el sistema infectado tiene una conexion a Internet, mide la velocidad de la conexión y envía esta información a un host remoto, cuyo propietario puede ser el autor del troyano. El troyano no realiza ninguna acción hostil en el sistema infectado, sólo utiliza su ancho de banda, actuando como un servidor proxy de web, escuchando los requerimientos del puerto 80 y enviándolos al host remoto, que parece ser con contenido pornográfico. Esto permite al atacante establecer un servidor de web y lo usa para ocultar la dirección IP del servidor web original para impedir cualquier posible acción de bloqueo de su contenido. Migmaf intenta conectarse en forma aleatoria al host remoto. 
RECOMENDACIONES: Borrar el archivo WINGATE.EXE, típicamente alojado en el directorio  %WINDIR%\SYSTEM32. Usando el Editor del Registro del Sistema, borrar la clave "Login Service = wingate.exe" que se encuentra en la trayectoria  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Una vez borrada esta entrada, reiniciar el equipo. NOTA: El Editor del Registro es una herramienta avanzada que permite cambiar la configuración del Registro del sistema, que contiene información acerca del funcionamiento del equipo. Tenga cuidado al hacerlo, respalde antes, ya que si existe un error en el Registro, es posible que el equipo pierda funcionalidad. Si ocurre esto, restaure el Registro a como estaba antes.   «Inicio de Página»

ALERTA DE VIRUS: WORM_MYLIFE.M RIESGO MEDIO. 7-Julio-2003: Se ha reportado una epidemia de virus creciente en la región europea. Este código malicioso es detectado como WORM_MYLIFE.M y actualmente se está propagando vía correo electrónico, afectando los sistemas Windows 95/98/NT/ME/2000/XP. Desarrollado en Visual Basic, MyLife.M es un gusano de correo-e masivo y destructivo; esto es, que además de poder replicarse por correo-e, contiene rutinas que pueden dañar al sistema infectado, ya sea corrompiendo archivos, borrando archivos, formateando el disco duro y ser susceptible de ataques de negación de servicio. Usa Microsoft Outlook para enviarse a todos los contactos que encuentra en la libreta de direcciones de Outlook. Requiere la utilería MSVBVM60.DLL para ejecutarse. El mensaje del correo electrónico con el gusano de la infección puede ser cualquiera de los siguientes:

* * * * * * * * * * * CORREO-E 1 * * * * * * * * * * * * * * * * * * * * * * * * * 
Subject: Old Shakira
Message Body:
Hi 

i saw this good ASS,, i sleep 3 hours 
check Shakira ass soory Shakira movi 

========No virus detected======== 
MCAFEE.COM 
Attachment: Shakira_1997_part_1_.Mpeg_.scr 

* * * * * * * * * * * CORREO-E 2 * * * * * * * * * * * * * * * * * * * * * * * * * 
Subject: Fw: Julia Roberts
Message Body: 
Hi 
How are you? 
Lexy and Mystique, a couple of 18 yr old bi gothic chicks, 
came over and had some fun in our shower. 
This scene looks even better on video, check em out at gotgiclex.com 

========No virus detected======== 
MCAFEE.COM 
Attachment: Julia_Roberts_*******_toilet.Mpeg_.scr 
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Al ejecutarse, el gusano se copia en el directorio del sistema Windows como Shakira_1997_part_1_.Mpeg_.scr y Julia_Roberts_*******_toilet.Mpeg_.scr. Además deposita el archivo MyLife.mpg pidiendo abrirlo o guardarlo. Modifica el registro del sistema para ejecutarse en cada inicio de sesión. 

El gusano contiene una carga destructiva que se activa si la ruta desde donde se ejecuta es la carpeta System de Windows  y si el minuto actual de la hora es mayor que 50. Si estas condiciones se cumplen, el gusano borra los archivos que encuentra en %System%\*.*, %Windows%\*.sys, d:\*.*, e:\*.*, f:\*.*.          «Inicio de Página»

WORM_KLEXE.A es un gusano de correo masivo que se propaga por correo-e a través de las direcciones de correo-e de Microsoft Outlook. El correo-e no contiene archivos adjuntos y sí un link que apunta a un archivo ECMSETUP1.ZIP, que contiene los archivos ECMSETUP1.EXE y KL.EXE. El primero es el gusano y el segundo es un keylogger. Klexe también deposita un archivo "Windows Explorer.exe" en la carpeta de inicio de Windows para que el keylogger se ejecute en cada inicio de Windows. El gusano recoge información como el hostname, la dirección IP, fecha y hora actual y la lista de direcciones de correo-e a donde se envió. Esta información la envía a la dirección de correo-e  cardvict@rediffmail.com mientras que el keylogger transmite la información registrada en el teclado a la dirección de correo-e cardmessenger@rediffmail.com.      «Inicio de Página»

ALERTA DE VIRUS: WORM_MUMU.A RIESGO MEDIO. 26-Junio-2003. Es un gusano que intenta propagarse vía comparticiones SMB en la red, a las que entra utilizando una lista de passwords débiles del administrador del sistema. Al ejecutarse deposita varios archivos en los directorios Windows y System, entre ellos código malicioso identificado como BAT_SPYBOT.A y TROJ_HACLINE.A. Mumu se ejecuta en ambientes Windows 95/98/ME/NT/2000/XP. En el directorio Windows, Mumu deposita el archivo bboy.exe (21KB) y en el directorio System los archivos last.exe (21KB), bboy.dll (37KB), kavfind.exe (31KB), psexec.exe (37KB), IPCPass.txt (1KB) y mumu.exe (295KB). Mumu usa Bboy.dll para actividades de registro de todo lo que ingresa al sistema infectado mediante el teclado (keylogger), IPCPass.txt contiene la lista de passwords para penetrar comparticiones SMB. Kavfind.exe es un troyano detectado como TROJ_HACLINE.A. Mumu modifica el Registro del sistema para ejecutarse en cada inicio de Windows.     «Inicio de Página»

ALERTA DE VIRUS: WORM_SOBIG.E RIESGO MEDIO. 25-Jun-2003. Gusano que se propaga por redes compartidas P2P y por correo-e usando su propio motor SMTP (Simple Mail Transfer Protocol). Para enviarse por correo-e, obtiene las direcciones de correo-e contenidas en archivos con extensiones WAB, DBX, HTM, HTML, EML y TXT. El correo-e con el gusano tiene en el mensaje el texto "Please see attached file." y contiene un archivo denominado "Your_details.zip". Este ZIP contiene una copia del gusano con el nombre de archivo DETAILS.PIF, y al ejecutarse intenta instalarse en el directorio de Windows como winssk32.exe. SOBIG.E es una variante del gusano SoBig que estuvo circulando rápidamente y podía evadir el filtrado de correo-e en el gateway. SoBig.E ya ha sido identificado en 28 países. También crea un archivo llamado msrrf.dat, intenta modificar el Registro de Windows para poder ejecutarse en cada inicio de Windows.       «Inicio de Página»

ALERTA DE VIRUS: PE_BUGBEAR.B RIESGO MEDIO. 5-Jun-2003. Se ha reportado que esta variante de WORM_BUGBEAR.A con capacidades de puerta trasera, gusano y rutinas de infección de archivos, se está propagando rápidamente, afectando sistemas Windows 95/98/ME/NT/2000/XP. Utiliza comandos SMTP para enviar correo-e a direcciones que contiene el equipo infectado. También infecta algunos archivos .EXE del equipo infectado, incluso por la red. Bugbear es capaz de registrar entradas del teclado por lo cual es recomendable cambiar cuanto antes las passwords y evitar riesgos de seguridad del equipo y de la información que contiene. Bugbear detiene la funcionalidad de software antivirus y de seguridad y abre puertas traseras para permitir el acceso a atacantes remotos. Bugbear se puede propagar vía comparticiones de red y vía correo-e al aprovechar una vulnerabilidad en MS Internet Explorer al leer correo-e en formato HTML y que Microsoft ya ha provisto el parche de seguridad para esta vulnerabilidad. Para realizar su rutina de correo-e masivo, Bugbear recoge direcciones de correo-e contenidas en el disco duro del equipo infectado y los usa en el campo "De:" (from). Esto significa que quien envía el correo-e infectado no necesariamente está contaminado por el virus. Una vez que el equipo ha sido infectado, el virus abre una puerta trasera en el puerto 1080/tcp y permite a un usuario remoto el control total sobre el equipo.
RECOMENDACIONES: Actualizar el software antivirus. Aplicar el parche de seguridad de Microsoft para IE. Asegurar que las comparticiones de archivo sean desactivadas dejando sólo las necesarias y con protección mediante el uso de passwords. Evite el uso de los puertos 137, 139 y 445 y monitoree el tráfico interno para identificar algún inusual incremento que puedan significar actividad de virus.      «Inicio de Página»

WORM_MAPSON.A es un gusano que se propaga en sistemas Windows 95/98/NT/ME/2000/XP, vía redes de compartición de archivos peer-to-peer y por correo-e. Al ejecutarse se copia en el directorio del sistema Windows utilizando varios nombres y deposita el archivo LORRAINE.HTA en el directorio raíz del disco duro (típicamente C:\), que se ejecuta el día 4 de cada mes. Para difundirse vía correo-e, MAPSON se conecta al servidor SMTP mx1.hotmail.com para obtener las direcciones de correo-e de la lista de contactos MSN de un usuario infectado. Los correos-e infectados pueden ir en inglés o español con datos aleatorios en los campos From, Subject, Body así como en el nombre del archivo adjunto. En el caso de redes P2P, el gusano intenta adivinar la ruta de las carpetas compartidas de aplicaciones P2P para copiarse con un nombre aleatorio.      «Inicio de Página»

PE_VOTE.E - Variante del virus PE_VOTE.D, se ejecuta en sistemas Windows 95/98/ME/NT/2000/XP. Al ejecutarse sobreescribe archivos con las extensiones WAV, MP3, JPG, BMP, ZIP, RAR y DOC. El virus llega en archivos adjuntos identificados como USA.VS.IRAQ.scr y Plug-In_EXT.dll en un correo-e con textos alusivos a la guerra en Irak y los hechos del 11 de septiembre en el WTC. Por supuesto, también ejecuta su propagación masiva vía correo-e.      «Inicio de Página»

SOBIG es un gusano de correo masivo que se disfraza como un correo-e proveniente de Microsoft Corp. Se han identificado otros nombres del gusano, tales como Palyh o Mankx. Sobig llega como archivo adjunto en un correo enviado por support@microsoft.com, lo cual es falso. Cuando el archivo adjunto es abierto, el gusano se copia en la carpeta Windows y se aprovecha de las direcciones de correo-e contenidas en archivos con extensiones .wab, .dbx, .htm, .html, .eml y .txt para propagarse. También puede propagarse a otros sistemas Windows en una red LAN, copiándose en los siguientes directorios de los sistemas a los que tenga acceso: Windows\All Users\Start Menu\Programs\StartUp y Documents and Settings\All Users\Start Menu\Programs\Startup. Aparentemente el gusano se desactiva el 31 de mayo de 2003.        «Inicio de Página»

LOVGATE es un gusano que se propaga aprovechando la compartición de directorios o carpetas en la red, copiándose incluso en los directorios dentro del directorio compartido. También se copia vía correo-e, utilizando su propio servidor SMTP y adjuntando su propio archivo, por supuesto contaminado. LovGate se ejecuta en sistemas Windows NT/2000/XP. Su peligro radica también en que actúa como un programa troyano. LoveGate puede replicar a todos los mensajes que encuentra en el buzón de entrada del correo-e del usuario en Outlook y Outlook Express. Deposita copias en el directorio de Windows con nombres diversos, tales como:  WinRpcsrv.e, syshelp.exe, winrpc.exe, WinGate.exe, o rpcsrv.exe. También modifica el registro del sistema para poder ejecutarse en cada inicio de sesión o al abrirse un archivo de texto para lo cual se configura como la aplicación por default para abrir este tipo de archivos. En los directorios compartidos, los archivos que deposita pueden tener nombres diversos como: winrpc.exe, syshelp.exe, fun.exe, humor.exe, docs.exe, s3msong.exe, midsong.exe, billgt.exe, card.exe, setup.exe, searchURL.exe, tamagotxi.exe, hamster.exe, news_doc.exe, PsPgame.exe, joke.exe, images.exe, pics.exe, crklist.exe, source.exe, sex.exe, roms.exe, docs.exe, patch.exe, LUPdate.exe, pack.exe, wingate.exe, stg.exe o ssrv.exe. Como troyano, abre el puerto 10168 y permite a usuarios remotos accesar y manipular el sistema infectado. Mediante un correo-e a 54love@fescomail.net o hacker117@163.com avisa que la máquina está infectada y puede ser accesada. El atacante podría ejecutar programas y obtener información del equipo infectado.
ALERTA: Se ha reportado un incremento en las infecciones de LOVGATE. El gusano busca directorios compartidos con acceso de lectura/escritura en la red y deposita copias de sí mismo usando los siguientes nombres de archivos:

* 100 free essays school.pif * Age of empires 2 crack.exe * AN-YOU-SUCK-IT.txt.pif * Are you looking for Love.doc.exe * autoexec.bat * CloneCD + crack.exe * The world of lovers.txt.exe * Winrar + crack.exe

* How To Hack Websites.exe * Mafia Trainer!!!.exe * MoviezChannelsInstaler.exe * MSN Password Hacker and Stealer.exe * Panda Titanium Crack.zip.exe * Sex_For_You_Life.JPG.pif * SIMS FullDownloader.zip.exe * Star Wars II Movie Full Downloader.exe

En el caso del correo-e, el gusano usa Microsoft Outlook y Outlook Express con un archivo adjunto cuyo nombre puede ser cualquiera de los siguientes:

   «Inicio de Página»

FIZZER es un gusano que se está propagando vía correo-e y redes Kazaa peer-to-peer para compartición de archivos. Se auto-envía a los contactos de la Libreta de Direcciones de Windows y Lista de Contactos de Outlook. Contiene una puerta trasera que usa mIRC para comunicarse con un atacante remoto. Se ha detectado que Fizzer también contiene un keylogger para registrar datos introducidos a través del teclado y que intenta cancelar la ejecución de software  anti-virus en el sistema infectado. El gusano viaja por correo-e en archivos adjuntos con extensiones .exe, .pif, .com o .scr.   «Inicio de Página»     

WORM_XMS.A es un gusano que corre en plataformas Windows 95/98/NT/2000/ME/XP y se difunde en redes Kazaa, que son redes punto a punto con comparticiones de archivos. Crea una carpeta donde se copia y comparte sobre la red Kazaa. Al ejecutarse deposita una copia en la carpeta Windows con el nombre de XMS32.EXE. De encontrarse la utilería Kazaa en el sistema infectado, el gusano crea la carpeta %Windows%\sCache32 depositando múltiples copias ocultas de sí mismo que genera con nombres y tamaños diferentes, afectando en ese momento el desempeño del sistema. El gusano hace vulnerable los sistemas infectados para el acceso no autorizado al depositar y ejecutar programas con puertas traseras. XMS deposita y ejecuta el archivo SYSTEM32.EXE en el directorio Windows, que contiene una puerta trasera que permite abrir el sistema infectado al acceso remoto, comprometiendo la seguridad del sistema. Este código malicioso ha sido identificado como BKDR_RAMDAM.A, que al ejecutarse escucha y espera intentos de conexión de un usuario remoto que utiliza la versión cliente de dicho código malicioso y que a través de comandos IRCs intenta de forma automática conectarse a otros servidores IRC.      «Inicio de Página»

WORM_HORSMAN.A es un gusano que afecta a los sistemas Windows 95/98/NT/ME/2000/XP al llegar a través del correo-e así como por el IRC. El correo-e se identifica como el envío de un parche de seguridad para Windows, engañando al usuario para que lo abra y ejecute su código malicioso, que va en archivos adjuntos llamados SProcess.exe, Great_Virus_Creation_Kit.exe o Win_Security_Patch_2602.exe y que se copian en el directorio Temp. Horsman sobreescribe el archivo explorer.exe del directorio Windows para ejecutarse en cada inicio del sistema y ser cargado en la memoria del sistema. Horsman deposita un archivo LOGDATA.VBS en el directorio temporal de Windows, que le sirve para propagarse vía correo-e al ejecutar el archivo WSCRIPT.EXE. Las direcciones de correo-e para propagarse las obtiene de archivos HTM, HTML, HTT, ASP y DBX que encuentra en los directorios indicados en la variable de sistema PATH, incluyendo sus subdirectorios. Para difundirse vía mIRC, el gusano sobreescribe el archivo SCRIPT.INI con comandos para enviar una copia del gusano a todos los usuarios que están en el mismo canal que el usuario infectado. Al ejecutarse, Horsman intenta terminar la ejecución de programas antivirus y firewalls para desactivar la seguridad del sistema infectado.     «Inicio de Página» 

WORM_CULT.C es un gusano que viaja en un archivo .pif y que usa su propio motor SMTP para propagarse vía correo-e. También actúa como programa tipo puerta trasera e intenta conectarse a un servidor IRC (Internet Relay Chat) para comunicar a un usuario remoto que el sistema infectado está listo para recibir y procesar comandos. Al ejecutarse, crea un archivo IEXPLORER.EXE en el directorio de sistema de Windows: C:\Windows\System (Windows 95/98/ME), C:\WinNT\System32 (Windows NT/2000) y C:\Windows\System32 (Windows XP). En forma aleatoria utiliza distintos datos para los campos "from:" aunque se han identificado los siguientes dominios: Earthlink.net, email.com, hotmail.com, msn.com, Roadrunner.com y yahoo.com.  La puerta trasera envía información relacionada con el CPU, RAM, versión de Windows, tipo de conexión a Internet, dirección IP, nombre del usuario y dominio. Abre puertos en forma aleatoria para escuchar los comandos del usuario remoto y que comprometen la seguridad del sistema, ya que se permite la descarga de archivos y su ejecución además de lanzar ataques de negación de servicio contra una dirección IP.    «Inicio de Página»  

VBS_LISA.A es un gusano hecho en script de Visual Basic (VBScript) que formatea la unidad C:\ en sistemas Windows 98/ME. Infecta los archivos .VBS y .VBE en todas las unidades del sistema infectado. Se propaga a través de Microsoft Outlook, Kazaa y mIRC. Borra archivos .DOC y algunos archivos críticos de sistema como WIN.COM y REGEDIT.EXE. Además crea hasta 5,000 carpetas y archivos de text, downdegradando el desempeño del sistema. Otra característica es que esconde los íconos del escritorio de Windows. Al ejecutarse, el gusano se copia en la carpeta Windows con un nombre aleatorio de 7 caracteres y extensión .VBS y modifica el Registry para ejecutarse en cada inicio de Windows. El gusano envía correos-e a las direcciones contenidas en la libreta de direcciones de Microsoft Outlook invitando a votar contra la guerra en cuyo momento ejecuta su código malicioso. El correo-e que envía va en formato HTML e incrusta en el mensaje un script donde viaja el gusano, por lo que no lleva archivo adjunto.      «Inicio de Página»

WORM_BIBROG.E es un gusano que se propaga vía correo-e y en redes punto-a-punto (peer-to-peer, P2P) con compartición de archivos, tales como Kazaa y Morpheus. Afecta los sistemas Windows 95/98/ME/NT/2000/XP. Despliega un juego titulado "La Cacademia". Al ejecutarse se copia en el directorio Windows como "MANZANA.EXE", en el directorio system de Windows como "ACADEMIA.EXE." y en la carpeta StartUp como ITCH.EXE y ITCJ.EXE para ejecutarse en cada inicio de Windows. Cuando ITCH.EXE o ITCJ.EXE se ejecutan, el gusano se envía como archivo adjunto y utilizando su propio motor SMTP para enviar correos-e a todas las direcciones de la libreta de direcciones de Windows. Bajo el nombre "Kylie_Minogue_screensaver.exe" y "Shakira_screensaver.exe" el gusano se copia en las carpetas compartidas KaZaa\My shared Folder, ICQ\Shared, Grokster\My Grokster y Morpheus\My Shared Folder.      «Inicio de Página»

WORM_WANOR.A es un gusano que se difunde vía correo-e apoyándose en la libreta de direcciones de Microsoft Outlook. Se envía como archivo adjunto y modifica el Registry para ejecutarse en cada inicio de Windows. El gusano deposita copias de sí mismo en carpetas compartidas de aplicaciones P2P como Kazaa,  eDonkey2000, Morpheus, Grokster, Bearshare y ICQ.     «Inicio de Página» 

W32/NICEHELLO@MM es un gusano que está atacando vía MSN Messenger, vía direcciones de Hotmail. Se propaga enviándose a todas las direcciones que encuentra en la lista de contactos del MSN Messenger y utilizando su propio motor SMTP. También envía el nombre del usuario (username) y la password a su autor en un correo-e. El gusano llega en un correo-e con información y archivos adjuntos denominados aleatoriamente. Algunos nombres de archivos adjuntos identificados son: Politicos.exe, Video.exe, Fotos.exe, ParcheJuego.exe, Presentaciones.exe, Datos.exe, Actualizacion.exe, Parche.exe, Animacion.exe y Codigo.exe. El gusano intenta copiarse como sys64dvr.exe, systemsys64dvr.exe o system32sys64dvr.exe en las carpetas c:\windows\system y c:\winnt\system32.     «Inicio de Página» 

ALERTA POR CODE.RED.F es una variante del famoso Código Rojo que está afectando a los sistemas que utilizan Internet Information Server (IIS) de Microsoft y que no han sido actualizados con el parche de seguridad MS01-033 de Microsoft que corrige una vulnerabilidad del tipo buffer overflow. Al explotar esta vulnerabilidad, Code.Red.F permite el otorgamiento de privilegios al nivel del sistema a un atacante. El gusano deposita en el servidor Web una puerta trasera identificada como TROJ_CODERED.C que envía la información registrada por CODE.RED.F a un sitio en Interner o sistema en particular y concede al atacante acceso completo a dicho servidor, lo que compromete la seguridad de la red. Se han identificado infecciones de CODERED.F en Japón, Finlandia, Italia, Estados Unidos y Australia. Las infecciones reportadas permiten suponer la propagación de una epidemia viral que puede ocasionar daños significativos. Debido a que el gusano sólo reside en la memoria de los equipos, sin existir en  archivos, los antivirus carentes de la facilidad de escanear dicha memoria no podrán detectar el código.
RECOMENDACIONES: Las medidas de protección contra Code.Red.F son iguales a las utilizadas contra el Código Rojo debido a que utiliza el mismo método de infección: Quitar IIS, los scripts de mapeo, en particular los mapeos .IDA, y aplicar el parche MS01-033.      «Inicio de Página»

JS_WEBLOG.A es un troyano que trabaja silenciosamente cuando utiliza Microsoft Internet Explorer en Windows 95, 98, ME, NT, 2000 y XP. WebLog intenta recuperar los datos introducidos en formularios HTML y los envía ya sea a un sitio específico en Internet o bien a un recurso compartido de la red al cual se intenta posteriormente una conexión para acceder a los datos. El troyano puede llegar a su sistema ya sea en forma manual o ser depositado por otro programa malicioso.      «Inicio de Página»

WORM_GIBE.B es un gusano que afecta los sistemas Windows 95/98/ME/NT/2000/XP y que se difunde vía correo-e utilizando su propio motor SMTP, vía directorios compartidos usando Kazaa y aplicaciones Internet Relay Chat como mIRC. Gibe llega en un correo-e disfrazado como un parche de seguridad de Microsoft. Se re-envía a direcciones de correo-e de la libreta de direcciones de Windows con nombres aleatorios en el asunto, mensaje y del archivo que adjunta con el virus. Al ejecutarse deposita en el directorio de Windows los siguientes archivos: Gibe.dll, DX3DRndr.exe, MSBugAdv.exe y WMSysDx.bin. También puede depositar copias en formato .EXE y .ZIP con nombres aleatorios. Intenta alterar el registro del sistema para ejecutarse en cada inicio de Windows.      «Inicio de Página»

IXAS. Gusano que se propaga vía correo-e. Conocido como WORM_IXAS.A, este gusano no es destructivo, no reside en memoria y sólo se propaga utilizando MAPI (Messaging Application Programming Interface) o SMTP (Simple Mail Transfer Protocol). IXA explota una vulnerabilidad de Internet Explorer que activa la ejecución automática de los archivos adjuntos al correo-e sin que el usuario los abra o haga doble click sobre él. Al ejecutarse se copia con un nombre aleatorio en el directorio del sistema Windows y modifica el Registry para ejecutarse en cada inicio de sesión. El correo-e en el que llega IXAS trae como remitente un nombre que termina en "@delfi.lt".      «Inicio de Página»

SOBIG es un gusano que se propaga vía correo-e y por comparticiones de red. Por correo-e utiliza su propio motor SMTP obteniendo las direcciones-e de archivos WAB, DBX, HTM, HTML, EML, TXT. El correo-e que envía contiene como remitente a big@boss.com, el asunto es seleccionado en forma aleatoria y envía un archivo adjunto también con un nombre aleatorio de extensión .pif. Al copiarse en directorios compartidos de la red LAN, lo hace en Windows\All Users\Start Menu\Programs\StartUp\ y Documents and Settings\All Users\Start Menu\Programs\Startup. SOBIG intenta descargar archivos de sitios web remotos, guardarlos como DWN.DAT en el directorio Windows y usarlo como troyano para intentar descargar de Internet otro archivo para ejecutarlo en el servidor del sistema y permitir a otros el acceso.         «Inicio de Página»

LIRVA es un gusano de correo masivo que se propaga mediante IRC, ICQ, KaZaA y recursos compartidos de red. Contiene su propio motor SMTP para propagarse vía correo-e. Lirva intenta anular servicios de programas firewall y antivirus al tiempo que envía por correo-e a su autor las passwords ocultas en sistemas Windows 95/98/Me para el acceso remoto a redes. El gusano aprovecha una vulnerabilidad en Microsoft Outlook para ejecutar automáticamente el archivo adjunto que envía una vez que la víctima abre el correo-e infectado, cuyo asunto (subject) es aleatorio. Se ha observado que el gusano actúa también los días 7, 11 ó 24, ejecutando el navegador de Internet en la dirección www.avril-lavigne.com y desplegar un programa gráfico en el escritorio de Windows. Tiene la capacidad para terminar los procesos relacionados con productos antivirus.

También conocido como Naith, Lirva se copia con nombres aleatorios en directorios de Windows aunque se han identificado que algunas copias tienen las extensiones .TFT, .EXE y .INF. Modifica también el Registry para configurar su ejecución en cada inicio de Windows.

Lirva llega en un correo-e con remitente, asunto, contenido y archivo adjunto con información generada en forma aleatoria. El correo-e va en formato HTML. Al ejecutarse, Lirva intenta actualizarse desde un sitio web, actualmente fuera de operación. Al mismo tiempo intenta descargar código malicioso (puertas traseras) que guarda como Bo2K.exe en el directorio System y modifica el Registry para ejecutar esta puerta trasera en cada inicio de Windows.       «Inicio de Página»

WORM_RECOVERY.A es un gusano que se difunde en un archivo adjunto a un correo-e y que usa Microsoft Outlook para enviarse a las direcciones-e de su address book. El asunto (subject) del correo-e es aleatorio intentando alertar sobre algo, y en el mensaje contiene algunas indicaciones sobre la difusión de un virus, verificar su existencia en el equipo y proceder a su eliminación mediante el uso de una herramienta antivirus que va en un archivo adjunto con un nombre aleatorio, del cual se han identificado los siguientes nombres: Fixvir.exe, Fixtool.exe, Remove32.com, Virusremove.pif, Cleanvir.pif, Recovery.exe, Scan32.pif, Cleaner.pif, Cleanvirus.com, Removal.exe, Deletevir.com, Scanvir.pif, Killvirus.com, Killvir.com, Virusfix.exe, Fixvirus.com, Fixvir.pif. Al mismo tiempo invita a enviar por correo-e la herramienta antivirus a otras personas, con el fin de propagar el virus contenido en dicha herramienta. El gusano sobreescribe el archivo de sistema Jdbgmgr.exe disfrazándolo como la herramienta antivirus.  Al ejecutar la supuesta herramienta antivirus, el gusano se copia en los directorios Windows y System con distintos nombres:

También se copia en el directorio StartUp como Systray.pif y crea una entrada en el Registry para ejecutarse en cada inicio de Windows. El gusano se copia en carpetas compartidas de ICQ y Kazaa.    «Inicio de Página»

YAHA es un gusano de correo masivo, escrito en Microsoft C++, que intenta desactivar la protección antivirus y de firewalls, dejando vulnerables a los sistemas infectados. Se han detectado variantes (Yaha.E, Yaha.J) que llegan en un archivo adjunto de extensiones .scr o .bat. Los nombres de estos archivos, el asunto (subject) y contenido del correo-e infectado son aleatorios y el virus los difunde usando las direcciones-e contenidas en el Windows Address Book, MSN Messenger, .NET Messenger y las listas de Yahoo Pager y ICQ, así como listas de contactos de archivos con extensiones que contienen las letras "HT". Utiliza  un motor SMTP para propagarse y utiliza el servidor SMTP del sistema infectado para enviar el correo-e. Si no encuentra este servidor, lo escoge de una lista con direcciones IP contenidas y encriptada en el gusano mismo.     «Inicio de Página»

WORM_LIOTEN.A es un gusano de red que afecta a los sistemas Windows 2000/XP/.NET. Realiza ataques de fuerza bruta sobre passwords débiles de sesiones nulas anónimas, que le permitan obtener derechos de escritura al servicio SMB. Intenta conexiones programadas a una dirección IP aleatoria y de tener éxito mira el DNS del equipo, con el cual se conecta al servicio SMB intentando el acceso a los recursos compartidos. Obtiene una lista de usuarios del equipo víctima y mediante los siguientes passwords intenta obtener el acceso al recurso compartido.

Una vez que ha podido firmarse en el sistema y logrado el acceso de escritura a SMB, se copia a los siguientes directorios con el nombre de IRAQ_OIL.EXE:

   «Inicio de Página»