Virus Informáticos 2005

ALERTA DE SEGURIDAD 24-NOV-2005: WORM_MYTOB.MX: VIRUS DE RIESGO MEDIO. Alerta de seguridad por la propagación masiva de WORM_MYTOB.MX. Se han reportado infecciones masivas en Europa, Japón, India, China, Suecia, Francia, España, Austria y Alemania, afectando a sistemas Windows NT, 2000 y XP. El gusano se propaga enviándose en un archivo adjunto, a direcciones de correo-e utilizando su propio motor SMTP (Simple Mail Transfer Protocol). El mensaje del gusano intenta advertir a la víctima sobre supuestos movimientos relacionados con la cuenta de correo-e de la víctima. El gusano también se propaga vía comparticiones de red, buscando carpetas compartidas para copiarse. Se ha detectado que el gusano tiene capacidades de puerta trasera, que hace posible que un usuario remoto ejecute comandos en el sistema infectado, comprometiendo la seguridad del sistema. «Inicio de Página»

ALERTA DE SEGURIDAD 21-NOV-2005: WORM_SOBER.AG: VIRUS DE RIESGO MEDIO. Se ha reportado la infección masiva de computadoras en los EEUU, Bélgica, Canadá, Brasil y Nueva Zelanda, por el gusano WORM_SOBER.AG. El gusano se propaga copiándose en un mensaje de correo-e que envía a otras direcciones de correo-e usando su propio motor SMTP (Simple Mail Transfer Protocol). Al ejecutarse el archivo adjunto en el que viaja el gusano, se despliega una ventana de error para engañar al usuario de que el archivo no se ejecutó. «Inicio de Página»

ALERTA DE SEGURIDAD 6-OCT-2005: WORM_SOBER.AC: VIRUS DE RIESGO MEDIO. Se han reportado una Alerta de Riesgo Medio por la propagación masiva del gusano WORM_SOBER.AC. Hasta el momento, se han reportado infecciones masivas en computadoras de EEUU, Japón, Australia y Alemania. WORM_SOBER.AC se propaga por correo-e, utilizando su propio motor SMTP y viaja en un archivo adjunto que envía a direcciones de correo-e que recoge del sistema infectado. Intenta simular que es un mensaje de alta prioridad e intenta advertir de un cambio de contraseña. El gusano está hecho en Visual Basic y corre en Windows 98, ME, NT, 2000, XP y Server 2003. «Inicio de Página»

ALERTA DE SEGURIDAD 16-AGO-2005: WORM_ZOTOB.D y WORM_RBOT.CBQ: VIRUS DE RIESGO MEDIO. Se ha declarado una alerta de riesgo medio ante la propagación de los gusanos WORM_ZOTOB.D y WORM_RBOT.CBQ en computadoras de Brasil y EEUU. Ambos gusanos tienen capacidades de robot, es decir, se ejecutan automáticamente sin intervención humana, para propagarse por redes "zombie".

ZOTOB.D y RBOT.CBQ aprovechan la vulnerabilidad Plug and Play para propagarse por la red, que fue reportada por Microsoft en su Boletín MS05-039. Los gusanos usan el mismo código exploit publicado en un sitio web antes del anuncio de la vulnerabilidad por Microsoft. Tienen capacidades de puerta trasera (backdoor) y pueden ejecutar comandos provenientes de su autor de forma remota, pudiendo tomar el control del sistema vulnerable y comprometerse la seguridad del sistema.

ZOTOB.D infecta computadoras con sistemas Windows 95, 98, ME y 2000. RBOT.CBQ infecta computadoras con sistemas Windows 98, ME, NT, 2000, XP y Server 2003. «Inicio de Página»

ALERTA DE SEGURIDAD 3-JUN-2005: WORM_BOBAX.P VIRUS DE RIESGO MEDIO. Se ha declarado una alerta de medio riesgo informático ante la propagación de WORM_BOBAX.P en computadoras de Japón, Australia, Irlanda, India, Perú, Singapur y los Estados Unidos. Se difunde a través del correo-e usando su propio motor SMTP (Simple Mail Transfer Protocol) y aprovechándose la vulnerabilidad LSASS. En el mensaje el gusano viaja adjunto a un archivo ZIP. «Inicio de Página»

ALERTA DE SEGURIDAD 31-MAY-2005: WORM_MYTOB.BI VIRUS DE RIESGO MEDIO. Se ha declarado una alerta de medio riesgo informático ante la propagación de WORM_MYTOB.BI, en particular en computadoras de Japón, Bélgica, Korea, India, Reino Unido, Alemania y los Estados Unidos. El gusano afecta a computadoras con sistemas Windows 98, ME, NT, 2000 y XP. Similar a otras variantes de MYTOB, este gusano se está propagando a través del correo-e, usando su propio motor SMTP (Simple Mail Transfer Protocol), enviando una copia de sí mismo comoo un archivo adjunto con extensión CMD, EXE, PIF, SCR, BAT o ZIP. Para propagarse obtiene direcciones de correo-e de la carpeta Archivos Temporales de Internet, de la Libreta de Direcciones de Windows y de archivos con determinadas extensiones. Aunque también puede generar direcciones de correo-e de forma aleatoria, combinando una lista determinada de nombres con los nombres de dominio de las direcciones obtenidas de la máquina infectada. El gusano se aprovecha de la vulnerabilidad LSASS para propagarse y además tiene capacidades de puerta trasera (backdoor), al intentar abrir un puerto de la computadora infectada para permitir a un usuario remoto la posibilidad de ejecutar comandos de forma malintencionada en la máquina infectada, comprometiendo así la seguridad del sistema. También se ha detectado que el gusano descarga archivos del tipo spyware en la máquina infectada. «Inicio de Página»

ALERTA DE SEGURIDAD 30-MAY-2005: WORM_MYTOB.AR VIRUS DE RIESGO MEDIO. Se ha declarado una alerta de medio riesgo informático ante la propagación de WORM_MYTOB.AR, en computadoras de Japón, China, Hong Kong, India, Korea, Filipinas, Taiwán, Australia y los Estados Unidos. El gusano se está propagando a través del correo-e, usando su propio motor SMTP (Simple Mail Transfer Protocol), enviando una copia de sí mismo como un archivo adjunto con extensión .exe, .pif, .scr, o .zip. El gusano se aprovecha de la vulnerabilidad LSASS y se ha detectado que tiene capacidades de puerta trasera (backdoor) para permitir a un usuario remoto la posibilidad de ejecutar comandos de forma malintencionada en la máquina infectada, comprometiendo así la seguridad del sistema. «Inicio de Página»

ALERTA DE SEGURIDAD 11-MAY-2005: WORM_WURMARK.J: VIRUS DE RIESGO MEDIO. Se ha declarado una alerta de medio riesgo informático por la propagación del gusano WORM_WURMARK.J en computadoras de Francia, India, Taiwán y Singapur. El gusano se está propagando a través del correo-e. y tiene capacidades de keylogger. Es decir, atrapa los datos introducidos a través del teclado de la computadora y los guarda en un archivo DLL con nombre aleatorio. El correo-e con el gusano lleva adjunto un archivo ,ZIP. «Inicio de Página»

ALERTA DE SEGURIDAD 9-MAY-2005: WORM_MYTOB.EG: VIRUS DE RIESGO MEDIO. Se ha declarado una alerta de medio riesgo informático ante la propagación de WORM_MYTOB.EG, en particular en computadoras de los EEUU. El gusano se está propagando a través del correo-e, usando su propio motor SMTP (Simple Mail Transfer Protocol), enviando una copia de sí mismo comoo un archivo adjunto con extensión .exe, .pif, .scr, o .zip . Para propagarse obtiene direcciones de correo-e de la carpeta Archivos Temporales de Internet, de la Libreta de Direcciones de Windows y de archivos con determinadas extensiones. Aunque también puede generar direcciones de correo-e de forma aleatoria, combinando una lista determinada de nombres con los nombres de dominio de las direcciones obtenidas de la máquina infectada. El gusano tiene capacidades de puerta trasera (backdoor) para permitir a un usuario remoto la posibilidad de ejecutar comandos de forma malintencionada en la máquina infectada, comprometiendo así la seguridad del sistema. «Inicio de Página»

ALERTA DE SEGURIDAD 9-MAY-2005: WORM_MYTOB.ED: VIRUS DE RIESGO MEDIO. Se ha declarado una alerta de medio riesgo informático ante la propagación de WORM_MYTOB.ED, en particular en computadoras de Japón y Australia. El gusano se está propagando a través del correo-e, usando su propio motor SMTP (Simple Mail Transfer Protocol), enviando una copia de sí mismo comoo un archivo adjunto con extensión .exe, .pif, .scr, o .zip . Para propagarse obtiene direcciones de correo-e de la carpeta Archivos Temporales de Internet, de la Libreta de Direcciones de Windows y de archivos con determinadas extensiones. Aunque también puede generar direcciones de correo-e de forma aleatoria, combinando una lista determinada de nombres con los nombres de dominio de las direcciones obtenidas de la máquina infectada. El gusano tiene capacidades de puerta trasera (backdoor) para permitir a un usuario remoto la posibilidad de ejecutar comandos de forma malintencionada en la máquina infectada, comprometiendo así la seguridad del sistema. «Inicio de Página»

ALERTA DE SEGURIDAD 2-MAY-2005: WORM_SOBER.S: VIRUS DE RIESGO MEDIO. Este gusano se está propagando masivamente por correo-e en Alemania y EEUU. Para ello, usa su propio motor SMTP (Simple Mail Transfer Protocol) así como las direcciones de correo-e que encuentra en determinados archivos del equipo infectado, evitando direcciones que contengan determinados textos, relacionados fundamentalmente con organizaciones de seguridad. El mensaje viral utiliza técnicas de ingeniería social para persuadir al usuario víctima para que lo ejecute. El mensaje tiene una dirección falsa de remitente, supuestamente de la FIFA, la organización internacional de futbol, e intenta engañar al usuario víctima con el argumento falso de que ha ganado boletos para la próxima Copa Mundial 2006 en Alemana. «Inicio de Página»

ALERTA DE SEGURIDAD 7-MAR-2005: WORM_KELVIR.B Y WORM_FATSO.A, VIRUS DE RIESGO MEDIO. Se han reportado infecciones masivas de los gusanos WORM_KELVIR.B y WORM_FATSO.A en Corea y los EEUU.

Los gusanos se propagan vía MSN Messenger, enviando un mensaje especial a los contactos del usuario afectado y que se encuentren en línea en el servicio de MSN Messenger. El mensaje lleva un link malicioso que al hacer click en él, descarga una copia del gusano en el sistema infectado. WORM_KELVIR.B intenta descargar otro código malicioso identificado como WORM_SDBOT.AUI.

WORM_FATSO.A también puede propagarse vía eMule, una aplicación Peer-to-Peer (P2P) para compartir archivos. «Inicio de Página»

ALERTA DE SEGURIDAD 1-MAR-2005: WORM_BAGLE.BE, VIRUS DE RIESGO MEDIO. Se han reportado infecciones del gusano WORM_BAGLE.BE en Nueva Zelandia y Australia. El gusano se copia en la máquina infectada con el nombre de WINDLHHL.EXE en la carpeta Windows. Contiene capacidades de troyano, ya que copia en el equipo infectado el archivo TROJ_BAGLE.BE para que realice la descarga del gusano. «Inicio de Página»

ALERTA DE SEGURIDAD 16-FEB-2005: WORM_MYDOOM,BB, VIRUS DE RIESGO MEDIO. Se han reportado infecciones de este gusano en Singapur y los EEUU. Previamente detectado como WORM_MYDOOM.M, el gusano es similar a WORM_MYDOOM.M. Sin embargo, la diferencia entre ambos la hace la herramienta de compresión utilizada para comprimir el archivo en el que viaja el gusano. MYDOOM.BB fue comprimido con la herramienta de compresión MEW; en tanto que para WORM_MYDOOM.M se usó UPX. El gusano se propaga vía correo-e a través de su propio motor SMTP (Simple Mail Transfer Protocol), obteniendo las direcciones de correo-e destino de la Libreta de Direcciones de Windows, la carpeta Archivos Temporales de Internet. Utiliza técnicas de ingeniería social para falsear los datos del remitente. Usa de forma aleatoria distintos nombres como datos en el asunto, archivos aduntos y cuerpo del mensaje. El gusano tiene capacidades de puerta trasera, que deja vulnerable a la máquina infectada en cuanto al acceso remoto. La puerta trasera abre el puerto 1034/tcp para esperar una conexión externa para un atacante remoto. «Inicio de Página»

ALERTA DE SEGURIDAD 2-FEB-2005: WORM_BROPIA.F, VIRUS DE RIESGO MEDIO. Se ha reportado la propagación masiva de gusano WORM_BROPIA.F en Bolivia, EEUU, Corea, Taiwan, México y China, afectando a sistemas Windows 95, 98, ME, NT, 2000 y XP. El gusano se copia en la carpeta raíz del sistema, con la extensión .PIF aunque se ha detectado que utiliza diferentes nombres. Intenta propagarse por el MSN Messenger, enviando copias de sí mismo a los contactos que encuentra registrados. BROPIA.F deposita en el sistema infectado, el archivo WINHOST.EXE bajo la carpeta del sistema Windows.
RECOMENDACIONES: No acepte o abra archivos que reciba por MSN Messenger de fuentes desconocidas o no confiables. Si conoce a la fuente, contáctela primero para confirmar si el archivo recibido es confiable. «Inicio de Página»

ALERTA DE SEGURIDAD 27-ENE-2005: WORM_BAGLE.AZ, VIRUS DE RIESGO MEDIO. Se ha reportado la propagación masiva por correo-e del gusano WORM_BAGLE.AZ en EEUU, China y Japón, afectando sistemas Windows 95, 98, ME, 2000 y XP. El gusano viaja en un archivo adjunto con extensión .EXE, .COM, .CPL y .SCR. Para propagarse utiliza direcciones de correo-e que encuentra en archivos del disco duro infectado, aunque se ha detectado también que se propaga por carpetas compartidas con el texto "shar" en el nombre de la carpeta. El gusano evita propagarse a direcciones de correo-e relacionadas con antivirus o programas de seguridad. También modifica el Registro del sistema para asegurar su ejecución de forma automática al inicio de sesión en el equipo infectado. El gusano está programado para dejar de funcionar el 25-abr-2005 o posterior. «Inicio de Página»

WORM_MYDOOM.AL. Variante de MYDOOM, se trata de un gusano que se propaga por correo-e. Para ello usa las direcciones de correo-e que encuentra en la carpeta de Archivos Temporales de Internet de la computadora infectada. Corre en sistemas Windows 95, 98, ME, NT, 2000 y XP. El gusano modifica el archivo HOSTS para prevenir el acceso a sitios de fabricantes de software antivirus y evitar así la descarga de las actualizaciones de dichos productos. El gusano cancela procesos relacionados con software antivirus y de seguridad. «Inicio de Página»