66 Mensajes
Kanaru_Plop1
Usuario habitual
Usuario habitual

Hola:

Para los que dicen que jamás acepten archivos adjuntos aunque no sean sospechosos: no todos los adjuntos son sospechosos, ya que casi siempre compruebo mi correo con Hotmail, y siempre se que archivos son virus. No vean mensajes de direcciones como:

[email protected], [email protected], y otras más.

Atte:
Canal Plop.

Hora de iniciar de nuevo!!
Watashi wa Kanaru!!
Avatar Image
Usuario Novato
Usuario Novato

gracias por la informacion, el pc me iba lento (lo que es la conexion) y quizas sea eso, la verdad es que es cierto que muchas veces somos nosotros los que propagamos el virus, tenemos que ser mas cuidadosos, y pensar que usuario precavido vale por dos formateos (

Avatar Image
Come y duerme en el foro
Come y duerme en el foro
HOLA:
Muchisimas gracias por la informacion, yo ya lo puse en mi foro, para que los chicos esten alerta..gracias..bye
Avatar Image
Usuario Novato
Usuario Novato
Escrito originalmente por Tito
El usuario de miarroba, Kramas, nos ha enviado informacion sobre el nuevo virus Mydoom.A , que se esta reproduciendo rapidamente por internet.

El enlace original, lo podeis encontrar en: https://blablabla.webcindario.com/viewtopic.php?t=3




Hola, publico este mensaje para su informacion sobre e virus Mydoom.A

NOMBRE COMUN: Mydoom.A
NOMBRE TECNICO: W32/Mydoom.A.worm
PELIGROSIDAD:Muy Alta

Alias:

  • I-Worm/Novarg, WORM_MIMAIL.R
  • W32/Mydoom@MM I-
  • Worm/Novarg@MM


EFECTOS: Lanza ataques de Denegación de Servicio Distribuida contra la página web www.sco.com. Abre varios puertos, para controlar remotamente el ordenador afectado.
PLATAFORMA QUE INFECTA: Windows 2003/XP/2000/NT/ME/98/95
FECHA DE APARICION: 27/01/04
¿ESTA EN CIRCULACION? Si

***DESCRIPCION BREVE***

Mydoom.A es un gusano que se propaga a través del correo electrónico en un mensaje con características variables y a través del programa de ficheros compartidos (P2P) KaZaA.

Mydoom.A realiza ataques de Denegación de Servicio Distribuida (DDoS) contra la página web www.sco.com si la fecha del sistema se encuentra entre el 1 y el 12 de Febrero de 2004. Realiza esta acción lanzando peticiones GET/ HTTP/ 1.1 cada 1024 milisegundos. A partir del 12 de Febrero de 2004, el gusano finaliza sus efectos, terminando su ejecución cada vez que sea activado.

Mydoom.A suelta la librería de enlace dinámico (DLL) SHIMGAPI.DLL, creando un backdoor, que abre el primer puerto TCP disponible desde el 3127 al 3198. Este componente del backdoor permite descargar y ejecutar un fichero ejecutable, y actúa como un servidor proxy TCP, permitiendo que un hacker gane acceso remoto a los recursos de red.


***SINTOMAS VISIBLES***

Mydoom.A es fácil de reconocer, puesto que cuando es ejecutado, abre el Bloc de notas de Windows (NOTEPAD.EXE) y muestra texto basura.


***EFECTOS***

Mydoom.A realiza las siguientes acciones:

  • Realiza ataques de Denegación de Servicio Distribuida (DDoS) contra la página web www.sco.com si la fecha del sistema se encuentra entre el 1 y el 12 de Febrero de 2004. Realiza esta acción lanzando peticiones GET/ HTTP/ 1.1 cada 1024 milisegundos. A partir del 12 de Febrero de 2004, el gusano finaliza sus efectos, terminando su ejecución cada vez que sea activado
  • Permite a un hacker tener acceso a los recursos de red, puesto que suelta la librería de enlace dinámico (DLL) SHIMGAPI.DLL, que crea un backdoor, para abrir el primer puerto TCP disponible desde el 3127 al 3198. Este componente del backdoor permite descargar y ejecutar un fichero ejecutable, y actúa como un servidor proxy TCP.
  • Abre el Bloc de notas de Windows (NOTEPAD.EXE) y muestra texto basura.



***METODO DE INFECCION***

Mydoom.A crea los siguientes ficheros en el directorio de sistema de Windows:

  • TASKMON.EXE. Este fichero es una copia del gusano.
  • SHIMGAPI.DLL. Este fichero es un backdoor que abre los puertos TCP del 3127 al 3198.


Mydoom.A crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    TaskMon = %sysdir%\taskmon.exe
    donde %sysdir% es el directorio de sistema de Windows.
    Con esta entrada, Mydoom.A consigue ejecutarse cada vez que se inicia Windows.
    Si no consigue crear esta entrada, crea la siguiente:
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    TaskMon = %sysdir%\ taskmon.exe
  • HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer
    (default) = %sysdir%\SHIMGAPI.DLL
    Con esta entrada, Mydoom.A lanza el fichero SHIMGAPI.DLL con el Explorador de Windows.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
    Con estas entradas, Mydoom.A comprueba si el ordenador ha sido ya afectado.



***METODO DE PROPAGACION***

Mydoom.A se propaga a través del correo electrónico y del programa de intercambio de ficheros punto a punto (P2P) KaZaA.

1.- Propagación a través del correo electrónico.

Mydoom.A realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo de características variables:

    Remitente:
    Mydoom.A falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Asunto: puede ser uno de los siguientes:
    test
    hi
    hello
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status
    Error

    Contenido: uno de los siguientes:
    Mail Transaction Failed. Partial message is available.
    The message contains Unicode characters and has been sent as a binary attachment.
    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

    Fichero adjunto: el nombre del fichero es variable, y tiene extensión aleatoria:
    Posibles nombres de fichero: DOCUMENT, README, DOC, TEXT, FILE, DATA, TEST, MESSAGE, BODY.
    Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP.
  • Cuando el fichero es ejecutado, el ordenador quedará afectado.
  • Mydoom.A busca direcciones de correo en ficheros que tengan las siguientes extensiones: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y TXT.
  • Mydoom.A se envía a sí mismo a todas las direcciones que encuentre y a todos los contactos de la Libreta de direcciones de Windows, utilizando su propio motor SMTP. Sin embargo, no se envía a las direcciones que presenten las siguientes características:

    - El dominio contiene una de las siguientes cadenas de texto: .gov , .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.
    - El nombre de la dirección es una de las siguientes: anyone, bugs, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, postmaster, privacy, rating, root, samples, service, site, soft, somebody, someone, submit, the.bat, webmaster, you, your.



2.- Propagación a través de KaZaA.

Mydoom.A realiza el siguiente proceso:

  • Crea copias de sí mismo en el directorio compartido de KaZaA. Estas copias tienen nombre variable, que consisten en un nombre de fichero y extensión aleatorios:
    Posibles nombre de fichero: WINAMP5, ICQ2004-FINAL, ACTIVATION_CRACK, STRIP-GIRL-2.0BDCOM_PATCHES, ROOTKITXP, OFFICE_CRACK, NUKE2004.
    Posibles extensiones: PIF, SCR, BAT, EXE.
  • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros creados por Mydoom.A, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Mydoom.A.



***OTROS DETALLES***

Mydoom.A está escrito en lenguaje Ensamblador. El gusano tiene un tamaño de 22528 Bytes cuando se encuentra comprimido mediante UPX, y de 32768 Bytes una vez descomprimido.

Mydoom.A crea un mutex llamado SwebSipcSmtxSO para asegurarse de que sólo se ejecutará una copia del gusano simultáneamente.

Parte de las cadenas que el gusano emplea están encriptadas con una función de desplazamiento denominada consistente en rotar 13 posiciones hacia la derecha los caracteres.


Escanea tu ordenador y comprueba si estas infectado gratuitamente con:




Una vez mas gracias a Kramas y esperamos que esta informacion sea de gran utilidad para todos los usuarios.

charityli
Usuario Novato
Usuario Novato

hola quisera saber si alguien me puede ayudar...
Hace un tiempo que cuando estoy un rato conectada se em corta toda conexion a internet, me dice no se puede mostrar la pgina y ect.. antes tenia un virus y lo quite, el caso es que ahora segun el panda titanium no tengo ningun virus.. pero a mi me lo sigue haciendo, tiene toda la pinta de un virus, pero no se cual ya que he analizado mi pc con activescan que da panda, y le he pasado tb el pqremove pero nada... me podeis ayudar para saber de que puede ser esto?

Y otra preguntita.. donde o como puede analizar mi pagina web?
Graciasss
Charity

Avatar Image
Usuario habitual
Usuario habitual
Escrito originalmente por charityli
hola quisera saber si alguien me puede ayudar...
Hace un tiempo que cuando estoy un rato conectada se em corta toda conexion a internet, me dice no se puede mostrar la pgina y ect.. antes tenia un virus y lo quite, el caso es que ahora segun el panda titanium no tengo ningun virus.. pero a mi me lo sigue haciendo, tiene toda la pinta de un virus, pero no se cual ya que he analizado mi pc con activescan que da panda, y le he pasado tb el pqremove pero nada... me podeis ayudar para saber de que puede ser esto?

Y otra preguntita.. donde o como puede analizar mi pagina web?
Graciasss
Charity

Esto de puede ayudar..pincha Aqui
BlOoD Is My FoOD...
66 Mensajes
Este tema fue cerrado y no se pueden escribir nuevas respuestas
Opciones:
Ir al subforo:
Permisos:
TU NO PUEDES Escribir nuevos temas
TU NO PUEDES Responder a los temas
TU NO PUEDES Editar tus propios mensajes
TU NO PUEDES Borrar tus propios mensajes
Temas similares
No se han encontrado temas similares