1
Download VIRUS W32/EZIO@MM
Document related concepts
no text concepts found
Transcript
OFICINA NACIONAL DE GOBIERNO
ELECTRONICO E INFORMATICA
CONTENIDO
Centro de Consulta e Investigación sobre Seguridad de la Información
www.pcm.gob.pe
Edición Nº 105
23 de mayo de 2005
INFORMACION DE VIRUS INFORMATICOS
VIRUS W32/EZIO@MM
Alias : I.WORM.EZIO@MM
VIRUS W32/EZIO@MM
VIRUS
WORM_MYTOB.ED
VIRUS W32/MYTOB.EG
VIRUS
W32/MYDOOM.BO@MM
CONSEJOS PARA
PROTEGERSE DE LOS
VIRUS INFORMATICOS
LISTA DE ANTIVIRUS
DESCRIPCION
El virus infecta a los siguientes sistemas operativos: Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server
2003, está desarrollado en Visual Basic, con una extensión de 136 KB y
comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todos
los buzones contenidos en los archivos con las siguientes extensiones: txt y
html
El mensaje tiene las siguientes características:
Remitente:
Mail System}
Asunto:
Mail Error
Contenido:
Please see the attached document for details.
Anexado:
document.zip
Al ser ejecutado muestra la siguiente falsa caja de diálogo:
•
Fuentes
o Unisva-Peru
o Hispasec
o Panda Software
El virus impide el acceso a los siguientes portales:
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1
update.symantec.com
127.0.0.1
updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.ru
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.f-secure.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.mcafeehelp.com
127.0.0.1 www.sophos.ch
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.ch
1
Visite el Portal del Estado Peruano:
http ://www.peru.gob.pe
Este gusano tiene capacidades que le
permiten a un usuario remoto obtener el
mando virtual en los sistemas afectados.
Impide a los usuarios ejecutar los antivirus y
sitios Web.
VIRUS WORM_MYTOB.ED
DESCRIPCIÓN
Este gusano se propaga enviando una copia
de sí mismo anexado a un mensaje del email.
VIRUS W32/MYTOB.EG
DESCRIPCIÓN
El email del virus tiene las siguientes
características:
Se propaga a través de mensajes de Correo
con remitentes falsos, asuntos, contenidos y
archivos anexados de nombres aleatorios,
con diversas extensiones.
Remitente:
•
•
•
•
•
•
•
•
•
Error
hello
Here is your documents.
Mail Delivery System
Mail Transaction Failed
Re: Thank you for delivery
Server Report
something for you
Status
Abre un Backdoor usando el puerto TCP
7000 y se une a un canal del IRC (Internet
Relay Chat) desde el que recibe instrucciones
y comandos en forma remota y tomará el
control de los sistemas infectados.
Asunto:
•
•
•
•
•
•
•
•
*IMPORTANT* Please Validate Your Email Account
*IMPORTANT* Your Account Has Been Locked
Email Account Suspension
Notice: **Last Warning**
Notice:***Your email account will be suspended***
Security measures
Your email account access is restricted
Your Email Account is Suspended For Security Reasons
Termina procesos en ejecución, deshabilita el
Firewall de Windows XP, modifica el
archivo HOSTS para impedir el acceso a
sitios web relacionados a software antivirus,
firewalls y de control.
Infecta los siguientes sistemas operativos:
Windows
2000/XP,
servidores
NT/2000/Server 2003, está desarrollado en
MS Visual C++.
Contenido:
•
•
•
•
•
•
•
Account Information Are Attached!
Once you have completed the form in the attached file ,
your account records will not be interrupted and will
continue as normal.
please look at attached document.
Please see the attachement.
To safeguard your email account from possible
termination, please see the attached file.
To unblock your email account acces, please see the
attachement.
We have suspended some of your email services, to
resolve the problem you should read the attached
document.
Captura buzones de la Libreta de
Direcciones de Windows o usa uno de los
siguientes nombres:
adam
Admin
Administrator
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
Anexado:
•
•
•
•
•
•
•
•
•
email-doc
email-info
email-text
information
your_details
document_full
IMPORTANT
info-text
{random}
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
Webmaster
leo
linda
Mail
maria
mary
matt
michael
mike
peter
ray
Register
robert
sam
serg
Service
smith
Staff
stan
steve
Support
ted
tom
Invoca a los Servidores Exchange e integra
los nombres de dominio a las siguientes
cadenas para usarlas como servidores SMTP:
•
•
•
•
•
•
•
•
•
seguido de cualquiera de las siguientes
extensiones:
•
•
•
•
claudia
dan
dave
david
debby
fred
george
helen
Hostmaster
Info
jack
james
.exe
.pif
.scr
.zip
gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.
2
Visite el Portal del Estado Peruano:
http ://www.peru.gob.pe
Los mensajes
características:
tienen
las
siguientes
Al re-iniciar termina los siguientes procesos
que estuviesen en ejecución:
•
•
•
•
•
•
•
•
•
•
•
Remitente:
Uno de los buzones extraídos del sistema
infectado.
Asunto:
•
•
•
•
•
•
•
•
•
*IMPORTANT* Please Validate Your Email Account
*IMPORTANT* Your Account Has Been Locked
Email Account Suspension
Notice: **Last Warning**
Notice:***Your email account will be suspended***
Security measures
Your email account access is restricted
Your Email Account is Suspended For Security Reasons
[aleatorio]
Descargar y ejecutar archivos con códigos
malignos.
Obtener información del sistema y la
velocidad de conexión a Internet.
Contenido:
Account Information Are Attached!
Once you have completed the form in the attached file , your
account records will not be interrupted and will continue as
normal.
please look at attached document.
To safeguard your email account from possible termination,
please see the attached file.
To unblock your email account acces, please see the
attachement.
We have suspended some of your email services, to resolve
the problem you should read the attached document.
[aleatorio]
Enviar mensajes a través del canal de Chat.
Impide el acceso a las siguientes direcciones:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
www.mcafee.com
www.my-etrust.com
Anexado:
•
•
•
•
•
•
•
•
•
document_full
email-doc
email-info
email-text
IMPORTANT
information
info-text
your_details
[aleatorio]
seguido de cualquiera de las siguientes
extensiones:
•
•
•
•
•
•
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
VIRUS W32/MYDOOM.BO@MM
DESCRIPCIÓN
bat
cmd
exe
pif
scr
zip
Alias : I.WORM.MYDOOM.BO@MM
Se propaga a través de mensajes de Correo
con remitentes disfrazados bajo la técnica
Spoofing, asuntos, contenidos y archivos
anexados de nombres aleatorios, con
diversas extensiones.
Si el archivo tiene extensión .ZIP la copia del
gusano tiene una de las siguientes segundas
extensiones:
•
•
•
•
cmd.exe
Msconfig.exe
navapw32.exe
navw32.exe
netstat.exe
PandaAVEngine.exe
Regedit.exe
taskmgr.exe
wincfg32.exe
zapro.exe
zonealarm.exe
.doc
.txt
.htm
.html
Abre un Backdoor y se conecta un canal del
IRC (Internet Chat Relay) por el puerto TCP
6677 y el intruso podrá ejecutar acciones,
tomando el control en forma remota del
sistema infectado.
3
Visite el Portal del Estado Peruano:
http ://www.peru.gob.pe
Contenido, uno de los siguientes:
Deshabilita antivirus, firewalls y software de
control. Manipula el HOSTS para impedir
que el usuario se conecte a determinados
portales de antivirus con el propósito de
impedir la actualización de sus productos.
•
•
•
•
Infecta los siguientes sistemas operativos :
Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003, está desarrollado en Visual C++.
•
•
•
Usando su propio SMTP (Simple Mail
Transfer Protocol) se auto-envía a las
direcciones de correo de la Libreta de
Direcciones de Windows (WAB) y la carpeta
Temporal de Internet o de archivos
contenidos en las unidades de disco C: a la
Y: con las siguientes extensiones:
•
•
•
•
•
•
•
•
•
Anexado, uno de los siguientes:
•
•
•
•
•
•
•
•
•
htm*
sht*
php
asp
dbx
tbb
adb
wab
txt
tiene
las
•
•
•
•
•
•
siguientes
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
pif
scr
exe
cmd
bat
zip
Al reiniciar el sistema, termina los procesos
de los siguientes antivirus, firewalls y
software de control:
Remitente, emplea la técnica Email spoofing
que usa aleatoriamente los buzones
extraídos del sistema o uno de los siguientes
primeros nombres:
•
•
•
•
•
•
•
•
•
•
•
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sam
mary
regedit.exe
msconfig.exe
cmd.exe
taskmgr.exe
netstat.exe
zapro.exe
navw32.exe
navapw32.exe
zonealarm.exe
wincfg32.exe
PandaAVEngine.exe
Impide el acceso a diversos portales de
antivirus:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Asunto: aleatoriamente
•
•
•
•
•
•
•
•
email-doc
info
text
doc
your_details
document_full
INFO
IMPORTANT
info-text
Con cualquiera de las extensiones:
El
mensaje
características:
john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
Once you have completed the form in the attached file ,
your account records will not be interrupted and will
continue as normal.
To unblock your email account acces, please see the
attachement.
Please see the attachement.
We have suspended some of your email services, to
resolve the problem you should read the attached
document.
To safeguard your email account from possible
termination, please see the attached file.
please look at attached document.
Account Information Are Attached!
Notice: **Last Warning**
Your email account access is restricted
Your Email Account is Suspended For Security Reasons
Notice:***Your email account will be suspended***
Security measures
Email Account Suspension
*IMPORTANT* Please Validate Your Email Account
*IMPORTANT* Your Account Has Been Locked
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
4
Visite el Portal del Estado Peruano:
http ://www.peru.gob.pe
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
CONSEJOS PARA PROTEGERSE DE
LOS VIRUS INFORMATICOS
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
Hay muchos virus que se esparcen
mediante la red a nivel mundial y nacional,
por lo que, indicamos a continuación
algunas recomendaciones para que las
instituciones y usuarios en general puedan
proteger sus equipos informáticos:
♦ Utilice un buen antivirus y actualícelo
frecuentemente.
♦ Compruebe que el antivirus incluye
soporte técnico, actualizaciones urgentes
ante nuevos virus y servicios de alerta.
♦ Si dispone de herramientas de filtrado,
configúrelas para que rechacen los
mensajes que cumplan las características
de los virus más conocidos.
♦ No
ejecute
archivos
adjuntos
desconocidos y bórrelos incluso de la
carpeta de Elementos Eliminados.
♦ Los archivos adjuntos deben ser
revisados por un antivirus actualizado.
♦ Tenga cuidado con los archivos que
reciba a través de las aplicaciones de
intercambio de archivos punto a punto
(P2P).
Actuando como Backdoor se conecta y une a un
canal del servidor IRC blackcarder.net usando el
puerto TCP 6677 (no asignado), a través del cual
los intrusos podrán ejecutar, entre otras las
siguiente acciones:
•
•
•
•
Descargar y ejecutar archivos con códigos
maligno.
Ejecutar cualquier comando IRC activado
por el intruso.
Reiniciar el equipos a voluntad.
Realizar diversas acciones en forma remota.
Se adjunta una lista de páginas webs donde el usuario puede obtener mayor información sobre
virus y actualizar el antivirus:
NOMBRE DEL ANTIVIRUS
PAGINA WEB
Panda Software
Per Antivirus
The Hacker
AVAST Antivirus
Zap Antivirus
http://www.pandasoftware.es/
http://www.persystems.net/
http://www.hacksoft.com.pe/
Sophos Antivirus
http://esp.sophos.com/
Norton Antivirus (NAV)
http://www.sarc.com/avcenter/download.html
Antiviral Toolkit Pro (AVP)
http://www.kaspersky.com/
ESafe
http://www.esafe.com/download/virusig.html
Antivirus Enterprise Protection
http://www.commandcom.com/html/files.html
InoculateIT
http://support.cai.com/Download/virussig.html
McAfee VirusScan
http://download.mcafee.com/updates/updates.asp
AVG Antivirus
http://www.grisoft.com/us/us_index.php
Symantec
http://www.symantec.com/
TrenMicro
http://www.trendmicro.com/download/pattern.asp
BitDefender
http://www.bitdefender-es.com
http://www.antivir.com/support.htm
http://www.zapantivirus.com
CUALQUIER CONSULTA ENVIAR UN CORREO AL
CENTRO DE CONSULTA
E INVESTIGACION SOBRE SEGURIDAD DE LA INFORMACION
ccisi@pcm.gob.pe
5
Visite el Portal del Estado Peruano:
http ://www.peru.gob.pe
