“VIRUS” Luis Enrique Rivera 1°I N.

L 39

VIRUS

CARACTERISTICAS
Este gusano se propaga por AOL Instant Messenger y a través del correo electrónico. En este último caso, utiliza mensajes como el siguiente: De: [dirección del remitente] Asunto: Service Pack 2 BUG!! Texto del mensaje: Dear user I have been informed that there was a BUG in Windows Service Pack 2 which was fixed I recommend you to download this Patch version which will fix the bug and keep your system safe. You will find the Patch file in the attachment, feal free to send it to anyone. I'll be in touch with you as soon as another bug is found. Regards, A.H Datos adjuntos: C:\Fix_SP2.zip El archivo adjunto es descargado por el gusano desde la siguiente página Web: http://geocities.com/??????/ahkerb.zip Cuando se ejecuta, crea los siguientes archivos: [carpeta de inicio]\msVBdll.exe C:\Program Files\Sony\VAIO Action Setup\MsVBdll32.exe c:\windows\msVBdll.exe c:\windows\Msvbdll.pif Gusano que se envia a todos los contactos de la libreta de direcciones del equipo infectado. CARACTERISTICAS Cuando el gusano se ejecuta crea una copia de si mismo dentro de la siguiente carpeta: C:\Windows\Update\Date.POP.vbs Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows: HKLM\Software\Microsoft\Windows \CurrentVersion\Run BootsCfg = wscript.exe c:\windows\update\date.pop.vbs % De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system"). El mensaje que utiliza para propagarse tiene las siguientes caracteristicas: Asunto: Movies Texto del mensaje: Here is the movies tickets that you asked for from [Sitio web] Datos adjuntos: Date.POP.vbs El gusano también intenta apagar el equipo infectado. Virus infector de ejecutables, que modifica el registro para ejecutarse. Cuando ello sucede, el virus busca otros archivos .EXE y los infecta, agregando su propio código al principio de los mismos, aumentando su tamaño original. CARACTERISTICAS Cuando se ejecuta por primera vez, crea el siguiente archivo: C:\WINDOWS\svchost.com Modifica la siguiente entrada del registro para ejecutarse cada vez que un .EXE es llamado: HKCR\exefile\shell\open\command (Predeterminado) = "C:\WINDOWS\svchost.com "%1" %*" Crea el siguiente mutex para no cargarse más de una vez en memoria:

Win32/Aimdes.a

Bat/Hobat.a

Win32/Neshta.a

MutexPolesskayaGlush*.* ミ svchost.com ミ exefile\shell\open\com mand‹À "%1" %*œ"@ Tojano:Mensajes de correo electrónico falsificados con la intención de engañar a usuarios crédulos, para que revelen sus números de tarjetas de crédito, den información de sus depósitos de cuentas bancarias y todo tipo de detalles personales. CARACTERISTICAS Estos mensajes parecen ser enviados por un banco, una institución financiera o un proveedor de servicios de Internet, solicitando la confirmación de ciertos datos personales. Al hacer clic en un enlace en el correo, el usuario es enviado a una página falsa, que simula pertenecer al sitio web de la institución involucrada, donde se pide el ingreso en un formulario, de información sensible, etc. Este tipo de malware no suele instalar o ejecutar nada. Llega a nosotros como un correo electrónico intentando que los usuarios ingresen sus datos personales en un página web falsificada. Recibir este tipo de mensajes, abrirlos o visualizarlos, no suele ser peligroso, pero se recomienda no abrir jamás adjuntos no solicitados. Existen muchas modificaciones de esta clase de estafa, en su mayoría simulan provenir de conocidos bancos o instituciones. El texto del mensaje, a menudo urge al usuario a llevar a cabo la acción solicitada, con la excusa de que su cuenta podría ser cerrada, u otra clase de argumento similar. Los grupos delictivos detrás del "phishing", obtienen grandes ganancias a partir de la información robada. Este tipo de mensajes no suelen propagarse por si mismos, siendo enviados generalmente como spam. 1. NUNCA haga clic en forma directa sobre NINGUN enlace en mensajes no solicitados. Mucho menos ingrese información de ningún tipo en formularios presentados en el mismo mensaje. 2. Desconfíe siempre de un mensaje como el indicado. Cerciórese antes en los sitios principales, aún cuando el mensaje parezca "real". Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro. 3. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http:. Un sitio con una URL https: es un sitio seguro. Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección. 4. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido. 5. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico, o en forma telefónica. Recuerde que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente. Desarrollado para correr en sistemas Windows 95/98.Infecta archivos PE, y es polimórfico, infecta directamente archivos y no reside en memoria. Contiene dentro de su código una leyenda "Marburg ViRuS BioCoded by GriYo/29A". CARACTERISTICAS

Html /Bankfraud.a

Win95/ Marburg

Cuando el programa infectado esta corriendo, Marbug infecta los archivos del corriente directorio, el directorio de C:\Windows y C:\Windows\System. Los archivos infectados “engordan”, es decir crecen en tamaño (el tamaño es siempre divisible por el número 101, en sistema decimal).El virus chequea la longitud para cerciorarse de no infectar dos veces un mismo archivo, como así tampoco infecta archivos que en su nombre contengan la letra “v”, un ejemplo: `PAND*.*", `F-PR*.*" and `SCAN*.*". Evitando de esta manera toparse con archivos de programas antivirus. Si se corre un archivo infectado entre la 1 hora y 3 meses, del contacto con el virus, se genera una acción adicional. La misma se basa en mostrar una cuadro de dialogo de dialogo de mensaje de error aleatorio de Windows, del tipo "Windows critical error", o “error critico de Windows”, abierto varias veces en pantalla. Otra característica es la de poseer una rutina de corromper y/o borrar los siguientes archivos de bibliotecas de los antivirus mas difundidos ,por ejemplo : "ANTI-VIR.DAT" , "CHKLIST.MS","AVP.CRC" , "IVB.NTZ". Síntomas: Eliminación o daño de los archivos mencionados anteriormente, una notable perdida del rendimiento del sistema operativo (tiempo en abrir ventanas, lectura de unidades, etc). Modos de infección: Ejecutando un archivo infectado y que haya en el mismo directorio otros archivos infectados del sistema. Aproximadamente a las 2:00 PM GMT-5 del Viernes 26 de Marzo de 1999 empezó a propagarse Melissa. El nuevo macro virus de Word se expande a una velocidad increíble. Funciona en combinación con Microsoft Word y Microsoft Outlook, tanto para versiones de MS Office 97/98 y MS Office 2000. Efectos del virus: El nuevo virus Melissa infecta archivos de Word aprovechando su capacidad de ejecutar Scripts de Visual Basic. Sus acciones principales son las siguientes: 1. Infecta a MS Word y éste a todos los archivos que se abren. 2. Cambia ciertas configuraciones para facilitar la infección. 3. Se auto-envía por correo, como un mensaje proveniente del usuario a las primera 50 buzones de la libreta de direcciones de su correo. Cuando un documento de Word infectado es abierto, Melissa infecta la plantilla de documentos normal.dot, que es donde se encuentran todos los valores y macros predeterminadas del programa. A partir de este momento todos los archivos serán infectados por el virus. Versiones que infecta Melissa verifica la versión de Word que la PC contenga, y se adapta a la misma. Sólo funciona con Word97 y Word 2000. Las versiones 95 y anteriores no sufren riesgo. Forma de auto-distribuirse Si se tiene instalada la versión completa de Microsoft Outlook (no Outlook Express), el virus se envía a los primeros 50 contactos en la libreta de direcciones como un archivo adjunto, a un email que figura como proveniente de parte suya. Y en general figura en el cuerpo del mensaje, este texto: Here is that document you asked for ... don't show anyone else ;-) Si la persona tiene varias libretas de direcciones, se enviará a los primeros 50 contactos de cada una. A su vez éste envío tendrá un efecto multiplicador, vale decir que cada una de los

Virus Melissa o W97M/Melissa.A

buzones que recepcio

Uno de los virus mas famosos de la historia, ya que a partir de él se crearon muchos otras versiones. CARACTERISTICAS El virus se auto-instala residente en la memoria RAM del sistema, tomando control de las interrupciones 08h y 21h, y desde allí infecta archivos con extensión .COM, a los cuales incrementaba 1,792 bytes y a los .EXE con 1,808 a 1822 bytes adicionales. Cada vez que se ejecuta el archivo .EXE infectado, se le agregan otros 1,808 bytes, llegando a incrementar su tamaño, lo que ocasiona una gran lentitud en los procesos, hasta lograr saturar la memoria convencional de 640Kb y ocupar espacio innecesario en los discos duros, que por aquella época promediaban entre 20 y 30 MB de almacenamiento.

Jerusalem

Master your semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master your semester with Scribd & The New York Times

Cancel anytime.