 |
Menú |
|
|
|
Referencias |
|
|
|
Alertas |
|
|
|
|
|
|
En la Universidad, desde el día 27/01/2004, está presente una amenaza informática en gran parte de los mensajes entrantes del sistema de correo electrónico. Esta amenaza es el Gusano de Internet W32.Novarg.A@mm, el cual es conocido también como Worm.Mimail.R, W32.Mydoom@mm y Win32/SMIG.
Este gusano se propaga básicamente mediante el correo electrónico, pero puede propagarse a traves de el P2P KaZaA. Según los expertos, el virus se está propagando con gran rapidez en todo el mundo, afectando cientos de miles de ordenadores.
|
|
|
|
|
Como medida de emergencia, hemos bloqueado la entrada de mensajes desde afuera que tengan anexos ("attachments") tipo ZIP (archivos comprimidos), adicional a los bloqueos ya existentes de cierto tipo de archivos ejecutables, pero existen múltiples copias del gusano en prácticamente todos los buzones de correo que deben ser eliminadas.
El gusano utiliza la lista de direcciones de correo para propagarse (Linux y MacOS no son vulnerables).
Este gusano utiliza mensajes de correo electrónico con asuntos, textos y nombres de archivos adjuntos variables. El mensaje suele medir de 30 a 35 Kb. La dirección del remitente del correo puede ser falsa por lo que la dirección que figura en el campo "De:" o "From:", no es quien envía el gusano, o puede ser una dirección real tomada de la libreta de direcciones de un equipo infectado.
Es recomendable eliminar todos aquellos mensajes de correo electrónico que puedan contener el patrón indicado utilizando Webmail (https://webmail.usb.ve/) para minimizar el posible efecto de ejecutar automáticamente el archivo anexo con visualizar el mensaje en Outlook Express u otro tipo de aplicación de correo vulnerable.
El gusano toma direcciones de correo electrónicas de los sistemas infectados para propagarse. Si Ud. aparece en algunos mensajes del tipo "Se ha detectado que hay un virus en un documento que Ud. ha enviado" *no significa necesariamente* que su equipo tiene un problema. Simplemente, su dirección electrónica está en algún sistema infectado y fue usada por el mismo para propagar el gusano.
Patrón de los mensajes
Asunto (Subject) del mensaje varia de acuerdo a:
-
Delivery Notification: Delivery has failed
-
Error
-
hello
-
Hello
-
HELLO
-
hi
-
HI
-
Mail Delivery System
-
Mail Transaction Failed
-
Nicakhtwewby
-
Returned mail: User unknown
-
Server Report Status
-
test
-
Test
-
Undeliverable: Mail Delivery System
-
Undelivered Mail Returned to Sender
Texto del mensaje varia de acuerdo a:
(caracteres ilegibles o sin sentido)
The message cannot be represented in 7-bit ASCII
encoding and has been sent as a binary attachment.
The message contains Unicode characters and has
been sent as a binary attachment.
Mail transaction failed. Partial message is available.
test
|
Archivo Adjunto o Attachment varia entre
[.bat, .exe, .pif, .cmd, .scr]
puede llegar también como un archivo ZIP ) (22,528 bytes) entre los
que se encuentran:
-
examples (nombres comunes, pero pueden ser aleatorios)
-
doc.bat
-
document.zip
-
message.zip
-
readme.zip
-
text.pif
-
hello.cmd
-
body.scr
-
test.htm.pif
-
data.txt.exe
-
file.scr
El icono utilizado toma la apariencia de un archivo anexo del tipo
texto.
Todas las empresas antivirus han actualizado sus definiciones de virus desde el mismo día de aparición de la amenaza, por lo que se recomienda mantener actualizados los sistemas antivirus que esten instalados, y eliminen de su computador cualquier tipo de aplicacion con conexión peer-to-peer tales como Kazaa, Edonkey, Gnutella entre
otros que pudiesen representar un medio de contagio para este gusano.
Si Ud. recibe o ha recibido un correo electrónico con las caracteristicas antes señaladas NO ABRA el archivo adjunto y elimine el correo.
¿Cómo saber si su computador está infectado con este gusano?
Cuando el archivo adjunto es ejecutado, se copia al directorio de System
o System32 de Windows como taskmon.exe.
Propagación punto a punto
El gusano se copia en el directorio compartido de KaZaA, utilizando
entre otros los siguientes nombres:
-
nuke2004
-
office_crack
-
rootkitXP
-
strip-girl-2.0bdcom_patches
-
activation_crack
-
icq2004-final
-
winamp
Si alguno de estos archivos existe en su disco duro, es indicativo de
que el equipo está infectado.
Para cualquier información sobre virus y gusanos puede visitar la
página:
http://virus.dst.usb.ve
Exhortamos seguir estas recomendaciones y de esta manera, se estará protegiendo contra posibles infecciones de este gusano, y reduciendo el impacto negativo a toda la red.
Para aclarar dudas o solicitar más información, comuníquese con el Departamento de Atención al Usuario por la dirección ayudadst@usb.ve, o por teléfono al 4100.
Gracias anticipadas por su colaboración.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Archivos anexos
|
Antimydoom
|
|
|
Para eliminar el gusano Novarg.A y W32.Mydoom.B@mm, arregla el Windows Registry y finaliza los procesos activos del gusano.
|
|
clrav
|
|
|
Para eliminar el gusano Novarg.A y W32.Mydoom.B@mm, arregla el Windows Registry y finaliza los procesos activos del gusano. De Kaspersky Labs.
|
|
f-mydoom
|
|
|
Para eliminar el gusano Novarg.A y W32.Mydoom.B@mm, arregla el Windows Registry y finaliza los procesos activos del gusano. De F-Secure.
|
|
|
|
|
|
|
Historia de los Virus Informáticos |
|
|
|
|
|
|
[16/07/2003]
|
|
|
|
[16/09/2003]
|
|
|
|
[06/11/2003]
|
|
|
|
|
Conceptos |
|
|
|
|
|
|
[10/12/2003]
|
|
|
|
[20/11/2003]
|
|
|
|
