Archive for the ‘Virus’ Category

h1

Virus Amvo (Archivo ocultos)

16/11/2011

El virus amvo y sus variantes tienen como objetivo principal bloquearnos los archivos ocultos de tal forma que no podamos verlos. Se propaga a través del archivo autorun.inf de los dispositivos usb.

Para poder visualizar los archivos ocultos iriamos a:  Mi PC –> Herramientas –> Opciones de carpeta –> Ver –> Mostrar todos los archivos y carpetas ocultos

Ver archivos ocultos

Ver archivos ocultos

Después de Aplicar y Aceptar, repetimos el proceso anterior y, si aun asi no pudieramos ver lo archivos ocultos, volviendo a estar marcada la opción ” No mostrar archivos ni carpetas ocultos” quiere decir que estamos infectados con el virus amvo o alguna de sus variantes.

Una forma práctica de ver los todos los archivos (incluidos ocultos y de sistema) des de el cmd –> dir /a

Para ver sólo los archivos ocultos: dir /a:h
Para ver sólo los archivos de sistema: dir /a:s
Para ver los archivos que son ocultos y de sistema (ambas cosas): dir /a:hs

Para cambiar estos atributos podemos utilizar el comando attrib:

attrib [+r | -r]  [+a | -a]  [+s | -s]  [+h | -h]  [+unidad:] [ruta]  [nombre-archivo] [/s  [/d]]

+ Establece el atributo de archivo de sólo lectura.
Borra un atributo.
r Atributo de sólo lectura del archivo.
a Atributo de archivo de almacenamiento.
s Atributo de archivo de sistema.
h Atributo de archivo oculto.
[+unidad:] [ruta]  [nombre-archivo] Especifica el archivo o archivos que serán afectados por attrib
/s Procesa archivos que coinciden en la carpeta actual.
/d Procesa carpetas.

Existe una herramienta (VBScript) muy útil para la eliminación del virus amvo sin necesidad de realizar pasos intermedios.

Herramienta eliminación Amvo: Fix_Amvo
Autor de la herramienta: MyGeekSide

Anuncios
h1

Conficker

12/11/2011

Conficker es un gusano informático que puede infectar su equipo y propagarse a otros equipos a través de una red de forma automática, sin interacción humana.

Este gusano es conocido como Conficker (Microsoft, Panda, Eset, McAfee), Downadup (Symantec),  Kido (Kaspersky), entre otros.

Existen, por el momento, 5 variantes del gusano:

  • Win32/Conficker.A (21/11/2008).
  • Win32/Conficker.B (29/12/2008).
  • Win32/Conficker.C (20/2/2009).
  • Win32/Conficker.D (4/3/2009).
  • Win32/Conficker.E (8/4/2009).

Comparación entre versiones:

Versiones Conficker
Versiones Conficker

Propagación

Los métodos de propagación utilizados en función de la variante son:

– Explotación de la vulnerabilidad del servicio servidor (solicitudes RPC), solucionada en el boletin de actualización de Microsoft MS08-067

– Recursos compartidos de red

–  Reproducción automática de unidades extraíbles (usb), mediante un archivo autorun.inf  y el archivo K:\RECYCLER\S-5-3-42-28199522…\jwgkvsq.vmx Read the rest of this entry ?

h1

Tidserv / MS10-015

29/10/2011

Descubierto: 18 de septiembre 2008
Actualizado: 18 de septiembre 2008 04:01:39 PM
Tipo: Troyano – Rootkit
Sistemas afectados: Windows 2000, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Alias: Alureon, TDSS y TDL (varias versiones, tales como TDL-3 o TDL-4).

Família Tidserv Symantec (variantes)

· Boot.Tidserv
· Boot.Tidserv.B
· Backdoor.Tidserv
· Backdoor.Tidserv.J
· Backdoor.Tidserv.K
· Backdoor.Tidserv.L
· Backdoor.Tidserv.M
· Backdoor.Tidserv!inf
· Backdoor.Tidserv.H!inf
· Backdoor.Tidserv.I!inf
· W32.Tidserv
· W32.Tidserv.G

Propagación:

Este troyano se distribuye generalmente mediante una serie de medios comunes a muchas otras amenazas conocidas. Es decir, se ha observado que se transmite por blogs falsos equipados con las direcciones URL de videos con mensajes al estilo “debe ser visto” o un blog falso o comentarios en el foro con cebos similares. El troyano también se pueden encontrar en los archivos Torrent falsos y las descargas P2P, los sitios warez Web, y también en el hackeado los sitios Web legítimos y falsos equipados con exploits para varias vulnerabilidades que permite lo que se conoce como un “drive-by download” (Google ha descubierto que una de cada 10 páginas web que han sido analizadas a profundidad, pueden contener los llamados “drive by downloads” que son sitios que instalan spyware o códigos que dan información de los equipos sin percatarse el usuario).

 

Read the rest of this entry ?

h1

Chir.B

02/07/2011

Descripción breve

Chir.B es un gusano que llega en un mensaje de correo electrónico escrito en inglés. El gusano se activa automáticamente con tan sólo visualizar el mensaje a través de la Vista previa de Outlook, o bien al abrirlo.
Para ello, aprovecha una vulnerabilidad de Internet Explorer 5.01 y 5.5 (Exploit/Iframe) que permite la ejecución automática de los ficheros incluidos en los mensajes de correo.
Chir.B es además capaz de aprovechar una segunda vulnerabilidad, conocida como Exploit/MIME, que también provoca la ejecución automática de los ficheros adjuntos a mensajes de correo electrónico.
Chir.B infecta los ficheros que tengan las siguientes extensiones: EXE, SCR, HTM y HTML. Además, Chir.B tiene efectos destructivos, ya que el día 1 de cada mes sobrescribe los primeros 4660 Bytes de los ficheros que tengan alguna de las siguientes extensiones ADC, R.DB, DOC y XLS.
Métodos de propagación:
• Correo electrónico
• Red local

Alias:
•  Symantec: W32.Chir.B@mm
•  Mcafee: W32/Chir.b@MM virus
•  Kaspersky: Email-Worm.Win32.Runouce.b
•  F-Secure: Email-Worm.Win32.Runouce.b
•  Sophos: W32/Chir-B
•  Panda: W32/Chir.B
•  Grisoft: Win32/Chir.B@mm
•  Eset: Win32/Chir.B worm
•  Bitdefender: Win32.Parite.B

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos

Chir.B realiza las siguientes acciones:

Infecta ficheros con las siguientes extensiones: EXE, SCR, HTM y HTML.
El día 1 de cada mes sobrescribe los primeros 4660 Bytes de los ficheros que tengan alguna de las siguientes extensiones ADC, R.DB, DOC y XLS.

Read the rest of this entry ?