Nueva versión del Mydoom, esta vez MYDOOM.F


Nueva variante del Mydoom reportado en las últimas horas del 19 de febrero, que se propaga a través del correo electrónico y unidades de red compartidas. Utiliza asuntos, textos y nombres de adjuntos variables, y un remitente siempre falso, por lo que no es posible identificarlo o filtrarlo a simple vista. Realiza ataques de denegación de servicio a www.microsoft.com y www.riaa.com.





CARACTERISTICAS
Existe una posible infección cuando está presente el siguiente archivo:
c:\windows\system\hiruszomrk.exe
Y se despliega una ventana con el siguiente mensaje:
Error
File is corrupted
[ OK ]

Análisis:

El gusano es un archivo de 34,568 bytes.

Puede llegar en un mensaje con alguno de estos posibles asuntos:
[en blanco]
=P Announcement
Announcement
ApprovedNews
Attention
automatic responder
Bug
Current Status
EXPIRED ACCOUNT
For your information
hello
hi
hi, it"s me
IMPORTANT
Information Warning
Love is Love is...
Please read
Please reply
Re:
Re: Approved
Re: Thank You
Read it immediately
read now!
Read this
Readme
Recent news
Recent news
Something for you
Undeliverable message
Unknown
You have 1 day left
You use illegal File Sharing... Your IP was logged
Your account is about to be expired
Your credit card
Your order is being processed
Your order was registered
Your request is being processed
Your request was registered

Texto del mensaje: [una de las siguientes frases]
Check the attached document.
Details are in the attached document. You need
Microsoft Office to open it.
Greetings
Here is the document.
Here it is
I have your password :)
I wait for your reply.
I wait for your reply.
I"m waiting
I"m waiting Okay
Information about you
Is that from you?
Is that yours?
Kill the writer of this document!
OK Everything ok?
Please see the attached file for details
Please, reply
Read the details.
Reply
See the attached file for details
See you
See you Here it is
Something about you
Take it
The document was sent in compressed format.
We have received this document from your e-mail.
You are a bad writer
You are bad

Posibles nombres de adjuntos:

[caracteres al azar].zip
creditcard.bat
creditcard.zip
details.zip
mail.zip
notes.zip
part1.zip
paypal.zip
photo.zip
textfile.zip
vpf.zip
website.zip
Otras posibles extensiones para los adjuntos:

.bat
.cmd
.com
.exe
.pif
.scr

Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:

c:\windows\system\hiruszomrk.exe
c:\windows\system\vppu.dll

De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Modifica o crea la siguiente entrada en el registro:
HKLM\Software\Microsoft
\Windows\CurrentVersion\Run
nhch = c:\windows\system\hiruszomrk.exe
Más información en:http://www.enciclopediavirus.com/virus/vervirus.php?id=735

Otras noticias de interés:

Brasil y ambicioso plan para acercar la tecnología a todos
Lula da Silva (presidente del brasil) anunció que incluyó a las portátiles en el programa de universalización de la informática, que concede incentivos a los fabricantes y créditos baratos a personas interesadas en adquirir equipos. Los detalle...
Firefox y Opera, vulnerables a fuga de información
Opera y Firefox contienen código vulnerable para el manejo de archivos BMP. El problema permite que un atacante genere un archivo en este formato, modificado para obtener datos de la memoria utilizada por estos navegadores. Esta información puede s...
Parche de Adobe Acrobat/Reader no funciona
Un parche recientemente lanzado por Adobe y que, en teoría, resolvía un agujero de seguridad del tipo Zero Day Exploit finalmente no cumple con este propósito....
Nuevo gusano para servidores web con PHP
Este nuevo espécimen puede infectar cualquier sitio web PHP que contenga ciertos errores de programación. Al igual que Santy, también utiliza motores de búsqueda para localizar webs potencialmente vulnerables, en esta ocasión Google Brasil y Y...
Nuevo malware utiliza el exploit WMF
En el momento en que se ha producido esta alerta, Websense Security Labs ha recibido más de 600 páginas web activas que contienen el código IFRAME Cash....
Nuevo Opera 6.06.
Opera uno de los navegadores más rápidos ya tiene nueva versión para Windows y será liberado en los p´roximos días. ...
CEO de INQ considera que Android es para geeks
Frank Meehan, CEO de la marca británica INQ, asegura que la plataforma de Google no resulta interesante si no eres un friki de la informática....
Aprendiendo del gusano Conficker: no utilizar contraseñas débiles
Conficker ha ocupado los primeros lugares en los índices de propagación en los últimos dos meses. Como ya hemos visto se trata de un gusano que explota la vulnerabilidad MS08-067 de Microsoft....
El nuevo troyano Rolark aprovecha una vulnerabilidad
El Laboratorio de Virus de Panda Software, uno de los principales desarrolladores de antivirus, ha detectado la aparición de un nuevo troyano denominado Rolark Trj/Rolark). Su creador ha demostrado una gran rapidez, ya que este código malicioso ha ...
Microsoft bloquea Windows Live desde GNU/Linux
Microsoft decidió que los cibernautas que no utilicen MS-Windows como sistema operativo no pueden tener acceso a la versión completa de Windows Live; así como tampoco a la versión extendida de Hotmail. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mydoom
  • mysql
  • noticia
  • nueva
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • version
  • vez
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra