W32/Bandera Virus


El gusano, de origen chileno, se propaga a través del correo electrónico, a todos los contactos de la libreta de direcciones de Windows.





Nombre: W32/Bandera
Tipo: Gusano de Internet
Alias: W32/Bandera@MM, W32/PostalAmistad@MM
Fecha: 2/jul/02
Tamaño: 169,984 bytes
Fuente: HackSoft

El mensaje puede tener algunos de los siguientes asuntos, textos y nombres de adjuntos, seleccionados al azar de la siguiente lista:

Asunto: Te han enviado una postal.
Texto: Postales NetWork (c)1999-2002.
Datos adjuntos: PostalDeAmistad.pif

Asunto: Leelo y reenvialo a quienes aprecias.
Texto: Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad.
Datos adjuntos: Cristo_Nos_Enseña.Doc.pif

Asunto: Listado de falsas alarmas.
Texto: Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien.
Datos adjuntos: Listado.txt.by.Microsoft.com

Asunto: This is a last hoax list.
Texto: I send the list of false alarms, so that you do not make case to the lies bye.
Datos adjuntos: List.txt.by.Microsoft.com

Asunto: Facturas
Texto: Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.
Datos adjuntos: Facturas556.XLS.pif

Asunto: Fw: Enviame tu foto.
Texto: bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje
Datos adjuntos: EnLosAndes.pif

Asunto: Es posible que nos roben la identidad.
Texto: lee el documento y veras que puede ser
verdad, luego enviaselo a tus amigos para que no les suceda eso.
Datos adjuntos: YaNoPuedoSerYoMismo.DOC.pif

Asunto: Messenger vulnerable
Texto: si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.
Datos adjuntos: ReparacionDeMessenger.DOC.pif

Asunto: Test de amor.
Texto: Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.
Datos adjuntos: TestDeAmoryAmistad.DOC.pif

Cuando el adjunto es ejecutado por el usuario (utiliza el truco de la doble extensión, la segunda puede quedar oculta con la configuración por defecto de Windows), el gusano genera las siguientes copias de si mismo en la carpeta de Windows (C:Windows, C:WinNT, etc.):

Cristo_Nos_Enseña.Doc.pif
Listado.txt.by.Microsoft.com
List.txt.by.Microsoft.com
Facturas556.xls.pif
EnlosAndes.pif
YanoPuedoserYomismo.Doc.pif
ReparaciondeMessenger.Doc.pif
TestDeAmoryAmistad.Doc.pif
PostalDeAmistad.pif

Como muchos de los virus más recientes, este gusano también se propaga a través de la utilidad KaZaa, utilizada por miles
de usuarios para el intercambio de archivos entre sus computadoras. Para ello, siempre que KaZaa exista en la máquina infectada, se copia en la carpeta compartida de este programa con diferentes nombres para engañar a los usuarios que lo descarguen a sus propias computadoras:

AVP40Crack.exe
ResidentEvil-Crack.exe
AVP-SpanishPatch.exe
PandaAllCracks.exe
SexoenlaCalle-Video.exe
Sexo-Asiatico-FullVideo.exe
MessengerSkins29.exe
HackTools.exe
MP3EncoderDecoder58.exe
GameCube-FreeEmulator.exe
PSX2-Emulator.exe
X-Box_Emulator.exe
PSXEmulator_Full.exe
CounterStrikeMoreServers.exe
Jedi2-FullCrack.exe
W98ToXpActualization.exe
WindowsXP-Serials.exe
GamesPSX2Emulator.exe
CopyPSXgamesV12.exe

También crea el archivo BANDERANEGRA.VBS en la raíz del disco "C:". Este script de Visual Basic contiene la rutina para enviarse a través del correo electrónico.

También intenta borrar los siguientes archivos, pertenecientes a conocidos antivirus (VirusScan de McAfee,
PER Antivirus y Kaspersky):

systemvshield.vxd
system32vshield.vxd
vshield.vxd
c:autoexec.bat
C:archiv~1peravpav.dll
C:archiv~1peravper.dll
C:program filesperavpav.dll
C:program filesperavper.dll
C:WindowsPAV.EXE
C:Windowsasesavp.set

También modifica entradas del registro que contienen las siguientes cadenas:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
(Predeterminado) = PAV.EXE C:Windows

HKLMSOFTWAREKasperskyLabSharedFiles
Folder = C:Windows

Dentro del código del virus se visualizan los siguientes comentarios, que no son desplegados durante la ejecución del
gusano:

Componente para Facilitar La programacion de Gusanos.
Componente V1.01c BanderaNegra, Por ErGrone/Zonavirus
VIVA SUDAMERICA!!! Http://www.geocities.com/[omitido]


* Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

PAV.EXE

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

6. Actualice sus antivirus o reinstálelos (el virus intenta
eliminar algunos archivos pertenecientes a conocidos
antivirus, como PER, Kaspersky y VirusScan, aunque no lo
logra en todos los casos).

7. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

8. Borre los archivos detectados como infectados por el virus


* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema".

Otras noticias de interés:

El spam desciende pero es más difícil de detectar
Según se desprende del informe publicado por Antispameurope, aunque siguen proliferando los mensajes de correo electrónico masivos no deseados, spam, su existencia ha disminuido en el último año. No obstante, la paulatina profesionalización de l...
La ONCE denuncia la escasez de web accesibles para los discapacitados
El día anterior al Día de Internet, la ONCE hace un llamamiento para que todas las empresas dispongan de páginas web accesibles para todos los discapacitados....
Outlook Express permite scripts en mensajes de solo texto
La siguiente falla fue revelada este fin de semana en varias listas de seguridad. Sin embargo, en nuestras pruebas, (VSANTIVIRUS) no hemos podido comprobar que la misma amerite algún riesgo importante, al menos en el escenario mostrado. La vulnerab...
El principio del fin para Windows NT... ¿Días contados?
Descubierta una vulnerabilidad en el servicio RCP Endpoint Mapper, presente por defecto en el puerto TCP/135 en Windows NT 4.0, 2000 y XP. Microsoft publica el parche para Windows 2000 y XP, mientras que deja a todos los sistemas Windows NT vulnerabl...
La alarma en fallo de protocolo TCP es exagerada
Si bien se ha reportado la existencia de un código malicioso que se aprovecha de la vulnerabilidad en el protocolo TCP algunos expertos y fabricantes de antivirus como Symantec, han desestimado el problema, dándole un índice de riesgo mucho men...
MessageLabs provoca a los creadores de virus
Los creadores de virus a través de Internet se convierten en inofensivas reliquias del pasado. Expertos aseguran que desaparece la amenaza de los virus. Después de leer estos titulares basados en unas declaraciones de la compañ...
ISP unidos contra las botnets
Los computadores zombis o botnets se han convertido en una seria amenaza para la economía digital. De esta forma, los proveedores de contenidos y de conexiones a Internet de Estados Unidos (Internet Service Providers o ISP, en inglés), como AT&T, V...
Firefox 2.0.0.16 y 3.0.1, con parches críticos
Las dos nuevas versiones de las series de Firefox 2 y Firefox 3 corrigen un par de importantes vulnerabilidades que afectaban a las anteriores ediciones, y que habían sido calificadas de críticas. A actualizar se ha dicho....
Más usuarios, menos protección
Los ordenadores son muchas veces compartidos y cada usuario navega según su criterio. ¿Podría estar la seguridad del equipo y de las demás personas en peligro? ...
Vulnerabilidad: ejecución de JavaScript en mensajes de Outlook 2002
Microsoft Outlook 2002 es el programa estándar de correo incluido en el nuevo Office XP usado por la mayoría de usuarios de Windows. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bandera
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra