W32/Bandera Virus


El gusano, de origen chileno, se propaga a través del correo electrónico, a todos los contactos de la libreta de direcciones de Windows.





Nombre: W32/Bandera
Tipo: Gusano de Internet
Alias: W32/Bandera@MM, W32/PostalAmistad@MM
Fecha: 2/jul/02
Tamaño: 169,984 bytes
Fuente: HackSoft

El mensaje puede tener algunos de los siguientes asuntos, textos y nombres de adjuntos, seleccionados al azar de la siguiente lista:

Asunto: Te han enviado una postal.
Texto: Postales NetWork (c)1999-2002.
Datos adjuntos: PostalDeAmistad.pif

Asunto: Leelo y reenvialo a quienes aprecias.
Texto: Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad.
Datos adjuntos: Cristo_Nos_Enseña.Doc.pif

Asunto: Listado de falsas alarmas.
Texto: Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien.
Datos adjuntos: Listado.txt.by.Microsoft.com

Asunto: This is a last hoax list.
Texto: I send the list of false alarms, so that you do not make case to the lies bye.
Datos adjuntos: List.txt.by.Microsoft.com

Asunto: Facturas
Texto: Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.
Datos adjuntos: Facturas556.XLS.pif

Asunto: Fw: Enviame tu foto.
Texto: bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje
Datos adjuntos: EnLosAndes.pif

Asunto: Es posible que nos roben la identidad.
Texto: lee el documento y veras que puede ser
verdad, luego enviaselo a tus amigos para que no les suceda eso.
Datos adjuntos: YaNoPuedoSerYoMismo.DOC.pif

Asunto: Messenger vulnerable
Texto: si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.
Datos adjuntos: ReparacionDeMessenger.DOC.pif

Asunto: Test de amor.
Texto: Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.
Datos adjuntos: TestDeAmoryAmistad.DOC.pif

Cuando el adjunto es ejecutado por el usuario (utiliza el truco de la doble extensión, la segunda puede quedar oculta con la configuración por defecto de Windows), el gusano genera las siguientes copias de si mismo en la carpeta de Windows (C:Windows, C:WinNT, etc.):

Cristo_Nos_Enseña.Doc.pif
Listado.txt.by.Microsoft.com
List.txt.by.Microsoft.com
Facturas556.xls.pif
EnlosAndes.pif
YanoPuedoserYomismo.Doc.pif
ReparaciondeMessenger.Doc.pif
TestDeAmoryAmistad.Doc.pif
PostalDeAmistad.pif

Como muchos de los virus más recientes, este gusano también se propaga a través de la utilidad KaZaa, utilizada por miles
de usuarios para el intercambio de archivos entre sus computadoras. Para ello, siempre que KaZaa exista en la máquina infectada, se copia en la carpeta compartida de este programa con diferentes nombres para engañar a los usuarios que lo descarguen a sus propias computadoras:

AVP40Crack.exe
ResidentEvil-Crack.exe
AVP-SpanishPatch.exe
PandaAllCracks.exe
SexoenlaCalle-Video.exe
Sexo-Asiatico-FullVideo.exe
MessengerSkins29.exe
HackTools.exe
MP3EncoderDecoder58.exe
GameCube-FreeEmulator.exe
PSX2-Emulator.exe
X-Box_Emulator.exe
PSXEmulator_Full.exe
CounterStrikeMoreServers.exe
Jedi2-FullCrack.exe
W98ToXpActualization.exe
WindowsXP-Serials.exe
GamesPSX2Emulator.exe
CopyPSXgamesV12.exe

También crea el archivo BANDERANEGRA.VBS en la raíz del disco "C:". Este script de Visual Basic contiene la rutina para enviarse a través del correo electrónico.

También intenta borrar los siguientes archivos, pertenecientes a conocidos antivirus (VirusScan de McAfee,
PER Antivirus y Kaspersky):

systemvshield.vxd
system32vshield.vxd
vshield.vxd
c:autoexec.bat
C:archiv~1peravpav.dll
C:archiv~1peravper.dll
C:program filesperavpav.dll
C:program filesperavper.dll
C:WindowsPAV.EXE
C:Windowsasesavp.set

También modifica entradas del registro que contienen las siguientes cadenas:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
(Predeterminado) = PAV.EXE C:Windows

HKLMSOFTWAREKasperskyLabSharedFiles
Folder = C:Windows

Dentro del código del virus se visualizan los siguientes comentarios, que no son desplegados durante la ejecución del
gusano:

Componente para Facilitar La programacion de Gusanos.
Componente V1.01c BanderaNegra, Por ErGrone/Zonavirus
VIVA SUDAMERICA!!! Http://www.geocities.com/[omitido]


* Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

PAV.EXE

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

6. Actualice sus antivirus o reinstálelos (el virus intenta
eliminar algunos archivos pertenecientes a conocidos
antivirus, como PER, Kaspersky y VirusScan, aunque no lo
logra en todos los casos).

7. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

8. Borre los archivos detectados como infectados por el virus


* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema".

Otras noticias de interés:

ThinkPad T30 de IBM incorpora la tecnología inalámbrica de Cisco
IBM y Cisco Systems han firmado un acuerdo estratégico para impulsar la adopción de la tecnología inalámbrica. El primer resultado de esta alianza es el nuevo portátil del gigante azul, ThinkPad T30, que integra la tecnología inalámbrica Airon...
DEFCON el otro lado de la informática
Documental bastante interesantes que tratan de la Conferencia de Defcon donde se reunen una gran cantidad de Gurus de la Informática. Aparecen Adam Laurie, Dr Gonzo. La idea de mostrar estos vídeos aunque algo viejos es para informar y enseñar el ...
Los 10 virus informáticos más costosos de la historia
Es lo que todavía echo en falta en esta crisis en la que nos crecen los enanos, algún gran colapso informático que de alguna manera sirva como excusa para que baje la bolsa, suba la prima y ya de paso, nos suban algún impuesto....
Software para monitorear conexiones con bluetooth
BlueSweep es un software gratuito proporcionado por AirMagnet Inc., y que ha sido diseñado para identificar y rastrear la actividad de dispositivos bluetooth cercanos a la computadora en que se instale esta herramienta....
Más de un millón trescientos mil venezolanos están conectados a Internet
En la industria de las telecomunicaciones en Venezuela se han verificado comportamientos particulares, destacando la recuperación del mercado de telefonía fija, que venía cayendo desde 1998; la expansión de los sistemas de conexión a internet, q...
Keylogger para Android basado en el movimiento del teléfono
Un grupo de investigadores de la Universidad del Estado de Pennsylvania e IBM han desarrollado una prueba de concepto que consiste en un keylogger que obtiene sus datos a partir de los sensores de movimiento presentes en cualquier dispositivo Android...
Principales amenazas de seguridad para el hardware
A través de computerworld.es leemos un informe realizado por Kaspersky Lab que indican las principales vulnerabilidades que afectan al hardware....
Redes zombis se descentralizan
Las responsables de organizar redes zombis han adaptado sus herramientas para modernizar los sistemas de ataque y control. Redes zombis descentralizadas y diseñadas para controlar dispositivos móviles son ahora tendencia. ...
Los robots inteligentes tendrán también emociones
La Inteligencia Artificial concibe ya la fabricación de una máquina que reconozca, comprenda y exprese emociones similares –aunque no iguales– a las humanas, con la finalidad de lograr que sea “genuinamente inteligente” y que interaccione d...
La GPLv3 cada vez más extendida
La aceptación de la nueva licencia ha crecido nada menos que un 14% desde la pasada semana. Unos datos más que esperanzadores para sus seguidores. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bandera
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra