W32/Bandera Virus


El gusano, de origen chileno, se propaga a través del correo electrónico, a todos los contactos de la libreta de direcciones de Windows.





Nombre: W32/Bandera
Tipo: Gusano de Internet
Alias: W32/Bandera@MM, W32/PostalAmistad@MM
Fecha: 2/jul/02
Tamaño: 169,984 bytes
Fuente: HackSoft

El mensaje puede tener algunos de los siguientes asuntos, textos y nombres de adjuntos, seleccionados al azar de la siguiente lista:

Asunto: Te han enviado una postal.
Texto: Postales NetWork (c)1999-2002.
Datos adjuntos: PostalDeAmistad.pif

Asunto: Leelo y reenvialo a quienes aprecias.
Texto: Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad.
Datos adjuntos: Cristo_Nos_Enseña.Doc.pif

Asunto: Listado de falsas alarmas.
Texto: Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien.
Datos adjuntos: Listado.txt.by.Microsoft.com

Asunto: This is a last hoax list.
Texto: I send the list of false alarms, so that you do not make case to the lies bye.
Datos adjuntos: List.txt.by.Microsoft.com

Asunto: Facturas
Texto: Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.
Datos adjuntos: Facturas556.XLS.pif

Asunto: Fw: Enviame tu foto.
Texto: bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje
Datos adjuntos: EnLosAndes.pif

Asunto: Es posible que nos roben la identidad.
Texto: lee el documento y veras que puede ser
verdad, luego enviaselo a tus amigos para que no les suceda eso.
Datos adjuntos: YaNoPuedoSerYoMismo.DOC.pif

Asunto: Messenger vulnerable
Texto: si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.
Datos adjuntos: ReparacionDeMessenger.DOC.pif

Asunto: Test de amor.
Texto: Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.
Datos adjuntos: TestDeAmoryAmistad.DOC.pif

Cuando el adjunto es ejecutado por el usuario (utiliza el truco de la doble extensión, la segunda puede quedar oculta con la configuración por defecto de Windows), el gusano genera las siguientes copias de si mismo en la carpeta de Windows (C:Windows, C:WinNT, etc.):

Cristo_Nos_Enseña.Doc.pif
Listado.txt.by.Microsoft.com
List.txt.by.Microsoft.com
Facturas556.xls.pif
EnlosAndes.pif
YanoPuedoserYomismo.Doc.pif
ReparaciondeMessenger.Doc.pif
TestDeAmoryAmistad.Doc.pif
PostalDeAmistad.pif

Como muchos de los virus más recientes, este gusano también se propaga a través de la utilidad KaZaa, utilizada por miles
de usuarios para el intercambio de archivos entre sus computadoras. Para ello, siempre que KaZaa exista en la máquina infectada, se copia en la carpeta compartida de este programa con diferentes nombres para engañar a los usuarios que lo descarguen a sus propias computadoras:

AVP40Crack.exe
ResidentEvil-Crack.exe
AVP-SpanishPatch.exe
PandaAllCracks.exe
SexoenlaCalle-Video.exe
Sexo-Asiatico-FullVideo.exe
MessengerSkins29.exe
HackTools.exe
MP3EncoderDecoder58.exe
GameCube-FreeEmulator.exe
PSX2-Emulator.exe
X-Box_Emulator.exe
PSXEmulator_Full.exe
CounterStrikeMoreServers.exe
Jedi2-FullCrack.exe
W98ToXpActualization.exe
WindowsXP-Serials.exe
GamesPSX2Emulator.exe
CopyPSXgamesV12.exe

También crea el archivo BANDERANEGRA.VBS en la raíz del disco "C:". Este script de Visual Basic contiene la rutina para enviarse a través del correo electrónico.

También intenta borrar los siguientes archivos, pertenecientes a conocidos antivirus (VirusScan de McAfee,
PER Antivirus y Kaspersky):

systemvshield.vxd
system32vshield.vxd
vshield.vxd
c:autoexec.bat
C:archiv~1peravpav.dll
C:archiv~1peravper.dll
C:program filesperavpav.dll
C:program filesperavper.dll
C:WindowsPAV.EXE
C:Windowsasesavp.set

También modifica entradas del registro que contienen las siguientes cadenas:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
(Predeterminado) = PAV.EXE C:Windows

HKLMSOFTWAREKasperskyLabSharedFiles
Folder = C:Windows

Dentro del código del virus se visualizan los siguientes comentarios, que no son desplegados durante la ejecución del
gusano:

Componente para Facilitar La programacion de Gusanos.
Componente V1.01c BanderaNegra, Por ErGrone/Zonavirus
VIVA SUDAMERICA!!! Http://www.geocities.com/[omitido]


* Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

PAV.EXE

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

6. Actualice sus antivirus o reinstálelos (el virus intenta
eliminar algunos archivos pertenecientes a conocidos
antivirus, como PER, Kaspersky y VirusScan, aunque no lo
logra en todos los casos).

7. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

8. Borre los archivos detectados como infectados por el virus


* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema".

Otras noticias de interés:

Que sabe Google de tus actividades en Internet
Si posees una cuenta en algun servicio de Google y estas logueado en el sistema en tu navegador, todo lo que hagas será registrado en Google. Claro!, si no esa logueado lo hará igual pero no bajo tu perfil :) ...
Un gusano infecta PCs recodificando archivos MP3 de las P2P
Este tipo de software malintencionado puede suponer un peligro para los usuarios de Windows que descargan música en las redes de intercambio de archivos (P2P)....
La policía alemana detiene a un pirata informático de Steam
Robó datos bancarios de un servidor third party del sistema de Valve.El sistema Steam de Valve vuelve a protagonizar un episodio de piratería. ...
Microsoft emitirá dos parches de emergencia para IE
Microsoft distribuirá mañana dos parches de emergencia antes de la fecha prevista dentro de su sistema mensual de emisión de actualizaciones de seguridad: el martes 11 de agosto. Los parches cubrirán un fallo crítico en Internet Explorer (IE) y ...
Avance de los boletines de seguridad de Microsoft para junio.
Un avance sobre los próximos boletines fue publicado en el sitio web de Microsoft, anunciando las siguientes actualizaciones disponibles después de la segunda semana de junio. ...
Sitios con OS Commerce comprometidas con malware
Cerca de 100.000 páginas web de comercio electrónico basadas en el software OS Commerce de código abierto se han visto comprometidas con malware a través del ataque de inyección iFrame. Así lo afirma la firma de seguridad Armorize....
Un Hacker consigue ejecutar código en un PDF sin explotar ninguna vulnerabilidad
Por si no fuera poco la larga lista de vulnerabilidades que se explotan actualmente en los visualizadores de documentos PDF, que pueden comprometer la seguridad de nuestros sistemas, ahora un hacker ha creado un archivo de prueba de concepto PDF, que...
PCs desprotegidos son detectados en sólo 20 minutos por intrusos
Estudio sobre seguridad informática concluye que los usuarios Internet no alcanzan siquiera a instalar las últimas actualizaciones de seguridad antes de que sus máquinas sean objeto de ataques externos...
Adobe Flash Player 10.0.42.34 corrige siete vulnerabilidades crítica
Adobe ha lanzado una actualización de seguridad crítica para Adobe Flash Player que corrige siete vulnerabilidades críticas detectadas. Se recomienda que los usuarios de Adobe Flash Player 10.0.32.18 o anterior y de AIR 1.5.2 (Adobe Integrated Run...
Oracle lanza parche de seguridad para Java
El fallo hace que el entorno de ejecución de Java se cuelgue y pueda ser explotado por atacantes de manera remota sin necesidad de autenticación...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bandera
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra