W32/Bandera Virus


El gusano, de origen chileno, se propaga a través del correo electrónico, a todos los contactos de la libreta de direcciones de Windows.





Nombre: W32/Bandera
Tipo: Gusano de Internet
Alias: W32/Bandera@MM, W32/PostalAmistad@MM
Fecha: 2/jul/02
Tamaño: 169,984 bytes
Fuente: HackSoft

El mensaje puede tener algunos de los siguientes asuntos, textos y nombres de adjuntos, seleccionados al azar de la siguiente lista:

Asunto: Te han enviado una postal.
Texto: Postales NetWork (c)1999-2002.
Datos adjuntos: PostalDeAmistad.pif

Asunto: Leelo y reenvialo a quienes aprecias.
Texto: Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad.
Datos adjuntos: Cristo_Nos_Enseña.Doc.pif

Asunto: Listado de falsas alarmas.
Texto: Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien.
Datos adjuntos: Listado.txt.by.Microsoft.com

Asunto: This is a last hoax list.
Texto: I send the list of false alarms, so that you do not make case to the lies bye.
Datos adjuntos: List.txt.by.Microsoft.com

Asunto: Facturas
Texto: Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.
Datos adjuntos: Facturas556.XLS.pif

Asunto: Fw: Enviame tu foto.
Texto: bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje
Datos adjuntos: EnLosAndes.pif

Asunto: Es posible que nos roben la identidad.
Texto: lee el documento y veras que puede ser
verdad, luego enviaselo a tus amigos para que no les suceda eso.
Datos adjuntos: YaNoPuedoSerYoMismo.DOC.pif

Asunto: Messenger vulnerable
Texto: si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.
Datos adjuntos: ReparacionDeMessenger.DOC.pif

Asunto: Test de amor.
Texto: Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.
Datos adjuntos: TestDeAmoryAmistad.DOC.pif

Cuando el adjunto es ejecutado por el usuario (utiliza el truco de la doble extensión, la segunda puede quedar oculta con la configuración por defecto de Windows), el gusano genera las siguientes copias de si mismo en la carpeta de Windows (C:Windows, C:WinNT, etc.):

Cristo_Nos_Enseña.Doc.pif
Listado.txt.by.Microsoft.com
List.txt.by.Microsoft.com
Facturas556.xls.pif
EnlosAndes.pif
YanoPuedoserYomismo.Doc.pif
ReparaciondeMessenger.Doc.pif
TestDeAmoryAmistad.Doc.pif
PostalDeAmistad.pif

Como muchos de los virus más recientes, este gusano también se propaga a través de la utilidad KaZaa, utilizada por miles
de usuarios para el intercambio de archivos entre sus computadoras. Para ello, siempre que KaZaa exista en la máquina infectada, se copia en la carpeta compartida de este programa con diferentes nombres para engañar a los usuarios que lo descarguen a sus propias computadoras:

AVP40Crack.exe
ResidentEvil-Crack.exe
AVP-SpanishPatch.exe
PandaAllCracks.exe
SexoenlaCalle-Video.exe
Sexo-Asiatico-FullVideo.exe
MessengerSkins29.exe
HackTools.exe
MP3EncoderDecoder58.exe
GameCube-FreeEmulator.exe
PSX2-Emulator.exe
X-Box_Emulator.exe
PSXEmulator_Full.exe
CounterStrikeMoreServers.exe
Jedi2-FullCrack.exe
W98ToXpActualization.exe
WindowsXP-Serials.exe
GamesPSX2Emulator.exe
CopyPSXgamesV12.exe

También crea el archivo BANDERANEGRA.VBS en la raíz del disco "C:". Este script de Visual Basic contiene la rutina para enviarse a través del correo electrónico.

También intenta borrar los siguientes archivos, pertenecientes a conocidos antivirus (VirusScan de McAfee,
PER Antivirus y Kaspersky):

systemvshield.vxd
system32vshield.vxd
vshield.vxd
c:autoexec.bat
C:archiv~1peravpav.dll
C:archiv~1peravper.dll
C:program filesperavpav.dll
C:program filesperavper.dll
C:WindowsPAV.EXE
C:Windowsasesavp.set

También modifica entradas del registro que contienen las siguientes cadenas:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
(Predeterminado) = PAV.EXE C:Windows

HKLMSOFTWAREKasperskyLabSharedFiles
Folder = C:Windows

Dentro del código del virus se visualizan los siguientes comentarios, que no son desplegados durante la ejecución del
gusano:

Componente para Facilitar La programacion de Gusanos.
Componente V1.01c BanderaNegra, Por ErGrone/Zonavirus
VIVA SUDAMERICA!!! Http://www.geocities.com/[omitido]


* Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

PAV.EXE

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

6. Actualice sus antivirus o reinstálelos (el virus intenta
eliminar algunos archivos pertenecientes a conocidos
antivirus, como PER, Kaspersky y VirusScan, aunque no lo
logra en todos los casos).

7. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

8. Borre los archivos detectados como infectados por el virus


* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema".

Otras noticias de interés:

Publicado uno de los exploit de DNS
Ya empezaron a circular por la red, diferentes exploit para la vulnerabilidad de DNS...
La criminalidad informática se traslada a la Web
El correo electrónico está perdiendo fuelle como medio de transmisión de virus y robo de información personal. Los criminales lo siguen usando, pero mezclan cada vez más técnicas y apuestan fuerte por la web. Primero fueron las páginas fra...
Lanzan un software gratuito que permite manejar la computadora a partir de movimientos de la cara
Fue desarrollado por la Universidad de Baleares y la empresa TAGRV para que las personas con discapacidades motrices puedan interactuar con cualquier equipo sin usar las manos. Funciona con una cámara web estándar y ya se puede descargar de Interne...
Microsoft solucionará 49 vulnerabilidades!
Si ya los usuarios no tenían suficiente con los 23 parches que arregló Adobe esta última semana, ahora deberán concentrarse en su sistema operativo, ya que en su ciclo habitual de actualizaciones que publica Microsoft los segundos martes de cada ...
Crecen las voces de alerta sobre una posible división de Internet
¿Es posible que la Red de redes terminará dividiéndose en redes separadas más pequeñas?. El jefe del Internet Governance Forum (IGF), Nitin Desai, se ha sumado a las voces que alertan de que algunas decisiones sobre el gobierno de la Red podría...
Microsoft publicará 13 boletines de seguridad el próximo martes
Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo 9 de agosto 13 boletines de seguridad, del MS11-057 al MS11-070, con un número indeterminado de vulnerabilidade...
SEO para tu sitio web. Parte II
Continuando con los tip's para el posicionamiento en los buscadores de su sitio web, añadimos otros sencillos pasos a seguir:...
Tecnologías de virtualización open source a tener en cuenta
Con la virtualización como una de las tecnologías dominantes para las grandes corporaciones, los principales jugadores como EMC (VMware), IBM y Microsoft están invirtiendo fuerte en opciones propietarias para ejecutar múltiples sistemas operativo...
Una vez más DVD Jon hackea el Windows Media Player de Microsoft
El hacker Jon Lech Johansen ha conseguido romper el sistema de encriptación del Windows Media Player de Microsoft....
Juez dicta que la tecnología P2P es totalmente neutra
Un juzgado de Madrid absuelve a Pablo Soto de la demanda de cuatro grandes discográficas y productores musicales por crear software de intercambio de archivos. Las compañías pedían 13 millones de euros por daños y perjuicios....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bandera
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra