• Registrarse
  • Iniciar sesión


  • Resultados 1 al 7 de 7

    Doble tilde, ALERTA el autentico peligro tras esta molestia

    Hola a todos compañeros y recién llegados Esto mas que una noticia seria un aviso y que encaja mejor aquí que en ningún otro sitio, ya que este virus es conocido desde hace un tiempo ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      Atención Doble tilde, ALERTA el autentico peligro tras esta molestia

      Hola a todos compañeros y recién llegados

      Esto mas que una noticia seria un aviso y que encaja mejor aquí que en ningún otro sitio, ya que este virus es conocido desde hace un tiempo y muchos suelen caer en el error de que solo se trate de un keylogger mal programado cuando en realidad el doble acento seria el menor de nuestros problemas, ya que tras el se esconde sin duda una amenaza mucho mayor:

      WIN32/BUGBEAR.B variantes posteriores siguen conservando el particular doble acento: ´´ o bien ``

      > INFORMACION


      Esta variante del Bugbear (o Tanatos), es un gusano de envío masivo con capacidad de propagarse también a través de recursos compartidos en red. Infecta archivos con extensión .EXE y finaliza los procesos de conocidos antivirus y cortafuegos que se estén ejecutando en ese momento.

      > CARACTERISTICAS


      Posee algunas características de troyano, que le permiten entre otras cosas, capturar lo tecleado por la víctima, obteniendo de este modo información confidencial.

      Cómo se aprovecha de una vieja vulnerabilidad de algunas versiones del Outlook, puede ejecutarse con solo leerlo, o examinarlo en la vista previa.

      Se recomienda actualizar las versiones vulnerables:

      IE 5.0 y anteriores (no soportados por Microsoft, no hay parche)
      IE 5.01 a IE 5.5 (usar actualización acumulativa MS03-020)

      Internet Explorer 6.0 y superior es invunerable a esta falla.

      El adjunto del gusano es un archivo con doble extensión, con un nombre al azar ya que corresponde a algún archivo de la víctima infectada (al que se le agrega la extensión .EXE, .SCR o .PIF).

      Se presenta en un mensaje con una dirección falsa. La mayoría de las veces es un mensaje ya enviado.

      Las direcciones de remitente y destinatario son tomadas de archivos en la computadora infectada (en ocasiones una respuesta a otro enviado por nosotros o por otra persona al usuario infectado).

      Por lo tanto la mayoría de los mensajes infectados que recibimos pueden ser de cualquier persona con la que hayamos intercambiado algún correo, o cualquiera que tenga algún email donde figure nuestra dirección (causado generalmente por el envío de cadenas no solicitadas con las direcciones de todos los destinatarios expuestas). Estas condiciones hacen que la mayoría de las veces estos mensajes se encuentren en español, y por lo general sean de temas conocidos o que despierten nuestra curiosidad, lo que hace que el nivel de propagación del gusano sea sumamente alto.

      En otras ocasiones, podemos recibir un mensaje con el cuerpo en blanco y uno de los siguientes asuntos (ésta condición fue la predominante en las primeras infecciones, pero actualmente es una opción secundaria, pocas veces vista):

      $150 FREE Bonus!
      25 merchants and rising
      Announcement
      bad news
      CALL FOR INFORMATION!
      click on this!
      Correction of errors
      Cows
      Daily Email Reminder
      empty account
      fantastic
      free shipping!
      Get 8 FREE issues - no risk!
      Get a FREE gift!
      Greets!
      Hello!
      Hi!
      history screen
      hmm..
      I need help about script!!!
      Interesting...
      Introduction
      its easy
      Just a reminder
      Lost & Found
      Market Update Report
      Membership Confirmation
      My eBay ads
      New bonus in your cash account
      New Contests
      new reading
      News
      Payment notices
      Please Help...
      Re:
      Report
      SCAM alert!!!
      Sponsors needed
      Stats
      Today Only
      Tools For Your Online Business
      update
      various
      Warning!
      wow!
      Your Gift
      Your News Alert

      El adjunto puede tener cualquier nombre tomado de otro archivo de la computadora de la víctima, pero con un tamaño que suele ser de 72,192 bytes y con doble extensión. La segunda puede ser una de las siguientes:

      .EXE
      .SCR
      .PIF
      .INI

      Los archivos son tomados de la carpeta "Mis documentos", buscados entre todos aquellos cuyas extensiones son las siguientes (esto significa que la primera extensión del adjunto será una de estas):

      .bat
      .bmp
      .c
      .com
      .cpl
      .cpp
      .diz
      .dll
      .exe
      .gif
      .h
      .htm
      .html
      .ini
      .jpeg
      .jpg
      .lnk
      .reg
      .sys
      .txt
      .vxd

      También puede suceder que algunos mensajes enviados por el gusano, contengan un adjunto corrupto (generalmente más corto que los 72 Kb que suele tener cuando contiene al gusano activo). Estos mensajes son inofensivos, sin embargo pueden crear preocupación entre algunos usuarios. Por ello, la mayoría de los antivirus lo reconocen como Bugbear.B.corrupted o Bugbear.B.damaged (o Tanatos.corrupted), o agregándole al nombre la extensión .DAM (de "dañado" -damaged- en inglés). También pueden aparecer mensajes enviados por el gusano sin adjunto alguno. Seguramente este comportamiento es un error del código del gusano, o una incompatibilidad con el sistema operativo.

      Cuando se ejecuta, se copia con el mismo nombre o similares en la carpeta de inicio, y crea otro archivo con extensión .DLL de 5,632 bytes en la carpeta System. Este segundo archivo es el encargado de las funciones de "keylogger".

      También crea una carpeta bajo el directorio System de Windows, donde guarda la información robada. Estos datos son accesibles para cualquiera que acceda a esa carpeta (puede hacerse en forma remota con las rutinas troyanizadas del propio gusano).

      Las direcciones utilizadas para remitente y destinatario son tomadas de archivos o carpetas que contengan las siguientes cadenas en su nombre:

      .dbx
      .eml
      .mbx
      .mmf
      .nch
      .ods
      .tbb
      inbox

      Bugbear.B evita enviar mensajes a direcciones que coincidan con ciertas cadenas incluidas en una lista negra incluida en su código:

      list
      localdomain
      localhost
      lyris
      mailer-daemon
      majordom
      nobody@
      noreply
      postmaster@
      recipients
      remove
      root@
      spam
      talk
      ticket
      trojan
      undisclosed
      virus

      El gusano puede infectar los siguientes archivos, todos pertenecientes a conocidos componentes de Windows:

      hh.exe
      mplayer.exe
      notepad.exe
      regedit.exe
      scandskw.exe
      winhelp.exe

      Además infecta los siguientes archivos en la carpeta "C:\Archivos de programa":

      ACDSee32\ACDSee32.exe
      Adobe\Acrobat 4.0\Reader\AcroRd32.exe
      adobe\acrobat 5.0\reader\acrord32.exe
      AIM95\aim.exe
      CuteFTP\cutftp32.exe
      DAP\DAP.exe
      Far\Far.exe
      ICQ\Icq.exe
      Internet Explorer\iexplore.exe
      kazaa\kazaa.exe
      Lavasoft\Ad-aware 6\Ad-aware.exe
      MSN Messenger\msnmsgr.exe
      Outlook Express\msimn.exe
      QuickTime\QuickTimePlayer.exe
      Real\RealPlayer\realplay.exe
      StreamCast\Morpheus\Morpheus.exe
      Trillian\Trillian.exe
      Winamp\winamp.exe
      Windows Media Player\mplayer2.exe
      WinRAR\WinRAR.exe
      winzip\winzip32.exe
      WS_FTP\WS_FTP95.exe
      Zone Labs\ZoneAlarm\ZoneAlarm.exe

      Intenta finalizar alguno de los siguientes procesos antivirus:

      _avp32.Exe
      _avpcc.Exe
      _avpm.Exe
      Ackwin32.Exe
      Anti-Trojan.Exe
      Apvxdwin.Exe
      Autodown.Exe
      Avconsol.Exe
      Ave32.Exe
      Avgctrl.Exe
      Avkserv.Exe
      Avnt.Exe
      Avp.Exe
      Avp32.Exe
      Avpcc.Exe
      Avpdos32.Exe
      Avpm.Exe
      Avptc32.Exe
      Avpupd.Exe
      Avsched32.Exe
      Avwin95.Exe
      Avwupd32.Exe
      Blackd.Exe
      Blackice.Exe
      Cfiadmin.Exe
      Cfiaudit.Exe
      Cfinet.Exe
      Cfinet32.Exe
      Claw95.Exe
      Claw95cf.Exe
      Cleaner.Exe
      Cleaner3.Exe
      Dvp95.Exe
      Dvp95_0.Exe
      Ecengine.Exe
      Esafe.Exe
      Espwatch.Exe
      F-Agnt95.Exe
      Findviru.Exe
      F-Prot.Exe
      Fprot.Exe
      F-Prot95.Exe
      Fp-Win.Exe
      Frw.Exe
      F-Stopw.Exe
      Iamapp.Exe
      Iamserv.Exe
      Ibmasn.Exe
      Ibmavsp.Exe
      Icload95.Exe
      Icloadnt.Exe
      Icmon.Exe
      Icsupp95.Exe
      Icsuppnt.Exe
      Iface.Exe
      Iomon98.Exe
      Jedi.Exe
      Lockdown2000.Exe
      Lookout.Exe
      Luall.Exe
      Moolive.Exe
      Mpftray.Exe
      N32scanw.Exe
      Navapw32.Exe
      Navlu32.Exe
      Navnt.Exe
      Navw32.Exe
      Navwnt.Exe
      Nisum.Exe
      Nmain.Exe
      Normist.Exe
      Nupgrade.Exe
      Nvc95.Exe
      Outpost.Exe
      Padmin.Exe
      Pavcl.Exe
      Pavsched.Exe
      Pavw.Exe
      Pccwin98.Exe
      Pcfwallicon.Exe
      Persfw.Exe
      Rav7.Exe
      Rav7win.Exe
      Rescue.Exe
      Safeweb.Exe
      Scan32.Exe
      Scan95.Exe
      Scanpm.Exe
      Scrscan.Exe
      Serv95.Exe
      Smc.Exe
      Sphinx.Exe
      Sweep95.Exe
      Tbscan.Exe
      Tca.Exe
      Tds2-98.Exe
      Tds2-Nt.Exe
      Vet95.Exe
      Vettray.Exe
      Vscan40.Exe
      Vsecomr.Exe
      Vshwin32.Exe
      Vsstat.Exe
      Webscanx.Exe
      Wfindv32.Exe
      Zonealarm.Exe

      Para no ejecutarse varias veces en memoria, el gusano crea un mutex (semáforo) cn el nombre de "w32shamur", que le indica cuando está activo.

      Algunos síntomas de una infección son la aparición de un doble tilde al pretender escribir un acento: "síntoma", aparece "s´´intoma".

      En ocasiones, un cortafuegos solicita la conexión con Internet de un archivo desconocido cuyo nombre tiene cuatro letras y la extensión .EXE.

      En una red, las impresoras pueden empezar a imprimir caracteres extraños.

      Cuando se ejecuta como caballo de Troya, Bugbear.B puede habilitar un servidor HTTP en la máquina infectada, permitiendo el acceso de cualquier intruso a todos los archivos y carpetas de la misma.

      Además de ello, el troyano queda a la escucha por el puerto TCP/1080 de las posibles órdenes de un atacante. Esta opción habilita varias acciones que comprometen la seguridad del sistema. Un intruso puede realizar acciones como cargar, descargar, borrar, copiar y ejecutar archivos en forma remota. Entre los archivos que puede obtener están los generados por el keylogger visto antes. El intruso también puede robar información privada del usuario, incluidas las contraseñas y otros datos sensibles.

      Una característica extraña del gusano, es que contiene una lista de más de 1300 sitios web de instituciones bancarias. Cada vez que infecta una computadora, compara su dirección IP con esta lista. Si coincide, realiza algunos cambios en el registro para que la computadora infectada tenga habilitada la opción de autodiscado a determinados números. La lista de bancos corresponden a muchos países del mundo, incluidos España, Argentina, Brasil, Colombia y México.

      > INSTRUCCIONES PARA ELIMINARLO


      Para limpiar un equipo infectado, es muy importante desconectarlo antes de cualquier red.

      Ejecute un antivirus actualizado.

      Una vez finalizado el programa de eliminación del virus que le hemos enviado reinicie su ordenador.

      En ocasiones, puede ser necesario reinstalar algunos programas que no funcionen correctamente (incluidos algunos de Windows).

      Los programas son los siguientes:

      ACDSee32
      Adobe Acrobat 4.0
      Adobe Acrobat 5.0
      AOL Messenger
      CuteFTP
      Download Accelerator Plus
      Far
      ICQ
      Internet Explorer 5 y 6
      KaZaA
      Lavasoft Ad-aware 6
      MSN Messenger
      Outlook Express
      Outpost
      QuickTime Player
      RealPlayer
      Morpheus
      Trillian
      Winamp
      Windows Media Player 6
      WinRAR
      WinZip
      WS_FTP
      ZoneAlarm

      Otros Detalles

      Este gusano está desarrollado con Microsoft Visual C++ y comprimido con UPX modificado.

      Otro síntoma de la infección, es la aparición de un doble tilde al pretender escribir un acento. Por ejemplo, al escribir "infección", aparece "infecci´´on".


      Fuente

      En el enlace se disponen herramientas de eliminación para variantes especificas como es el caso de la variante analizada

      Tengan cuidado ahí fuera
      Última edición por Herrante fecha: 09/02/09 a las 18:19:15
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de mdm08
      Registrado
      ago 2008
      Ubicación
      Buenos Aires,Argentina
      Mensajes
      428

      Re: Doble tilde, ALERTA el autentico peligro tras esta molestia

      Muy buena la info herrante!!Muy interesante ya que se estan dando muchos casos de este tipo.

      A tener cuidado muchachos

      Saludos!!

    3. #3
      Usuario Avatar de eNekHo
      Registrado
      may 2008
      Ubicación
      Chile
      Mensajes
      77

      Re: Doble tilde, ALERTA el autentico peligro tras esta molestia

      :O vaya, no sabía que era un virus
      Siempre creí que era problema del teclado solamente
      muchas gracias por la información

    4. #4
      Usuario Avatar de gallegom211
      Registrado
      dic 2007
      Ubicación
      Evergreen
      Mensajes
      31

      Re: Doble tilde, ALERTA el autentico peligro tras esta molestia

      ni siquiera sabía que eso era un virus.
      Hace algunos años tenían un cacharro (un computador viejísimo) que trabajaba con Windows 95. Siempre que quería poner tildes me salían esas tildes inversas dobles que me enloquecían. Pensé que era problema del teclado (igual muchas veces que prendía el compu me salía el mensaje No keyboard press f1 to continue ). ... y ahasta ahora me dí cuenta que era un virus
      Bueno, otra razon para no confiar en esos mensajes en el correo que tengan ese tipo de extensiones.

    5. #5
      Ex-Colaborador Avatar de axl456
      Registrado
      mar 2007
      Ubicación
      South Park
      Mensajes
      7.132

      Re: Doble tilde, ALERTA el autentico peligro tras esta molestia

      Herrante y la fuente de la info?
      Ubuntu User #20783
      Linux User Registered #453948

    6. #6
      Usuario Avatar de emmoceron
      Registrado
      dic 2008
      Ubicación
      Mexico-Puebla
      Mensajes
      28

      Re: Doble tilde, ALERTA el autentico peligro tras esta molestia

      me andan espiando o que? ¬¬, es lo mismo que tenía ´pero ahora ya lo quité con este pregramita: "rmtanat.exe"

    7. #7
      Usuario Avatar de olum
      Registrado
      ago 2008
      Ubicación
      Saturno
      Mensajes
      96

      Re: Doble tilde, ALERTA el autentico peligro tras esta molestia

      gracias por la info, se agradece.