|
|
 |
|
|
| Noticias |
Aparición de nuevo virus Win32.Toal.A@mm
[25-10-01]
Un nuevo virus compromete seriamente la seguridad de las redes informáticas.
Nombre: Win32.Toal.A@mm
Tipo: Gusano de Internet y "File Infector" escrito en lenguaje de
ensamblaje.
Tamaño: 46467 octetos.
Riesgo: Bajo, si bien dadas las vías de propagación que utiliza, la
previsión es que el riesgo se incremente.
ITW: No
Descripción:
Es un gusano de Internet que se propaga por e-mail e infecta ficheros del equipo infectado o de la red. Llega por e-mail con el siguiente formato:
De: root@fun.com
Asunto: dependiendo del idioma instalado en el equipo infectado, hay uno de los siguientes mensajes:
Inglés:
-in Laden toillete paper !!
- adam hussein & BinLaden IN LOVE
- Bush fucks Bin Laden hardly <:P
- Is Osama Bin Laden BAD-LOVED ?
- USA against Geneva Convention ?
- Anthrax mail is true(not a joke)
- Biological weapons: Preventing !
- Fucking a mullah in Islamabad
Portugués:
- O papel higienico do Bin Laden !
- Sadam e BinLaden apaixonados
- Bush fudendo Bin Laden <:P
- Serß que o Osama T mal-amado ?
- EUA agride conventao de genova ?
- Antraz pelo correio (verdade)
- Armas biologicas: Previna-se !
- Fudendo um mulß em Islamabad
- Bin Landen Toalettpapper
- Sadam hussein & BinLaden Sr f÷rSlskade
- Bush knullar Bin Laden hsrt <:P
- Sr Osama Bin Laden inte Slskad ?
- -r USA emot Geneve ÷verenskommelsen ?
- Anthrax brevet existerar(det Sr inget skSmt)
- Biologiska vapen: F÷rhindra !
- Knulla en muslim i Islamabad
Francés:
papier toillette Bin Laden
Sadam & BinLaden EN AMOUR
Bush nique a donf Bin Laden <:P
Osama Bin Laden Mal AimT ?
Usa contre la convention de Geneve?
Le courrier Anthrax existe vraiment
Arme Biologique: PrTventions!
Baiser un mullah a Islamabad
Griego:
Xarti toualetas Bin Landen !!
Hussein & Bin Laden, ERASTES
O Bush gamaei agria ton Bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H epistoles me Antraka,einai gegonos
Biologika wpla: Prostasia !
Gamontas ena Moula sto Islamabad
Mensaje:
Es un mensaje en formato html que contiene un script el cual permite al virus activarse al leer el mensaje o visualizarlo en modo vista previa.
Fichero adjunto: BINLADEN_BRASIL.EXE
El virus se ejecuta al visualizar el mensaje con vista previa de Outlook Express o abriendo el fichero adjunto.
Al ejecutar el fichero adjunto recibido por e-mail se generan 2 ficheros:
invictus.dll que se añade en el directorio %SYSTEM% y otro fichero con un nombre aleatorio xxxx.exe creado en el directorio %WINDOWS%. Tras generar los dos ficheros, se ejecuta el fichero xxxx.exe que es el componente principal del virus. El fichero invictus.dll es un biblioteca de funciones que el virus utilizará en todas sus rutinas.
xxxx.exe ejecuta las siguientes operaciones:
- Se copia bajo el nombre explorerxxx.exe (donde xxx es una combinación al azar de caracteres) y añade la línea (sólo en los sistemas operativos WIN9x):
boot = explorerxxx.exe en el fichero SYSTEM.INI en la sección [shell]
- Intenta infectar los ficheros HH.EXE y CALC.EXE. Uno de estos ficheros se utilizará como base para crear el fichero ejecutable que se enviará por mail.
- Desactiva algunos programas antivirus y firewalls
- Para poder infectar los ejecutables del directorio Windows intenta
desactivar System File Check para los ficheros exe y dll, modificando el fichero Default.sfc.
- Busca en la red local los directorios:
- WINDOWS
- WIN
- WINXP
- WIN2000
- WIN2K
- WINNT
y si encuentra directorio con este nombre se copia a sí mismo junto al fichero invictus.dll añadiéndose al mismo tiempo en el fichero SYSTEM.INI de los respectivos ordenadores en la sección [shell] la línea:
boot = xxxx.exe
-Intenta infectar todos los procesos de la memoria:
-Infecta explorer.exe, deteniendo el proceso del mismo, modificando, a
continuación, el fichero y ejecutándolo posteriormente. Explorer.exe, una vez modificado, intentará al ejecutarse, infectar todos los ficheros del disco duro
- se envía a sí mismo por e-mail.
La propagación por e-mail:
El gusano busca en ICQ WhitePages algunas palabras predefinidas, para encontrar direcciones de e-mail y a continuación enviarse. Esta búsqueda se realiza cada 5 minutos.
Rutina de infección:
De cada 360 posibilidades, existe una que el virus se ejecute.
El código de infección consta de una rutina que muestra el siguiente texto en el escritorio:
ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU GOD SHIVA TUPA DIOS DEUS
Worm/I-Worm/W32.BinLaden Bush, you need more hashish in your life
Y el Message Box con el siguiente texto:
TUPA DIOS DEUSWorm/I-Worm/W32.BinLaden Bush, you need more hashish in your life Why to take the Amazon from brazil. if you like polution ? Brazilian ppl wants the USA destruction, not likeour president, smelling Bush`s balls
You are not the cops of the world, and World Trade Center was the first Now you take the freedom from your own people, and the world is laughing ...
Ohhhh is this the famous American Way of Life ? HAHAHAHA !!!
BUGS EVERYWHERE
You kill more people per day than AIDS, giving money and arms to other
countries
Now you are feeling the taste of your own poison...
Ohhhhhh i am sorry ... It isn`t sweet ?
A los 10 segundos el virus mostrará colores al azar en la pantalla 4 veces por segundo.
AntiVirus eXpert
Noticias actuales...
Archivo de noticias...
|
|
|
| |
|
|
Gratis Servicio de noticias
|
|
|
Tus Sugerencias son bienvenidas
Pincha Aquí |
¡¡Lista de correo!!
Introduzca su correo:
|
|
