BlackAngel.BNombre común: BlackAngel.B
Nombre técnico: W32/BlackAngel.B.worm
Peligrosidad: Media
Tipo: Gusano
Efectos:
Finaliza varios procesos pertenecientes a herramientas de seguridad e impide el acceso a diversas herramientas del sistema operativo, entre otras acciones. Se propaga a través de MSN Messenger.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 13/06/2006
Síntomas Visibles
BlackAngel.B es fácil de reconocer a simple vista, ya que muestra los siguientes síntomas:
* El usuario recibe uno de los siguientes mensajes instantáneos a través del MSN Messenger, incluyendo un enlace:
- jaja look a that video http://www.galeon.<bloqueado>verti2
- mira este video http://www.galeon.<bloqueado>verti 2 jaja
* Cuando el usuario pulsa sobre alguno de los enlaces, se descarga un archivo ejecutable que se hace pasar por un archivo de Windows Media Player:
Este archivo tiene doble extensión para así engañar a los usuarios que tengan activada la opción Ocultar las extensiones de archivos para tipos de archivos reconocidos.
* Cuando el archivo es ejecutado, se muestra la siguiente imagen en pantalla:
Cuatro días después de haber infectado el ordenador, muestra unos cartuchos de dinamita con una cuenta atrás. Cuando la cuenta atrás llega a 0, el ordenador se apaga:
Fuente:
http://www.pandasecurity.com/spain/homeusers/security-info/about-malware/encyclopedia/overview.aspx?NRCACHEHINT=Guest&idvirus=120738W32/Choke.wormNombre: W32/Choke.worm (Shoot)
Tipo: Gusano de MSN Messenger
Alias: I-Worm.Choke, Win32.Choke, W32/Shoot.worm
Fecha: 6/jun/01
Tamaño: 40,960 bytes
Se trata del segundo virus que se propaga usando el MSN Messenger de Microsoft. Si este programa no está instalado el gusano no podrá propagarse a otras computadoras.
El gusano llega a través del MSN Messenger, como una aplicación de Visual Basic.
El nombre del archivo puede variar, aunque siempre tendrá la extensión .EXE.
Cuando se ejecuta este archivo, el gusano muestra una ventana como la siguiente:
Choke
This program needs Flash 6.5 to run!
[ Aceptar ]
Si se pincha en [Aceptar] aparece otro mensaje:
Run time error
Cannot run program!, Quiting
[ Aceptar ]
Luego de ello, el gusano se copia a si mismo en la raíz de la unidad de disco actual. Por ejemplo en C:
C:\CHOKE.EXE
C:\[nombre de dominio].EXE (ej. HOTMAIL.EXE)
C:\[primer nombre del usuario].EXE (ej. JOSE.EXE)
C:\ABOUT.TXT
Este último archivo contiene el siguiente texto:
Choke , Copyright ® 1886 ... A MAD CHRISTIAN
--------------------------------------------
Go talk swearwords about God
You all will die, stupid humans.
You fools didn't see what you have done
Bye slut, go talk shit about me.
(Call me a 'psychophatt', but I respect the Creator of life...)
' Consider your earth '
El registro es modificado para cargar el gusano en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Choke = "C:\choke.exe -blahhh"
El parámetro "-blahhh" es usado para suprimir los mensajes anteriores, de modo que aquellos solo se muestran cuando se produce la primera ejecución del virus (al arribar el archivo).
Al ejecutarse, el gusano se puede enviar a si mismo a los usuarios del MSN con los que converse el usuario infectado. Cuando el archivo es enviado, también se envía este mensaje:
President bush shooter is game that allows you to shoot Bush balzz hahaha
El nombre del adjunto varía y puede usar alguno de los siguientes:
ShootPresidentBUSH.exe
Choke.exe
[primer nombre del usuario].exe
Hotmail.exe
Para eliminarlo, borre los archivos mencionados antes.
Luego, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha busque esta entrada:
Choke "C:\choke.exe -blahhh"
4. Pinche sobre el nombre "Choke" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Ejecute uno o más antivirus al día.
Fuente:
http://www.vsantivirus.com/choke.htmWin32/Pegan.PNombre: Pegan.P
Nombre NOD32: Win32/Pegan.P
Tipo: Caballo de Troya
Alias: Pegan.O, Backdoor.Celofot.B, BDS/Celofot.B.2, Email-Worm.Win32.Agent.c, Trojan.Celofot.B.2, W32/Malware.AAJR, Win32/Pegan.P
Plataforma: Windows 32-bit Tamaño: 26,112 bytes (UPX).
Gusano de Internet que se propaga utilizando el conocido programa de mensajería instantánea de Microsoft, MSN Messenger.
Suele mostrar un mensaje con un enlace como el siguiente (el nombre puede variar):
Foto_celular.scr
Si el usuario acepta el enlace, el gusano se ejecuta en el equipo.
Utiliza diversas técnicas de rootkit para evitar ser detectado.
Luego, se envía a todos los usuarios que encuentre en la lista de contactos del Messenger.
Puede descargar otros archivos desde Internet.
Los siguientes archivos pueden estar presentes en un equipo infectado:
\temp\svchost.exe
c:\windows\system32\logunit.sys
c:\windows\system32\foto_celular.scr
Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es un archivo legítimo de Windows XP y 2000, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. En la lista de tareas puede aparecer varias veces, y ello es normal, ya que cada sesión corresponde a un servicio o grupos de servicios que necesitan instalarse de forma autónoma.
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Fuente:
http://www.laflecha.net/canales/seguridad/noticias/el-virus-peganp-se-propaga-a-traves-del-msn-messengerWORM_KELVIR.B y WORM_FATSO.AWORM_KELVIR.B y WORM_FATSO.A han sido detectados en Asia, en la zona del Pacífico, en Estados Unidos y en Europa. Aunque se supone que no están conectados entre sí, estos gusanos envían a los usuarios un mensaje a través de la mensajería instantánea con enlaces a sitios web donde los usuarios descargan sin saberlo el propio gusano. En el caso de WORM_KELVIR.B, una vez ejecutado este gusano descarga un programa robot (o BOT) que podría abrir puertas traseras en las redes.
Tanto WORM_KELVIR.B como WORM_FATSO.A son gusanos residentes en memoria y propagan copias de sí mismos a todos los contactos activos de MSN Messenger del sistema infectado. El mensaje contiene un enlace a un sitio web, cuando el receptor hace clic en el enlace, una copia del gusano se descarga en su sistema. WORM_FATSO.A también se propaga a través de eMule, la aplicación P2P para compartir archivos.
Las similitudes entre estos gusanos pueden ser atribuidas a la propagación del código de MSN que ha sido publicado en foros utilizados por escritores de virus.
WORM_FATSO.A deja varios ficheros en los sistemas afectados – los nombres de ficheros van desde personas famosas (“Fat Elvis! Lol.pif”, “Jennifer Lopez.scr”) hasta nombres subidos de tono (“How a Blonde Eats a Banana.pif”, “Topless in Miniskirt!lol.pif”).
Uno de los archivos es un fichero de texto que contiene un mensaje personal para “Larissa”, el creador del virus WORM_ASSIRAL.A (descubierto a mediados de febrero), que fue diseñado para desactivar las variantes del gusano BROPIA, un gusano basado en MSN Messenger que apareció a principios de año. WORM_ASSIRAL.A llega en un archivo adjunto de correo electrónico y causa que aparezca en el ordenador infectado este texto: “Larissa – Anti-Bropia – Freeing the world of Bropia”.
El mensaje del gusano FATSO al creador de Larissa es el siguiente:
“Suena cómico, pero estos son como miembros de bandas que acechan vecindarios –utilizando sus creaciones de código malicioso como un vehículo para insultarse los unos a los otros”, comenta Jamz Yaneza, investigador senior de virus en TrendLabs. “Los verdaderos perdedores en este juego son los usuarios finales, que no advierten que sus sistemas están siendo infectados o que les están abriendo puertas traseras en sus sistemas o redes”.
WORM_KELVIR.B llega en un fichero de cerca de 46 KB de tamaño. WORM_FATSO.A en un fichero de 17 KB de tamaño y puede estar comprimido en formato MEW. Ambos gusanos afectan a plataformas Windows 95, 98, ME, NT, 2000 y XP.
Fuente:
http://www.pergaminovirtual.com.ar/revista/cgi-bin/hoy/archivos/00001832.shtmlTrojan.Win32.Elitor, W32.HLLW.ElitorPeligrosidad: Minima
Tras la ejecución el gusano busca la localización de MSN Messenger. Si no lo encuentra finalizará su actualización sin realizar cambio alguno en el sistema.
Por el contrario, si llega a localizarlo, se instalará copiandose como:
C:\WINDOWS\SYSTEM\britney spears naked.jpg .exe
Después creará una entrada en el siguiente registro del sistema para iniciarse junto al arranque de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSDOOD = c:\WINDOWS\SYSTEM\britney spears naked.jpg .exe"
Permaneciendo residente en memoria esperará a que el ususario envíe un mensaje a una de las direcciones de contactos MSN. Si el usuario abre una conexión con alguna de las direcciones de la lista, el gusano se reenviará a si mismo a esas direcciones con el siguiente mensaje:
Look at this picture its well nice
nice pussy on her
Si es aceptado el envío el gusno enviará la siguiente respuesta:
her pussy is all wet
Fuente:
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=1695Jaja, esto esta peludo
estos son algunos de los tantos virus que estan utilizando el MSN Messenger como puerta de entrada en las PCs.
ahora unos consejillos para que podas evitar que te zumben los virus cuando estes el el MSN.
Numero 1 y el principal: No uses windows, usa Linux
Numero 2. ya deja de usar el MSN messenger, que no entendes?? con Microsft es la de no acabar
y los siguientes:
Sugerencia: para proteger tu equipo de virus y gusanos, no abras archivos que recibas de MSN Messenger a menos que puedas comprobar que el remitente deseaba enviarte el archivo. Recuerda que ante un caso de duda, lo mejor es desconfiar, ya sea un amigo o un completo desconocido. Quien tu crees que es tu mejor amigo puede no serlo, y quizás sea víctima de un robo de cuenta. También puedes configurar el software de exploración de virus para que examine los archivos que te envían a MSN Messenger. Para ello:
1. En la ventana principal de Messenger, haz clic en "Opciones" en el menú "Herramientas".
2. Haz clic en la ficha "Mensajes".
3. En "Transferencia de archivos", haz clic en la casilla de verificación "Buscar virus utilizando".
4. Haz clic en "Examinar" y, a continuación, selecciona el software de exploración de virus.
Para obtener más información sobre la configuración de software de exploración de virus, lee las instrucciones del fabricante. Asegúrate, también, de que el software de exploración de virus esté actualizado (visita el sitio Web de la empresa o llámalos para obtener más información).
Otras sugerencias útiles:
* Muchos virus se han diseñado para que se envíen a través de los contactos de Messenger sin que los usuarios tengan conocimiento. Antes de aceptar o hacer clic en un archivo adjunto, comprueba primero con el contacto para ver si éste deseaba enviar el archivo adjunto.
* Si dudas de la seguridad de un elemento adjunto, no lo abras y elimina el archivo inmediatamente.
Ten cuidado al abrir los mensajes de personas que no conoces. Recuerda que en MSN Messenger estableces tu lista de contactos y de quién deseas recibir mensajes.
Recuerda que a partir de la versión 7.0.0777, lanzada en Abril del 2005, se ha implementado un nuevo sistema de bloqueo de archivos maliciosos, que impedirá la transferencia de archivos potencialmente peligrosos como los ejecutables. Recomendamos no saltarse dicha protección.
Fuente:
http://www.messengeradictos.com/documentos/evitar-la-propagacion-de-virus-en-msn-messenger_139988Tomalo muy en cuenta para que despues no te estes quejando.
Saludowsky Community
