VSantivirus No. 1970 Año 9, martes 29 de noviembre de 2005

Mytob.NF. Instala BOT y troyano, quita antivirus
http://www.vsantivirus.com/mytob-nf.htm

Mex.B. Caballo de Troya que permite acceso total
http://www.vsantivirus.com/mex-b.htm

Bagle.DU. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-du.htm



VSantivirus No. 1971 Año 9, miércoles 30 de noviembre de 2005

Brontok.Z. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/brontok-z.htm

Bagle.DV. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-dv.htm

Mytob.NG. Instala BOT y controla el PC vía IRC
http://www.vsantivirus.com/mytob-ng.htm

Exploit para la vulnerabilidad WMF (MS05-053)
http://www.vsantivirus.com/poc-wmf-291105.htm

Vulnerabilidad "SynAttackProtect" en Microsoft Windows
http://www.vsantivirus.com/vul-synattackprotect-291105.htm

VSantivirus No. 1972 Año 9, jueves 1 de diciembre de 2005

Spy.Goldun.FA. Roba cuentas de usuarios de E-gold
http://www.vsantivirus.com/spy-goldun-fa.htm

Incef.B. Se propaga por la red KaZaa y canales de IRC
http://www.vsantivirus.com/incef-b.htm

DoS en pre autenticación de Symantec pcAnywhere
http://www.vsantivirus.com/vul-pcanywhere-291105.htm

Los 10 virus más detectados en noviembre de 2005
http://www.vsantivirus.com/top10-virusradar.htm

VSantivirus No. 1973 Año 9, viernes 2 de diciembre de 2005

Mytob.NH. Instala BOT y controla el PC vía IRC
http://www.vsantivirus.com/mytob-nh.htm

Mydoom.BN. Se propaga por correo electrónico y KaZaa
http://www.vsantivirus.com/mydoom-bn.htm

Locksky.I. Acceso remoto, se propaga por e-mail
http://www.vsantivirus.com/locksky-i.htm

Próxima actualización crítica de Internet Explorer
http://www.vsantivirus.com/02-12-05.htm

VSantivirus No. 1974 Año 9, sábado 3 de diciembre de 2005

Mytob.NI. Instala BOT y controla el PC vía IRC
http://www.vsantivirus.com/mytob-ni.htm

Error de diseño en IE permite el robo de información
http://www.vsantivirus.com/vul-ie-css-021205.htm

Ejecución remota de código en RealPlayer
http://www.vsantivirus.com/vul-realplayer-021205.htm

VSantivirus No. 1975 Año 9, domingo 4 de diciembre de 2005

CADENA: Abuso y muerte de niñas en Sudáfrica
http://www.vsantivirus.com/cadena-abuso-y-muerte.htm

Panda soluciona grave fallo en sus antivirus
http://www.vsantivirus.com/vul-panda-zoo.htm


VSantivirus No. 1976 Año 9, lunes 5 de diciembre de 2005

Korgo.AL. Usa vulnerabilidad LSASS, se conecta a IRC
http://www.vsantivirus.com/korgo-al.htm

Locksky.J. Acceso remoto, se propaga por e-mail
http://www.vsantivirus.com/locksky-j.htm

Sun Java corrige vulnerabilidades críticas
http://www.vsantivirus.com/vul-sunjava-291105.htm

VSantivirus No. 1977 Año 9, martes 6 de diciembre de 2005

Brontok.AF. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/brontok-af.htm

Mytob.NK. Instala BOT y troyano, quita protecciones
http://www.vsantivirus.com/mytob-nk.htm

Mytob.NJ. Instala BOT y controla el PC vía IRC
http://www.vsantivirus.com/mytob-nj.htm

Usuarios de antivirus vulnerables al "Zero Day"
http://www.vsantivirus.com/06-12-05.htm

VSantivirus No. 1978 Año 9, miércoles 7 de diciembre de 2005

TrojanDownloader.Small.NFX. Descarga otros troyanos
http://www.vsantivirus.com/trojandownloader-small-nfx.htm

Spy.Banpaes.O. Roba información de acceso a bancos
http://www.vsantivirus.com/spy-banpaes-o.htm



VSantivirus No. 1979 Año 9, jueves 8 de diciembre de 2005

Mytob.NL. Instala BOT y controla el PC vía IRC
http://www.vsantivirus.com/mytob-nl.htm

Spy.Gepost.C. Instala malwares, roba información
http://www.vsantivirus.com/spy-gepost-c.htm

Spy.Gepost.A. Instala malwares, roba información
http://www.vsantivirus.com/spy-gepost-a.htm

El próximo Sober atacaría el 5 de enero de 2006
http://www.vsantivirus.com/ev-sober-08-12-05.htm

VSantivirus No. 1980 Año 9, viernes 9 de diciembre de 2005

Kelvir.GU a HB. Se propaga por Messenger, crea BOT
http://www.vsantivirus.com/kelvir-gu-hb.htm

Harwig.W. Libera adware, abre ventanas de publicidad
http://www.vsantivirus.com/harwig-w.htm



VSantivirus No. 1981 Año 9, sábado 10 de diciembre de 2005

Zusha.H. Deshabilita cortafuegos de Windows XP
http://www.vsantivirus.com/zusha-h.htm

Locksky.F. Acceso remoto, se propaga por e-mail
http://www.vsantivirus.com/locksky-f.htm

Locksky.K. Acceso remoto, se propaga por e-mail
http://www.vsantivirus.com/locksky-k.htm

Denegación de servicio (DoS) en Mozilla 1.7.x
http://www.vsantivirus.com/vul-mozilla-dos-091205.htm

Denegación de servicio (DoS) en Netscape 8.x
http://www.vsantivirus.com/vul-netscape-dos-091205.htm

VSantivirus No. 1982 Año 9, lunes 12 de diciembre de 2005

Brontok.AG. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/brontok-ag.htm

TrojanDropper.Delf.PB. Libera y descarga malwares
http://www.vsantivirus.com/trojandropper-delf-pb.htm

Tumbi.AT. Acceso remoto vía IRC, roba información
http://www.vsantivirus.com/tumbi-at.htm

VSantivirus No. 1983 Año 9, martes 13 de diciembre de 2005

Bobax.AO. Se propaga por e-mail y vulnerabilidad LSASS
http://www.vsantivirus.com/bobax-ao.htm

Spy.Banpaes.K. Roba información de acceso a bancos
http://www.vsantivirus.com/spy-banpaes-k.htm

Harnig.G. Descarga y muestra varios adwares
http://www.vsantivirus.com/harnig-g.htm



VSantivirus No. 1984 Año 9, miércoles 14 de diciembre de 2005

Mytob.NM. Instala BOT y controla el PC vía IRC
http://www.vsantivirus.com/mytob-nm.htm

VSantivirus No. 1985 Año 9, jueves 15 de diciembre de 2005

Mytob.NN. Instala BOT y troyano, quita protecciones
http://www.vsantivirus.com/mytob-nn.htm

Bagle.EB. Se propaga por correo electrónico y P2P
http://www.vsantivirus.com/bagle-eb.htm

Bagle.EA. Finaliza antivirus, descarga código
http://www.vsantivirus.com/bagle-ea.htm

Ejecución de código local en mIRC 6.16 y anteriores
http://www.vsantivirus.com/vul-mirc616-091205.htm

VSantivirus No. 1986 Año 9, viernes 16 de diciembre de 2005

Combra.C. Descarga y ejecuta archivos de Internet
http://www.vsantivirus.com/combra-c.htm

Rootkit.Agent.AD. Permite acceso como administrador
http://www.vsantivirus.com/rootkit-agent-ad.htm

Bagle.DR. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-dr.htm

Nueva oleada de correo infectado con el Bagle.DR
http://www.vsantivirus.com/16-12-05.htm

VSantivirus No. 1987 Año 9, sábado 17 de diciembre de 2005

NetTool.TCPScan.B. Explota la vulnerabilidad MSDTC
http://www.vsantivirus.com/nettool-tcpscan-b.htm

VSantivirus No. 1988 Año 9, domingo 18 de diciembre de 2005

Exploit.MS04-011.B. Ejecución de código malicioso
http://www.vsantivirus.com/exploit-ms04-011-b.htm

Dasher.B. Se propaga usando la vulnerabilidad MSDTC
http://www.vsantivirus.com/dasher-b.htm

VSantivirus No. 1989 Año 9, lunes 19 de diciembre de 2005

PcClient.HP. Permite acceso remoto, instala rootkit
http://www.vsantivirus.com/pcclient-hp.htm

Spy.Small.NAK. Roba información del usuario
http://www.vsantivirus.com/spy-small-nak.htm

Virus Santa Claus

Gusano navideño que ataca programas de mensajería. Promete una imagen de Santa Claus, pero entrega Rootkit:

http://www.pcworld.com/news/article/0,aid,124028,00.asp

Cuidado con los regalitos....

P.D.: Running Bear..... revisa y haz retoques según lo creas conveniente, gracias de antemano.

VSantivirus No. 1990 Año 9, martes 20 de diciembre de 2005

Bropia.CH. Se propaga por MSN Messenger, crea BOT
http://www.vsantivirus.com/bropia-ch.htm

Locksky.M. Acceso remoto, se propaga por e-mail
http://www.vsantivirus.com/locksky-m.htm

TrojanDownloader.Small.NGA. Roba información
http://www.vsantivirus.com/trojandownloader-small-nga.htm

Bagle.EF. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-ef.htm


VSantivirus No. 1991 Año 9, miércoles 21 de diciembre de 2005

PSW.QQRob.AQ. Roba contraseñas y otra información
http://www.vsantivirus.com/psw-qqrob-aq.htm

Spy.Luhn.A. Libera y ejecuta un troyano keylogger
http://www.vsantivirus.com/spy-luhn-a.htm

Falso boletín de seguridad que descarga un troyano
http://www.vsantivirus.com/21-12-05.htm



Ejecución de código en Symantec AntiVirus (RAR)
http://www.vsantivirus.com/

VSantivirus No. 1992 Año 9, jueves 22 de diciembre de 2005

Bagle.EG. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-eg.htm

Opaserv.BA. Se copia como "MARCO!.SCR"
http://www.vsantivirus.com/opaserv-ba.htm

Locksky.N. Acceso remoto, se propaga por e-mail
http://www.vsantivirus.com/locksky-n.htm

Vulnerabilidad en McAfee VirusScan (MCINSCTL.DLL)
http://www.vsantivirus.com/vul-mcafee-201205.htm

DoS y posible ejecución de código en Quicktime/iTunes
http://www.vsantivirus.com/vul-quicktime-141205.htm

VSantivirus No. 1993 Año 9, viernes 23 de diciembre de 2005

Bagle.EN. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-en.htm

GiftCom.A. Se propaga por IM, utiliza rootkit
http://www.vsantivirus.com/giftcom-a.htm


VSantivirus No. 1994 Año 9, sábado 24 de diciembre de 2005

Bagle.EC a EE. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-ec-ee.htm

Brontok.AO. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/brontok-ao.htm

Exploit.MS05-039.X. Ejecución de código malicioso
http://www.vsantivirus.com/exploit-ms05-039-x.htm



VSantivirus No. 1995 Año 9, domingo 25 de diciembre de 2005

PcClient.AJ. Permite acceso remoto, instala rootkit
http://www.vsantivirus.com/pcclient-aj.htm

Brontok. Descripción genérica. Gusano y troyano
http://www.vsantivirus.com/brontok.htm

VB.NDV. Se propaga por P2P, AIM. Sobrescribe .EXE
http://www.vsantivirus.com/vb-ndv.htm

VSantivirus No. 1996 Año 9, lunes 26 de diciembre de 2005

StartPage.ADH. Cambia página de Inicio y búsqueda
http://www.vsantivirus.com/startpage-adh.htm

Spy.Banpaes. Roba información de acceso a bancos
http://www.vsantivirus.com/spy-banpaes.htm

Mytob.NR. Instala BOT y controla el PC vía IRC
http://www.vsantivirus.com/mytob-nr.htm


VSantivirus No. 1997 Año 9, martes 27 de diciembre de 2005

TrojanDownloader.Banload.NU. Descarga otro troyano
http://www.vsantivirus.com/trojandownloader-banload-nu.htm

Locksky. Acceso remoto, se propaga por e-mail
http://www.vsantivirus.com/locksky.htm

Bagle.EQ. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-EQ.htm


VSantivirus No. 1998 Año 9, miércoles 28 de diciembre de 2005

Mytob.NS. Instala BOT y troyano, quita protecciones
http://www.vsantivirus.com/mytob-ns.htm

Mocalo.NB. Se propaga por P2P, deshabilita firewall
http://www.vsantivirus.com/mocalo-nb.htm

VSantivirus No. 2002 Año 9, domingo 1 de enero de 2006

TrojanDownloader.Qoologic.AI. Descarga otro troyano
http://www.vsantivirus.com/trojandownloader-qoologic-ai.htm

VSantivirus No. 2004 Año 10, martes 3 de enero de 2006

Inject.B. Troyano que se inyecta en EXPLORER.EXE
http://www.vsantivirus.com/inject-b.htm

VSantivirus No. 2005 Año 10, miércoles 4 de enero de 2006

Delf.NBP. Troyano que crea servidor FTP clandestino
http://www.vsantivirus.com/delf-nbp.htm

VSantivirus No. 2006 Año 10, jueves 5 de enero de 2006

Bagle.ES. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-es.htm

VSantivirus No. 2007 Año 10, viernes 6 de enero de 2006

Mytob.OA. Instala BOT y troyano, quita protecciones
http://www.vsantivirus.com/mytob-oa.htm

VSantivirus No. 2008 Año 10, sábado 7 de enero de 2006

Rootkit.Agent.AX. Permite acceso como administrador
http://www.vsantivirus.com/rootkit-agent-ax.htm

Santivirus No. 2009 Año 10, domingo 8 de enero de 2006

Opanki. Se propaga vía AIM Messenger, ejecuta troyano
http://www.vsantivirus.com/opanki.htm

TrojanDownloader.Small.AWA. Descarga archivos
http://www.vsantivirus.com/trojandownloader-small-awa.htm

VSantivirus No. 2011 Año 10, martes 10 de enero de 2006

Brontok.AY. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/brontok-ay.htm

VSantivirus No. 2013 Año 10, jueves 12 de enero de 2006

Aimdes.E. Se propaga por AOL Instant Messenger
http://www.vsantivirus.com/aimdes-e.htm

VSantivirus No. 2014 Año 10, viernes 13 de enero de 2006

Phising, spam y virus. Los más malos de 2005
http://www.vsantivirus.com/mm-malos-2005.htm

VSantivirus No. 2015 Año 10, sábado 14 de enero de 2006

Exploit.CVE-2005.J. Detección para "body onLoad"
http://www.vsantivirus.com/exploit-cve-2005-j.htm

Vulnerabilidad en Toshiba Bluetooth Stack
http://www.vsantivirus.com/vul-toshiba-bluetooth-130106.htm

VSantivirus No. 2016 Año 10, domingo 15 de enero de 2006

Combra.NAD. Descarga y ejecuta archivos de Internet
http://www.vsantivirus.com/combra-nad.htm

Rootkit.K. Permite acceso total, esconde procesos
http://www.vsantivirus.com/rootkit-k.htm

MSN.Ikmet.C. Acceso remoto vía MSN Messenger
http://www.vsantivirus.com/msn-ikmet-c.htm

VSantivirus No. 2018 Año 10, martes 17 de enero de 2006

Neshta.A. Infecta archivos con extensión .EXE
http://www.vsantivirus.com/neshta-a.htm

Mocalo.O. Utiliza e-mail y P2P, deshabilita firewall
http://www.vsantivirus.com/mocalo-o.htm

TrojanDownloader.Tivso.B. Descarga gusano Mocalo
http://www.vsantivirus.com/

VSantivirus No. 2019 Año 10, miércoles 18 de enero de 2006

Alerta amarilla para nuevo gusano de envío masivo
http://www.vsantivirus.com/180105.htm

VB.NEI. Se propaga por e-mail, borra antivirus
http://www.vsantivirus.com/vb-nei.htm


VSantivirus No. 2020 Año 10, jueves 19 de enero de 2006

FakeGina.A. Roba información de acceso a redes
http://www.vsantivirus.com/fakegina-a.htm

TrojanDownloader.Sickob.B. Descarga y ejecuta archivos
http://www.vsantivirus.com/trojandownloader-sickob-b.htm

VSantivirus No. 2021 Año 10, viernes 20 de enero de 2006

Bifrose. Permite acceso remoto, roba información
http://www.vsantivirus.com/bifrose.htm

Múltiples vulnerabilidades en Kerio WinRoute Firewall
http://www.vsantivirus.com/vul-kwf-dos-190106.htm


VSantivirus No. 2022 Año 10, sábado 21 de enero de 2006

NewHeur_PE virus. Detección temprana por heurística
http://www.vsantivirus.com/newheur_pe.htm

TrojanDownloader.Tivso.C. Descarga gusano Mocalo
http://www.vsantivirus.com/trojandownloader-tivso-c.htm

VSantivirus No. 2023 Año 10, domingo 22 de enero de 2006

TrojanDownloader.Small.CFH. Roba información
http://www.vsantivirus.com/trojandownloader-small-cfh.htm

BlackHole. Caballo de Troya de acceso remoto
http://www.vsantivirus.com/blackhole.htm

Hupigon. Caballo de Troya de acceso remoto
http://www.vsantivirus.com/hupigon.htm

Spy.Agent.NAP. Roba información de la PC infectada
http://www.vsantivirus.com/spy-agent-nap.htm


VSantivirus No. 2024 Año 10, lunes 23 de enero de 2006

Dialer. Modifica el acceso telefónico a redes
http://www.vsantivirus.com/dialer.htm

Prosti.C. Caballo de Troya de acceso remoto
http://www.vsantivirus.com/prosti-c.htm

Ejecución de código con comando /font en mIRC
http://www.vsantivirus.com/vul-mirc-200106.htm


VSantivirus No. 2025 Año 10, martes 24 de enero de 2006

Tivso.gen. Descarga de Internet al gusano Mocalo
http://www.vsantivirus.com/tivso-gen.htm

Mocalo.AA. Utiliza e-mail y P2P, deshabilita firewall
http://www.vsantivirus.com/mocalo-aa.htm

VSantivirus No. 2026 Año 10, miércoles 25 de enero de 2006

Locksky.AI. Acceso remoto, se propaga por e-mail
http://www.vsantivirus.com/locksky-ai.htm

BlackHole.2005.A. Caballo de Troya de acceso remoto
http://www.vsantivirus.com/blackhole-2005.htm

HacDef. Oculta recursos, carpetas, conexiones
http://www.vsantivirus.com/hacdef.htm


VSantivirus No. 2027 Año 10, jueves 26 de enero de 2006

Bagle. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle.htm

Falsa invitación a Windows Live Mail propaga troyano
http://www.vsantivirus.com/phis-wlm-banker-260105.htm


VSantivirus No. 2028 Año 10, viernes 27 de enero de 2006

TrojanDownloader.Tivso.I. Descarga al gusano Mocalo
http://www.vsantivirus.com/trojandownloader-tivso-i.htm

VB.NEI (Kama Sutra), las estadísticas de un asesino
http://www.vsantivirus.com/jll-270106.htm

VSantivirus No. 2029 Año 10, sábado 28 de enero de 2006

TrojanClicker.Bomka.C. Instala rootkit, envía correo
http://www.vsantivirus.com/trojanclicker-bomka-c.htm


VSantivirus No. 2030 Año 10, domingo 29 de enero de 2006

Kelvir. Se propaga por Messenger e IRC, crea BOT
http://www.vsantivirus.com/kelvir.htm

Bropia. Se propaga por MSN Messenger, crea BOT
http://www.vsantivirus.com/bropia.htm


VSantivirus No. 2031 Año 10, lunes 30 de enero de 2006

TrojanDownloader.Adload.NAA. Descarga y ejecuta adwares
http://www.vsantivirus.com/trojandownloader-adload-naa.htm

Beastdoor.207.A. Permite acceso remoto total a la PC
http://www.vsantivirus.com/beastdoor-207-a.htm

Opanki.BQ. Se propaga vía AIM y ejecuta un troyano
http://www.vsantivirus.com/opanki-bq.htm

VSantivirus No. 2032 Año 10, martes 31 de enero de 2006

Bandok.D. Descarga otros programas, elude firewall
http://www.vsantivirus.com/bandok-d.htm


VSantivirus No. 2034 Año 10, jueves 2 de febrero de 2006

Mytob.OZ. Instala BOT y troyano, quita protecciones
http://www.vsantivirus.com/mytob-oz.htm

Opanki.BR. Se propaga vía AIM y ejecuta un troyano
http://www.vsantivirus.com/opanki-br.htm

VSantivirus No. 2041 Año 10, jueves 9 de febrero de 2006

Nueva vulnerabilidad WMF en versiones antiguas de IE
http://www.vsantivirus.com/ev-ms-advisory-913333.htm


VSantivirus No. 2042 Año 10, viernes 10 de febrero de 2006

Dinamarca vive el mayor ataque cibernético
http://www.vsantivirus.com/mm-dinamarca-defacement.htm

Troyanos S.A:
descubren un sistema de creación de malware “personalizado” que evita su detección

El archivo que lanza la infección de Trj/Briz.A tiene como nombre "iexplore.exe", así, intenta confundirse con la aplicación "Internet Explorer", de Microsoft

Redacción - PandaLabs ha detectado un nuevo troyano, con el nombre Trj/Briz.A, que tiene como cometido fundamental el robo de información personal de los usuarios infectados. La particularidad de este código es que está especializado en el robo de datos bancarios y de formularios web y que –aquí lo más novedoso- su autor personaliza el código al hacker que lo adquiere.

El sistema de creación de los códigos ofrece a los hackers la posibilidad de generar un troyano que no sea detectado por ningún antivirus, lo cual es comprobado diariamente por el autor pero, en el supuesto de que el troyano sea detectado por algún antivirus, su autor se compromete a hacer las modificaciones necesarias para que esto no suceda.

Los delincuentes que compran esta herramienta de crimeware disponen, además del código, de un complejo sistema de control del estado de las infecciones causadas por el troyano personalizado, con lo que pueden tener en cualquier momento un listado con gran cantidad de datos de los ordenadores infectados: direcciones IP, contraseñas, e incluso ubicación física de las propias máquinas. De esta manera, los criminales pueden tener siempre bajo control sus acciones delictivas.

Los datos importantes
El archivo que lanza la infección de Trj/Briz.A tiene como nombre "iexplore.exe". Así, intenta confundirse con la aplicación "Internet Explorer", de Microsoft. Una vez en ejecución, descarga distintos archivos y detiene y desactiva los servicios del Windows Security Center, así como el Acceso Compartido a Internet. Además, recopila información de programas de correo como Outlook, Eudora y The Bat, que es enviada al atacante.

Para complicar la detección y desinfección del troyano, también modifica el fichero "hosts" para impedir el acceso a sitios web relacionados con productos antivirus.

Este troyano es una muestra más del complejo entramado de negocios que se mueve alrededor del malware. De la creación de códigos maliciosos como mero divertimento, los hackers han pasado a tener intereses económicos directos, orientando sus creaciones hacia un modelo de negocio criminal.

Para que los usuarios se puedan proteger de estos códigos, "es necesario que se disponga de tecnologías como TruPrevent™, gracias a las cuales hemos podido detectar un código como Trj/Briz.A, que de otra manera hubiera sido muy difícil encontrar", dicen, lógicamente, en Panda

Información digital.telepolis.com

Hoax.Renos. muestra un mensaje falso de infección

Nombre: Hoax.Renos Nombre NOD32: Win32/Hoax.Renos
Tipo: Caballo de Troya Alias: Renos, Hoax.Renos, Adware/SpywareStrike, Aplicacion/Renos.bs, Not-A Virus.Hoax.Win32.Renos.bs, not-virus:Hoax.Win32.Renos.bs, Spywarestrike.dldr, TR/FakeAlert.AA, Troj/Spyfal-A, Trojan.DownLoader.7151, Trojan.DownLoader.7151, Trojan.Spyfal.A, Trojan.Spyfal.A, Trojan/FakeAlert.AA, W32/Renos.DT, W32/Spyfal, Win32/Hoax.Renos, Win32/Spax!DLL Trojan, Win32/Spax!generic Fecha: 8/dic/05
Actualizado: 8/mar/06 Plataforma: Windows 32-bit Tamaño: 102,400 bytes.


10:49 - 09/03/2006 | Fuente: VS ANTIVIRUS
Cuando se ejecuta, según informa VSantivirus, muestra un icono de advertencia en la bandeja del sistema, con la siguiente leyenda:
Virus Alert!

De forma periódica, despliega un globo de texto con el siguiente mensaje:

Your Computer is Infected!
Possible harmful infection was detected on your PC
The system will now download and install the most efficient
spyware removal program to prevent private data loss and
your identity theft.
Click here to protect your PC from the biggest spyware
threats.

El troyano intenta descargar e instalar otros archivos de Internet, sin importar que el usuario haga o no clic en la advertencia.

Suele ser instalado como parte de otros malwares, o al visitar ciertas páginas Web.

VSantivirus No. 2077 Año 10, viernes 17 de marzo de 2006

"Descarga esta tarjeta. No te preocupes por un virus"
http://www.vsantivirus.com/phis-tarjetas-160306.htm

VSantivirus No. 2077 Año 10, viernes 17 de marzo de 2006

Cryzip.A. Pide rescate para recuperar archivos
http://www.vsantivirus.com/cryzip-a.htm

VSantivirus No. 2076 Año 10, jueves 16 de marzo de 2006

Escalada de privilegios en ZoneAlarm (TrueVector)
http://www.vsantivirus.com/vul-zonealarm-100306.htm

VSantivirus No. 2076 Año 10, jueves 16 de marzo de 2006

Zippo.10. Pide rescate para recuperar archivos
http://www.vsantivirus.com/zippo-10.htm

VSantivirus No. 2086 Año 10, domingo 26 de marzo de 2006

KillDisk.NAA. Intentará borrar todo el disco duro
http://www.vsantivirus.com/killdisk-naa.htm

VSantivirus No. 2082 Año 10, miércoles 22 de marzo de 2006

Jeefo.A. Infecta archivos .EXE, se instala en memoria
http://www.vsantivirus.com/jeefo-a.htm

VSantivirus No. 2079 Año 10, domingo 19 de marzo de 2006

Mytob.RM. Instala BOT y controla el PC vía IRC
http://www.vsantivirus.com/mytob-rm.htm

VSantivirus No. 2081 Año 10, martes 21 de marzo de 2006

Delf.KF. Se propaga por redes P2P, borra archivos
http://www.vsantivirus.com/delf-kf.htm

El Ransomware podría convertirse de la mano de la Criptovirología y Kleptografía en el próximo azote de la red.

(Eset) Todo comenzó hace casi 15 años (1989) con un paquete que era distribuido por correo postal a las empresas farmacéuticas. El paquete contenía un disquete con un programa (con supuesta información del SIDA) que evaluaba ciertas condiciones y cuando se daban las mismas, procedía a cifrar el disco rígido y presentaba una "factura" a la víctima para recuperar la clave de cifrado. El programa en cuestión se llamó AIDS.

Más tarde, en 1996, los hermanos Young (Adam y Moti) desarrollaron un concepto teórico en donde un virus utilizaba criptografía pública para cifrar información del usuario.

El estudio de esta nueva modalidad de virus fue bautizado como Criptovirología y desde entonces ha sido una disciplina únicamente utilizada en laboratorios.

Como se sabe, todo concepto puede ser usado para hacer daño, y en este caso se ha aprovechado parte del mismo, pero agregando un condimento de extorsión puramente económico, objetivo último de los nuevos desarrolladores de malware.

Así, el término sajón "Ransom" se define como la exigencia de pago por la restitución de la libertad de alguien o de un objeto, lo que en castellano se traduciría como "secuestro".

Si a esto agregamos la palabra software obtenemos RansomWare, definido como el secuestro de archivos a cambio de un “rescate”.

Esta nueva modalidad de virus ha visto la luz en mayo de 2005 con "PGPCoder", y regresado con el recientemente descubierto "CryZip". La modalidad de trabajo es la siguiente: el código malicioso infecta la computadora del usuario por los medios normalmente utilizados por cualquier malware y procede a cifrar los documentos que encuentre (generalmente de ofimática), eliminando la información original y dejando un archivo de texto con las instrucciones para recuperarlos.

En los casos mencionados el rescate ha sido el depósito de dinero en una cuenta determinada por el creador del código malicioso. Luego que el dinero es depositado, se le entrega al usuario la clave para descifrar los archivos.

Hasta ahora, y por ser los primeros especimenes "menos desarrollados", los métodos de cifrado han sido sencillos y fácilmente reversibles, lo que permite a los especialistas conocer la clave y evitar que los usuarios pierdan dinero.

Además, el modo de utilización de cuentas bancarias aún no se ha perfeccionado, lo que permite rastrearlas en forma relativamente sencilla.

Es fácil imaginarse que cuando estos métodos se perfeccionen ocurrirá lo inevitable: las técnicas de cifrado utilizadas se aproximarán al modelo de Young, utilizando criptografía simétrica fuerte, o incluso criptografía asimétrica, lo que imposibilitará el descifrado de los archivos.

Sería bueno preguntarse: ¿hay remedio a este nuevo tipo de ataques? La respuesta es que sí, a los actuales ataques sencillos sin criptografía avanzada, pero como ya he dicho es inevitable que este sistema de secuestro se perfeccione y tienda a la Criptovirología y Kleptografía.

Cuando esto suceda la respuesta a la pregunta planteada será un rotundo NO y entonces sólo tendremos dos caminos posibles: realizar copias de seguridad de nuestra información en forma periódica, y contar con una defensa preactiva para nuestros sistemas, que nos proteja en todo momento de amenazas conocidas y desconocidas.

NOTA: La criptografía simétrica utiliza una clave que es la que permite cifrar y descifrar los archivos.
La criptografía pública o asimétrica hace uso de dos claves: una pública y otra privada.
La información cifrada con una es descifrada con la otra. En nuestro caso la información del usuario sería cifrada con clave pública del creador del virus y solo sería descifrada con la privada, que solo él tiene y entregaría a quien pague el rescate.

ENLACES RELACIONADOS
Artículo en Eset (http://www.nod32-la.com/about/press.php?id=162)

información hispamp3.com

El troyano Ginwui aparecido durante el fin de semana se ha detectado en actividad, gracias a que toma ventaja de un agujero de seguridad nuevo, y no corregido aún, del Microsoft Word.

Eset, proveedor global de protección antivirus de última generación, informa de la aparición de un nuevo troyano descubierto durante el fin de semana, reconocido como Win32/Ginwui. Dicho troyano, aprovecha un problema de seguridad en Microsoft Word para realizar acciones encubiertas en los sistemas a los que llega.

Este nuevo código malicioso fue enviado masivamente por correo electrónico como un documento de Microsoft Word, aunque no puede propagarse por sí mismo. Si el usuario abre el documento adjunto, el troyano instala un componente más que permitirá a extraños acceder al equipo remotamente. Tras hacer esto, muestra un mensaje de error, cierra automáticamente el Microsoft Word, y reemplaza el documento que estaba infectado por otro limpio para cubrir los rastros.

El troyano hace un reconocimiento exhaustivo de qué tenemos en nuestro sistema, y se conecta periódicamente a un servidor localizado en Asia para informar que está activo y que ya puede recibir comandos.

Una segunda variante de este troyano, detectada como Win32/Ginwui.B, también fue detectada pocas horas después, y solamente tiene leves modificaciones cosméticas.

Normalmente, un documento de Microsoft Word conteniendo código malicioso debería ser bloqueado a través de las funcionalidades de seguridad del propio Word, pero en este caso, el troyano se vale de un agujero de seguridad nuevo y no corregido aún por Microsoft, quien anunció que lanzaría una actualización de seguridad para esta vulnerabilidad en la próxima liberación programada, aproximadamente prevista para el 13 de Junio.

No solamente entra en nuestro sistema de forma oculta y sin ser detectado, sino que también intenta mantenerse de esta manera tras haberse instalado. Win32/Ginwui tiene características de rootkit, funcionando de manera que los archivos que instale en el sistema, así como las modificaciones que realice no sean detectados.

Eset, 2006

Hispamp3.com

Se conoce como ransomware aquel tipo de software (virus, troyanos,...) que pide un rescate a cambio de algo, normalmente de poder recuperar nuestros datos. Aunque esta técnica es conocida desde hace bastantes años, se está empezando a volver popular últimamente y ya han, por lo menos, tres especímenes de virus que la utilizan.

El primero de ellos, llamado PGPCoder apareció en mayo de 2005, mientras que los otros dos, Cryzip y Archiveus son de mayo de este año. ¿Cómo funciona exactamente el ransomware?

Básicamente, estos programas se dedican a escanear nuestro disco duro en busca de documentos, los cuales son cifrados mediante una clave y el contenido original se borra, de forma que no sea posible recuperarlo si no conocemos la clave. A cambio de ella, piden que ingresemos una cierta cantidad de dinero en una cuenta o, como en el caso de Archiveus, que compremos ciertos productos en una tienda electrónica.

Continuar leyendo "Virus que cifran tus datos" (http://www.genbeta.com/archivos/2006/06/05-virus-que-cifran-tus-datos.php#more)

Ha sido descubierto e identificado un peligroso rootkit capaz de camuflarse y hacerse prácticamente indetectable.

Bautizado por Symantec como Backdoor.Rustock.A y por F-Secure como Mailbot.A.Z, este no es detectado por la mayor parte de los detectores de rootkits habituales.

De hecho para Symantec "es el primero de una nueva generación de rootkits", que se ejecutan dentro de uno de los controladores y en ciertos hilos de ejecución del código, y controla las fuciones de este último mediante el uso de funciones especiales IRP.

Es capaz de escanear el sistema para encontrar otros rootkits instalados, y poder alertarlos, táctica que utiliza de modo que ellos también eviten ser detectados.

Artículo publicado por TheInquirer:
http://es.theinquirer.net/2006/07/17/descubierto_un_rootkit_casi_in.html

Hispamp3.com

Microsoft nos alerta de la existencia de un virus capaz de infectar a los usuarios de Windows a través de archivos PowerPoint.

Según nos informa Symantec, el troyano se propaga como adjunto en un mensaje de correo procedente de una cuenta Gmail.

Es compatible con las versiones de PowerPoint 2000, 2002 y 2003, y el virus se está propagando a través de una presentación en PowerPoint que satiriza sobre "18 situaciones humorísticas sobre las relaciones entre hombre y mujeres".

Una vez abierto el adjunto el troyano ejecuta una variante de Backdoor.Bifrose.E, un registrador de teclas que roba información sensible a ser enviada a servidores remotos controlados por los atacantes. El troyano también inyecta una subrutina en el programa Explorer.exe que sobrescribe el archivo PowerPoint infectado dejando una copia limpia del archivo.

Por el momento no existe parche de seguridad que nos proteja contra el virus.

ENLACES RELACIONADOS
http://news.bbc.co.uk/2/hi/technology/5195838.stm
http://www.itweek.es/noticias/article.aspx?id=100595

Hispamp3.com

Vamos el que se pasa enlas típicas cadenas de hotmail.

Piratas informáticos han creado una página web falsa del buscador Google para incitar a los usuarios a descargarse un programa que convierte las máquinas en "zombies", señaló una empresa de seguridad informática estadounidese.

Los correos electrónicos que contienen enlaces al falso portal e invitaciones para bajarse la aplicación de la herramienta Google comenzaron a circular la semana pasada, de acuerdo con SurfControl, basada en el norte de California. La web es una réplica de la real, proporcionada por el gigante de los buscadores en internet con base en Mountain View, California, añadió SurfControl.

En lugar de la prometida barra de herramientas, el usuario se descarga un 'Troyano', advierte la empresa de seguridad. Este virus fue diseñado para permitir a los piratas informáticos o 'hackers' tomar el control de los ordenadores a través de internet, explicó SurfControl.

Para evitar ser infectados, los internautas deben evitar visitar la página web falsa y proteger sus ordenadores con antivirus actualizados.

Google no quiso hacer ningún comentario al respecto al ser contactado por la AFP

IBLnews.com

En las últimas horas, han aumentado las advertencias por la posible aparición de algún nuevo gusano que se aproveche de una de las más recientes vulnerabilidades de Windows, pudiendo llegar a rivalizar en estragos, con los ocasionados en 2003 por el Blaster.

(VSAntivirus) El agujero de seguridad que este gusano podría aprovechar, es uno de los 23 parchados por Microsoft en su ronda de boletines de agosto. Afecta a todas las versiones actualmente soportadas de Windows, y puede ser explotado sin ninguna clase de intervención de parte del usuario.

Las advertencias por este peligro, han aumentado dramáticamente en las últimas horas, sobre todo cuando se conoció la existencia de un exploit, apenas a horas de haberse publicado el parche para esta vulnerabilidad.

Algunos analistas se han preocupado en asegurar que no se trata de una exageración, algo que lamentablemente se ha dado en el caso de otras alarmas similares.

La vulnerabilidad, es una de las 16 catalogadas como críticas, en los 12 boletines de seguridad publicados el pasado martes 8 de agosto. Concretamente corresponde al boletín MS06-040, y está relacionada con un desbordamiento de búfer en el servicio servidor de Windows que podría permitir la ejecución de un gusano o troyano.

Aunque el problema puede minimizarse si se bloquean los puertos TCP 139 y TCP 445, la mayoría de los expertos y el propio Microsoft, insisten en que los usuarios deberían instalar dicha actualización con suma urgencia.

Al día siguiente de la publicación del parche, el departamento de seguridad nacional de los Estados Unidos (DHS por Department of Homeland Defense), emitió una advertencia sobre este agujero, y la necesidad de que instalar el parche de Microsoft debería ser la prioridad número uno para todos los administradores y usuarios. Según el DHS, "ésta vulnerabilidad puede causar un gran impacto en los sistemas del gobierno, la industria y las infraestructuras críticas, así como a usuarios individuales y domésticos."

El jueves, nuevos exploits para este problema fueron divulgados en la red, aunque ninguno ejecuta código --hasta el momento--. Pero esto, podría cambiar en cuestión de horas apenas, ya que las advertencias reiteradas, y la divulgación de esos exploits, ha incentivado a los creadores de malwares.

Algo similar ocurrió cuando a los pocos días de publicarse un parche para una grave vulnerabilidad, surgió el Blaster (conocido también como Lovsan), sorprendiendo a millones de usuarios y administradores de redes, literalmente "con los pantalones bajos", como alguien ironizó.

Hasta el momento, según Microsoft, más de 100 millones de descargas del parche MS06-040 han sido realizadas. Si usted no lo ha hecho, o su equipo no se ha actualizado automáticamente, debería tomar como prioridad absoluta la instalación de esta actualización.


ENLACES RELACIONADOS
http://www.vsantivirus.com/11-08-06.htm

Hispamp3.com

muchas gracias,colega.yo y un amigo mio ya hemos sido infectados.la verdad es que este nuevo virus es un pedazo de *****!!!
parece que con el parche este de las narices arreglan algo.al menos de momento.como siempre,microsoft y sus reparaciones chapuceras de ultima hora.

BANZAI, pues lo que yo hice, animos y paciencia y a gnu/linux:ok

que suerte estar en linux :D

Bueno si tiene que ver con que a los 10 minutos que me conecte a internet me salga un mensaje que diga "Generic host proccess for Win32 ah detectado un error y debe cerrarse" y me quede sin internet... o que cuando quiera matar el proceso srvhost (o algo así) me aparezca un cartel que diga que mi PC se va a reiniciar en 30 segundos pues sí...tengo este virus.

Una duda, a mi ultimamente el internet se me va mucho y me dice "Conexion nula o limitada" y tengo k apagar el ordenador y esperar unas 2 horas para que me vuelva internet, puede ser que esté relacionado con el mierda gusano este?

aquí teneis bastante información:
http://www.vsantivirus.com/

http://www.vsantivirus.com/13-08-06.htm

Maki a mi me sucedia algo similar...acabo de formatear la particion de windows y va todo bien.

Desgraciadamente puede estar relacionado :|

Bueno, resulta que mi problema con internet fue en toda Andalucía, una central falló y casi toda Andalucía estubo sin internet unas cuantas horas, entre ellos yo :D

y Symantec primeros en verlo?

Joe :|

Nueva vulnerabilidad en Hotmail, ahora vulnerable a ataques XSS que permite robar cookies de sesión a cualquier usuario que entre en una página malformada.

Hace un par de semanas "Insecure.org" publicaba una nueva vulnerabilidad en Hotmail.

El problema reside en una página del dominio newsletter.msn.com, la cual es vulnerable a ataques vía script en la URL.

Ello permite el robo de cookies de sesión de de cualquier usuario que entre en una página creada al efecto.

La cookie caduca a las pocas horas, las suficientes como para entrar en la cuenta.

Por el momento Microsoft continúa sin solventar el grave problema...

ENLACES RELACIONADOS
http://blog.kibara.com/articles/2006/08/31/otra-vulnerabilidad-m%C3%A1s-de-hotmail
http://golpedegato.blogspot.com/2006/08/otra-vulnerabilidad-en-hotmail.html

Hispamp3.com

Uh, que feo...

ui que me lo pasare bien :D

foltooooo, a ver si vendran con uno de estos

http://eish.blogia.com/upload/mossos.jpg

:hysterical: :hysterical: :hysterical:

y vienen con ella

http://www.elpais.es/elpaismedia/catalunya/media/200411/02/20041102elpcat_1_I_SCO.jpg

y tenemos que efectuar una

http://barcelona.indymedia.org/usermedia/image/13/large/DSCF2607.JPG

Si digo que el malware cada día evoluciona más y recoge técnicas de otros especímenes como los rootkits o los virus, tampoco estoy contando nada demasiado nuevo. Y es que los creadores de este tipo de programas cada día tienen menos escrúpulos y van más lejos en su intento de engañar y sacar dinero de los usuarios.

Uno de los últimos ejemplos lo encontramos en el Zcodec, un programa que, escondido bajo la apariencia de una serie de códecs para poder ver vídeo en nuestro ordenador, instala una serie de malware en nuestro ordenador y lo esconde utilizando técnicas de rootkit, de forma que no podamos conocer los ficheros que se han modificado y resulte extremadamente difícil desinstalarlo.

El Zcodec instala dos archivos distintos. Uno de ellos se encarga de modificar nuestra configuración DNS (la que se encarga de transformar los nombres a direcciones IP, p.ej. de www.genbeta.com a 213.149.238.168), de forma que cuando pulsamos en los resultados de una búsqueda de Google nos envía a páginas distintas a las que pretendíamos, consiguiendo beneficios gracias a la publicidad. También puede enviarnos a páginas de phishing, de forma que tal vez al intentar entrar a nuestro banco le estemos enviando la contraseña a no se sabe quien. El otro programa se dedica a instalar aun más malware en nuestro ordenador, como puedan ser programas para jugar en casinos on-line.

Como siempre, la mejor opción es tener especial cuidado con todo lo que descargamos y disponer de un buen antivirus capaz de detectar este tipo de ficheros antes de que se ejecuten.

Genbeta.com

En la madrugada del 19 de octubre se detectó un alto volumen de mensajes infectados con diversas variantes del gusano Win32/Stration, que elevaron notablemente los niveles de alerta promedio del mes.

(VSAntivirus) Stration se propaga masivamente a través de correo electrónico, y es una de las familias de gusanos más activas de la actualidad. Otras compañías llaman Spamta o Warezov a este código malicioso, y durante los meses de septiembre y octubre se han encontrado más de trescientas variantes del mismo.

Mediante el envío masivo de variantes que básicamente solo difieren en los métodos de compresión y codificación, con pequeños cambios en el código propiamente dicho, el autor pretende infectar un número significativo de equipos, antes que los antivirus puedan reaccionar creando las firmas específicas que los neutralicen.

Stration es capaz de llegar a través de mensajes de correo electrónico, en inglés, que simulan provenir del soporte técnico de un proveedor de Internet, informando al usuario que se han detectado mensajes infectados provenientes de su casilla y adjuntando un supuesto "parche" para resolver el problema.

Dicho archivo adjunto al mensaje de "advertencia", en realidad, es el gusano propiamente dicho, y si el usuario lo ejecuta, es infectado por el código malicioso. Tras esto, el gusano intentará detener las aplicaciones de seguridad con las que cuente el equipo infectado, y continuar su propagación.

Aunque los mensajes y nombres de archivos de correo adjunto varían entre las variantes actualmente en circulación, uno de los nombres utilizados suele tener un formato similar al siguiente (los números que siguen a "KB" suelen variar al azar): Se recomienda a todos los usuarios verificar que sus antivirus están actualizados para detectar estas nuevas amenazas dado que los niveles iniciales de propagación detectados son muy altos.

Además, reiteramos la recomendación de no abrir archivos adjuntos a correos electrónicos no solicitados, y que una empresa o proveedor de Internet nunca envía "parches" por ese medio, por lo que no se debe confiar en ese tipo de mensajes.


ENLACES RELACIONADOS
http://www.vsantivirus.com/21-10-06.htm

Hispamp3.com

Parece que el crack que circula por las redes P2P para Windows Vista tiene sorpresa.
El crack denominado "Windows Vista All Versions Activation 21.11.06", incorpora Trojan-PSW.Win32.LdPinch que se dedica a recolectar contraseñas y enviarlas por correo a su creador. Ojito.

http://www.kriptopolis.org/troyano-en-crack-de-windows-vista

Meneame.net

Que raro windows con troyanos :black_eye:

Se ve que con vista no quieren perder la tradición.

Y si mal no tengo entendido, tanto los troyanos/virus/spy. Son la mayoria hechos para los sistemas de Windows.
Entonces, un windows sin alguna de esas opciones :CAA3C5EZ: no seria, un windows?:black_eye:

uhmmmm :mda: los p2p..pst pst.
No hay como las descargas directas,, y bue,,
al que le guste "alimentarse" con "bichitos"
que traen ésos programas... buen provecho.:hysterical:

Cuidado con los correos electrónicos sobre la muerte de Fidel Castro.

La Asociación de Internautas ha alertado contra correos electrónicos con fichero adjunto de asuntos como 'Fidel Castro dead' (Fidel Castro ha muerto) o 'Hugo Chávez dead' (Hugo Chávez ha muerto) que contienen un troyano que está infectando miles de máquinas.

http://www.elmundo.es/navegante/2007/01/22/tecnologia/1169455936.html

:ok :ok :ok vetus

Un toque de atención para los usuarios de Skype, que aprovecharemos para extender también al resto de usuarios de otras redes de mensajería instantánea. Un troyano, de nombre Warezov/stration está utilizando la mensajería instantánea de Skype para intentar expandirse.

Para ello, una vez infectado un ordenador, envía un mensaje a todos los contactos con una dirección URL para que ellos la miren. Si alguno de nuestros contactos abre esa dirección y ejecuta el programa también se verá infectado por este troyano. Por suerte, parece que por ahora no realiza ninguna acción maliciosa aparte de intentar enviar un correo electrónico, cosa que no consigue ya que usa un servidor que no está activo.

El toque de atención va para todos los que usan la mensajería instantánea, ya que no es buena idea abrir direcciones que nos envíen nuestros contactos sin haber certificado previamente que han sido ellos los que nos lo han enviado. Más vale prevenir preguntando que tener que curar luego.

http://www.genbeta.com/2007/03/23-warezovstration-troyano-que-se-expande-por-skype

LdPinch.ZO es un nuevo y peligroso troyano destinado al robo de datos confidenciales de los usuarios.

Éste código malicioso llega al ordenador adjuntado a correos electrónicos o como parte de una descarga de la red. Cuando se ejecuta, abre una ventana del Explorador de Windows. En ella, se muestran fotos de contenido sexual. El objetivo de estas fotos es distraer al usuario, ya que, a la vez, se está liberando un fichero en el sistema. Ese fichero está diseñado para robar contraseñas, nombres de usuarios, cuentas de correo, números de teléfonos para conexiones MODEM, etcétera.

La información es robada de navegadores (FireFox, Mozilla, Internet Explorer,…), clientes FTP (CuteFTP, SmartFTP, …), mensajería instantánea y otros programas. El troyano envía todos los datos obtenidosa su creador a través de correo electrónico. Éste puede utilizarlos con distintos fines fraudulentos: robo de datos bancarios, de información confidencial, etc.

“El espionaje corporativo es uno de los múltiples usos fraudulentos que se le puede dar a este tipo de troyanos. Las empresas guardan información confidencial muy importante en sus ordenadores o en sus cuentas de correo. Gracias a códigos maliciosos como LdPinch.ZO, un ciberdelincuente puede hacerse con esos datos y vendérselos a la competencia o utilizarlos en beneficio propio”, indica Luis Corrons, Director Técnico de PandaLabs.

LdPinch.ZO deja un puerto abierto a través del cual se puede acceder a un intérprete de comandos. Éste puede ser utilizado por un atacante para lanzar órdenes en el ordenador infectado y controlarlo de manera remota.

En el caso de que el firewall avise al usuario de que se está produciendo un acceso sospechoso a Internet y lo bloquee, Ldpinch.ZO puede imitar la pulsación OK para garantizarse ese acceso y poder seguir robando información.


fuente: asociacion de internautas

Buena información, tito gracias. es bueno estar al loro o te dejan en bragas, vamos quien las use, claro :grin:

http://seguridad.internautas.org/html/4149.html

Gracias tendré las precaución necesaria, buena información...

gracias eltito ,estaremos atentos

un abrazo
BELCHA

Según leo en Bandaancha, hay un virus para el Messenger que se está propagando como la pólvora, en concreto el gusano se trata del IM-Worm.Win32.VB.az y no es nuevo, apareció hace unos meses, pero se ve que últimamente ha reavivado su virulencia ya que consiste en un mensaje invitándote a ver unas fotos y a descargar un archivo en formato ZIP, conviene no aceptarlo ya que el virus provoca repetidos mensajes a la lista de contactos, imposibilidad de hablar con nuestros contactos, pérdida de eficiencia del ordenador y fallos en la conexión a Internet.

En los mismo comentarios del vía y en el último enlace tenéis posibles soluciones si estás infectados.

http://www.forospyware.com/t77771.html

http://www.genbeta.com/2007/05/21-virus-para-el-messenger-que-se-expande-rapidamente

No se si será el mismo o una variación pero un amigo cuando está hablando conmigo automáticamente envían mensajes en inglés con links.

Estamos hablando y pasa algo com:

Woody dice:
Hola como andás?
Pablito:
Bien y vos?
Pablito:
Hey check this web too www.terriblepáginaporno.com, it awsome.

Después de un tiempo se vuelve un poco insoportable.

creo que si , aun amigo le paso y ademas se le copiaba en sus contactos y se propagaba, hay que dejar de usar el msn.

hay que dejar de usar el msn.

Nop, hay que dejar de usar windows :D con Linux puedes usar el protocolo msn y no hay problema.

hay ando ,ya lo he descargado , ahora tengo que ver como hago para arrancar desde la unidad dvd.

eso desde la BIOS tito :)

Configurar el BIOS?

en ello estoy . estoy haber si me aclaro sin estropear nada , tambien habia pensado si es que se puede , instalarlo en un disco duro externo , Habria que arrancarlo tambien desde la bios? sera mejor que continue en el post de linux

No he tenido tiempo de postearlo antes pero aquellos usuarios que uséis Windows Live Messenger para chatear estad alerta con esta historia. Un nuevo virus se propaga a través de este sistema de tal forma que uno de tus contactos te abre conversación y te suelta algo como lo que sigue:

hola
espero que te gusten las fotos
me las hice ayer

Y luego te envía un archivo llamado fotos_posse.zip, el cuál contiene a su vez un archivo llamado yo_posse_007.jpg. Aunque la extensión .jpg se corresponde a imágenes, en realidad el archivo es un ejecutable. Si tienes habilitada la opción de mostrar extensiones de archivo en Windows lo verás como yo_posse_007.jpg.exe (y si no la tienes deberías habilitarla). Si lo ejecutas el virus se propagará a su vez a través de tu MSN a tus contactos y así sucesivamente.

Para eliminarlo y desinfectar tu ordenador hay un par de excelentes guías en internet, la mayoría giran entorno al manual publicado por Relok. Personalmente me gusta cómo cuentan todo el proceso en Grapitix. Para aportar algo más, me he infectado a propósito con el virus (curiosamente no ha sido fácil) para hacer capturas de pantalla del proceso de borrado que espero que ayuden a los que se tengan que pegar con el virus.

Lo primero decir que el antivirus gratuito que recomendamos habitualmente en la web, AVG, detecta el virus sin problemas (supongo que cualquier antivirus actualizado lo haga):

continua............... http://blog.faqoff.org/2007/05/25/como-borrar-el-virus-fotos_possezip-para-messenger-live/

http://www.genbeta.com/images/2007/05/americanbank.jpg

Una de las recomendaciones que siempre hago en materia de seguridad informática es no abrir nunca enlaces que nos lleguen en correos electrónicos o por mensajería instantánea. Es mucho más seguro escribir la dirección manualmente en nuestro navegador para asegurarnos que vamos a parar donde pretendíamos.

Pues el troyano Infostealer.Banker.D echa un poco por tierra esta recomendación. Al instalarse en nuestro ordenador, y cuando accedemos a alguna de las páginas que tiene prefijadas, inyecta código HTML dentro del contenido recibido, de modo que, para nosotros, todo funciona de manera correcta (hemos escrito la dirección correcta, el SSL nos indica que el sitio es válido,...) pero una parte de esa página no es legítima.

Como se puede ver en la imagen de ejemplo, en la página de este banco se inserta un nuevo campo de texto donde se pide que el usuario introduzca el PIN de su tarjeta. Este campo es almacenado y enviado al atacante, mientras que el resto de campos se envían al banco, de forma que entraremos correctamente en la página, dando sensación de completa normalidad.

Por supuesto, debemos sospechar siempre que la página de nuestro banco nos pregunte algún dato de este tipo, como el código PIN de la tarjeta y usar el sentido común para detectar este tipo de intentos de estafa, aunque hay que reconocer que en este caso lo ponen bastante difícil para el usuario medio.

http://www.genbeta.com/2007/05/27-troyano-que-modifica-paginas-bancarias

Si usan windows y van a consultar una cuenta bancaria porlomenos dignensé a usar un LiveCD.

Una vez mas tenemos que hablar de un malware que afecta entidades financieras. En este reiterado intento de fraude en linea, simulan una actualización de Java, en el siguiente análisis se muestra las entidades afectadas y donde van los datos obtenidos.

El servidor analizado hospeda distintos troyanos, destacamos uno que afecta teléfonos móviles.

Advertimos que algunos de los malware no son detectados por los antivirus y donde los ciber-delincuentes “intentaron” ponerlo mas difícil para obtener un análisis y funcionamiento.............. sigue en .......http://seguridad.internautas.org/html/4238.html

Como estamos :(

Gracias por el aviso :ok

Detectada una nueva tarjeta de felicitación que contiene un troyano bancario y que afecta a CAJA MADRID, BBVA y otra entidades españolas.

LOS SERVIDORES FRAUDULENTOS ESTAN ACTIVOS
12-06-2007 - Después de analizar el troyano se pudieron sacar todos los datos del mismo, a pesar de las dificultades que lo ciber-delincuentes han puesto para impedir el análisis del troyano. Los datos robados son enviados a una cuenta de Gmail y esta firmado por ‘México Team’.

Adverimos que el formato utilizado puede hacer picar a muchos usuarios en la red.

Gracias una vez mas a la colaboración de los internautas, la Comisión de Seguridad de la Asociación de Internautas ha podido analizar este nuevo troyano que afecta a varias entidades españolas entre ellas: CAJA MADRID y BBVA .



mas informacion http://seguridad.internautas.org/html/4250.html

Es una tarjeta interactiva con un corazón rojo que dice pulsame, si lo haces ejecutas el troyano.

Estos son los consejos de la Web organizaación de internautas:


Recuerden tengan mucha prudencia con los correos electrónicos que reciben.


Consejos y advertencias:
Si usted recibe un correo de un extraño, un correo no deseado, incluso este tipo de tarjetas: Recomendamos la máxima prudencia y si es posible no haga caso de este tipo de correos electrónicos y NUNCA pulsar sobre los enlaces que contiene.

La mayoría de los antivirus no detectan este tipo de ficheros

Gracias Tito :acute:

Es increible, gracias por avisar :ok

Yo no tengo cuenta bancaria ni una chanchita que romper pero nunca está de más estar informado :D

Copio y Pego: " SpreadBanker.A es el nombre del gusano que usa un vídeo de YouTube para propagarse engañando a los usuarios, según informa PandaLabs. El gusano ejecuta un primer mecanismo, éste se conecta a la página de YouTube y le muestra un vídeo. El segundo mecanismo mientras se es mostrado el video, va descargando la segunda parte del gusano..."

http://xkod.com.pe/seguridad/youtube-es-utilizado-por-un-gusano-para-propagarse/

Meneame.net

http://www.comunidadp2p.net/showthread.php?t=5617

jaaaaaaaaaaaa, tito nos hemos pillao:hysterical: :hysterical: :ok

ya te digo running :CAA3C5EZ: :CAA3C5EZ:

Jeje =P

¿Cerramos este?

Dentro de la nueva generación de troyanos bancarios, están los troyanos que modifican el aspecto de nuestro navegador para obtener todas nuestras claves y datos bancarios, pero el delincuente se adapta de forma rápida a los posibles cambios, en este caso tenemos que hablar de un troyano que roba certificados bancarios y claves.

21-06-2007 - Con estos continuos cambios, cabe la posibilidad que en un futuro muy cercano veamos un troyano que nos “duplique” o obtenga datos de nuestro DNI electrónico a la hora de usarlo para acceder a la banca online, ¿ustedes creen que es imposible?.

El nuevo troyano bancario que analizamos afecta al Bradesco Net Empresa y el objetivo conseguir el certificado digital y sus claves.

Destacamos, una vez mas, para que este tipo de troyanos infecte la maquina del usuario es porque el propietario de la misma descargo el troyano y lo ejecuto, los ejemplos detectado no se hacen valer de ningún fallo de seguridad para realizar la descarga y ejecución del mismo.


Troyano analizado; NetEmpresa.exe de 237 KB, la firma del mismo no interesa en este articulo pues puede cambiar dependiendo donde se envié los datos.


http://seguridad.internautas.org/html/4258.html

No es la primera vez que aparece malware que se dedica a cifrar los datos y documentos del usuario y pedir después un rescate por darle la clave con la que recuperar esos ficheros. Pero los ataques que durante este fin de semana han estado sufriendo algunas compañías importantes sugieren que la cosa podría ir un poco más allá en poco tiempo.

Varias empresas, entre las que se encuentran Hewlett-Packard o Unisys, se han visto afectadas por un malware que ha sido enviado a sus empleados y que se dedica a cifrar documentos, pidiendo 300 dólares por la clave de descifrado. Pero lo preocupante es que esto no parece más que una prueba para ver como funciona el sistema, ya que la cantidad pedida era baja, el cifrado usado era muy débil y el código se desactivaba automáticamente el día 17.

Viendo el resultado obtenido, los creadores de este malware deben estar trabajando ahora mismo en solucionar estas limitaciones para realizar ataques a mayor escala y con códigos de cifrado más fuertes, de forma que la cantidad de dinero que puedan pedir sea más elevada.

Al ser la mayoría de estos desarrollos bastante nuevos, consiguen saltarse la protección de los antivirus instalados en las empresas y entrar en los ordenadores. Como siempre la solución es tener mucho cuidado con los ficheros que recibimos y ejecutar solo aquellos que vengan de fuentes de confianza.

http://www.genbeta.com/2007/07/18-malware-que-pide-un-rescate-por-nuestros-ficheros

Como siempre la solución es tener mucho cuidado con los ficheros que recibimos y ejecutar solo aquellos que vengan de fuentes de confianza.

Sin duda, ése es el mejor anti-todo...
Tendremos cuidado, Running Bear.

:ok

como la mafia xD

Mirad chicos este tema lo veo todos los dias, me explicare, en el curso que estudio imparte un profesor un poco pirata, el individuo en cuestion con un programa para escanear Ips es capaz de entrar en cualquier empresa que no tenga un minimo de seguridad, vamos que el personal comparte en la red el disco duro con todas las cosas de la empresa y tu en un par de clics puedes borrar, copiar, añadir o descargarte a tu pc lo que se te antoje.

El personal se despreocupa del todo, deja al pc sin antivirus, firewall o cualquier medida de seguridad que un usuario con dos dedos de frente tendria en su pc, y si tiene algo comparte la carpeta x o z de forma incontrolada a cualquier desalmado.

Os imaginais si yo dejara un simple .bat con unos comandos y con un nombre como "No abrir" para que le borrase todo el disco duro, perderia datos de clientes, facturas pagadas o sin pagar o etc.

Con esto quiero decir que si entrar y coger datos a una empresa es delito, dejar mis datos a manos de cualquiera tambien lo es.

Saludos y mucho ojo señores :ok

P.D.: Hemos entrado en Video Clubs, Empresa de Chapa y pintuira, Alquileres de coches, etc de toda España, y con sistemas operativos Server-Xp.

coyotecabreado
¿¿¿Hasta que punto son eficaces las medidas de protección que pueda adoptar un particular???
Alguien como tu profesor, será capaz de violentar los pandas, mcafees, nortons, zones... Lo que parece más que claro y evidente es que nadie conectado a la Red está seguro. Por eso, prefiero no pensar en esas cosas... o tendría que desenchufar el ordenador...

:dntknw:

Las medidas minimas son las de siempre,

- No compartir el disco completo, sino una carpeta.

- Usar un buen antivirus.

- Un firewall que no sea el de Windows claro esta.

- Y la ultima recomendacion es NO TENER WINDOWS, en esto ultimo me tengo que meter yo, pero entre falta de tiempo y vagancia lo voy a aparcando http://www.comunidadp2p.net/images/smilies/1467467.gif

No hay nada seguro al 100%, asi que descansen :grin:

Saludos :ok

hola compañeros del foro
soy nuevo en esto!!!! primero felicitarlos porque esta muy bueno el foro en general
gran aporte!!!!!
queria saber si algun forero me podria ayudar porfavor!!!!
es que se me pego un virus a mi pc que no tiene internet nose como pero parece que fue por el pendrive, cuento corto me aparcecia en todas las carpetas en la parte del nombre de èsta un mensaje que decia hackeado por antiregeaton por lo que no supe nada mas que hacer que formatear pero la duda que tengo si esque me aparece de nuevo como eliminarlo manualmente porque el nod32 no lo detecto porfavor me puden ayudar!!!!!!!!
de antemano gracias foreros

gracias man muy bueno el consejo.....

xauusssss!!!!

Bienvenido lobo87, tienes algún dato más?

un consejo, aunque no lo tengas conectado mejor tener instalado un antivirus y antes de pasarle ficheros con el pen, escanearlos.

Hola a tod@s he recibido un e-mail, con la advertencia de que han soltado un virus muy peligroso, pasarlo URGENTISIMOOOOOOOOOOOO !!!


POR FAVOR, HAZ CIRCULAR ESTE AVISO A TUS AMISTADES,
FAMILIA, CONTACTOS !!!
En los próximos días, debes estar atent@: No abras
ningún mensaje con un archivo anexo llamado:
Invitación ,
independientemente de quien te lo envíe. Es un virus
que abre una antorcha olímpica que quema todo el
disco duro C de la computadora. Este virus vendrá de
una persona conocida que te
tenia en su lista de direcciones. Es por eso que debes
enviar este mensaje a todos tus contactos.

Es preferible recibir 25 veces este correo que recibir
el virus y abrirlo. Si recibes el mensaje llamado:
Invitación, aunque sea enviado por un amigo, no lo
abras y apaga tu maquina inmediatamente. Es el peor
virus anunciado por CNN. Un nuevo virus ha sido
descubierto recientemente que ha sido clasificado por
Microsoft como el virus mas destructivo que haya
existido . Este virus
fue descubierto ayer por la
tarde por Mc Afee. Y no hay arreglo aun para esta
clase de virus. Este virus destruye simplemente el
Sector Zero del Disco Duro, donde la información vital
de su función es guardada.


ENVIA ESTE E-MAIL A QUIENES CONOZCAS. COPIA ESTE
CORREO A UNO NUEVO Y MANDALO A TODOS TUS AMIGOS.

RECUERDA:
SI LO ENVIAS A ELLOS, NOS BENEFICIAS A TODOS.
a tod@s que conozcais. Muchas Gracias!!!!!

Compañero, se que el post fue con buena intención pero, ¿realmente crees que es verdad?

Tiene el formato de una carta hecha por un niño de 15 años.

Este tipo de mails se conocen como Hoax, son tonterías por decirlo cariñosamente.
Aparte por suerte, no todo el mundo usa Windows :D

Espero que no te moleste que cierre el post, cualquier cosa me envías un privado.
Es para evitar que se propague información incorrecta.

Saludos :drinks:

Según informa Silicon France, unos 11.000 equipos podrían ya estar infectados.

http://www.theinquirer.es/2007/11/20/el_troyano_del_live_messenger_se_difunde_como_la_p olvora.html#more-6760

Meneame.net

Puto Mesenger :nunu: :mad:

Saludos :ok

ya te digo , cuando dejaran de usarlo.

Me quedo con el pidgin:

http://www.pidgin.im
y el link de down:

http://downloads.sourceforge.net/pidgin/pidgin-2.2.2.exe

Voy a probar ese :P sabeis si va con vista que en la web no e visto nada :(

Tiene Web.os la cosa :(

Un Troyano que funciona como un suizo Ejército cuchillo


El archivo utilizado es una nueva forma de Troyanos IRC (Internet Relay Chat) que comenzó a difundir el domingo, 18 de noviembre y que en el espacio de tres días ya han contaminado casi 11.000 máquinas.

Es utilizados por los hackers para ampliar sus redes de máquinas zombis desde que él tiene la capacidad de extendido a todos los contactos de la primera meta.

Estos ataques son coordinadas por un canal de IRC que asciende 500 comandos bots (todos son máquinas zombis!) en que los ingenieros d' eSafe (el trabajo de laboratorio) han colocado sondas.

Que el archivo utilizado en estos ataques es un documento en comprimidos. zip. Se usos diferentes nombres que se refieren a las fotografías. El código malicioso una vez instalado la misión para escanear otros programas para encontrar nuevas metas.

Si este tipo de ataque no es nuevo-desde el vector es una solución de mensajería instantánea en el caso Live Messenger-tiene la capacidad para explorar las redes de máquinas virtuales.

Este caballo de Troya ha sido llamado "del ejército suizo cuchillo para cybercriminels" por el trabajo, una metáfora de "genio"...

Traduccion hecha con Babylon.

Fuente

http://www.silicon.fr/fr/news/2007/11/20/alerte___un_trojan_s_me_la_discorde_sur_live_messe nger_

Saludos :ok

P.D.: Algunas palabras pueden no ser todo lo ajustadas que me gustaria, pero a un traductor no se le puede pedir milagros :grin:

Orkut, la red socíal de Google se ha visto afectada por un virus que resulta novedoso por lo menos en su manera de infectar.

El virus se trasmite por un correo electronico que llega a un usuario de dicha red avisandole de que habia un nuevo mensaje en su perfil que decía lo siguiente:

2008 vem ai… que ele comece mto bem para vc

Lo cual traducido significa “2008 se acerca…y deseo que empiece muy bien para tí“. Al hacer clic en el enlace, se ejecutaba un script que enviaba el mismo mensaje a todos los contactos del usuario y además tiene el detalle de añadirte al grupo de infectados por el virus de Orkut.

Es interesante la manera de operar de este virus, en vez de, por ejemplo, impedirte el acceso a tu cuenta o modificar el perfil, te añade a un grupo. ¿Será el precedente de un nuevo tipo de virus, los virus sociales?

http://bitelia.com/2007/12/21/el-virus-social-de-orkut/

tela marinera ¡¡¡¡¡¡ estan en todo.

pero que simpáticos :grin: todos los días un regalito nuevo.

Jaaaaaaaaaaaaaaa que virus mas cachondo :biggrin:

Saludos :ok

Algo que parece ser en su origen un ataque automatizado de inyección SQL, afectando probablemente sólo a servidores Microsoft SQL Server (en opinión de Symantec), ha logrado infectar en los últimos días decenas de miles de sitios web.

Al parecer el ataque añade el enlace a un script malicioso a las entradas de la base de datos, lo que convierte a los sitios web afectados en intermediarios involuntarios de la distribución de diversos exploits, que intentan atacar a los visitantes de esos sitios.

Los sitios hackeados pueden localizarse mediante una simple búsqueda en Google que incluya el dominio uc8010 punto com, si bien éste parece no ser el único implicado.

En este mismo momento, esa búsqueda devuelve más de 90.000 resultados, que se reducen a unos 4.000 si se restringe la búsqueda a sitios en español. No obstante, ha de tenerse en cuenta que muchos de ellos han dejado de ser infectivos, aunque sí pueden serlo aún las versiones cacheadas, por lo que es imprescindible ser muy cuidadoso al respecto...

Y recuerda: NoScript (que siempre viene de la mano de Firefox) es tu mejor amigo.

http://www.kriptopolis.org/infeccio-masiva-afecta-miles-de-sitios

:bye2: :bye2: :bye2: :bye2:

pos vaya tela

Ya resultó curioso asistir hace unos meses a la reencarnación de Stoned.Angelina en miles de flamantes portátiles con Windows Vista, pero aquella curiosidad amenaza ahora convertirse en moda (retro, pero moda ;), al informar la gente de GMER de la aparición de un stealth MBR rootkit, es decir, otro sorprendente especimen que también habita el MBR, utilizando además técnicas de rootkit para ocultarse de Windows y de los antivirus habituales.

Esta pieza muestra cierta preferencia por ordenadores europeos, habiendo convertido ya a miles de ellos en su residencia habitual. Aunque el concepto data de varios años atrás, su aparición en vivo ha sido detectada a finales de 2007. No dispone aún de nombre oficial, parece ser de origen ruso y se ha podido desplegar a partir de sitios web infectados con exploits. Para colmo, sirve de escondrijo para troyanos ladrones de contraseñas y de momento sólo lo descubre el detector de rootkits de GMER, sucumbiendo luego a fixmbr...

Afecta a Windows XP en modo Administrador y menos a Windows Vista, en parte porque el código para este sistema tiene algún fallo y en parte gracias a la UAC.

http://www.kriptopolis.org/virus-mbr-retorno

Una mutacion o un retorno :bye2: :bye2: :bye2: :bye2:

miira que el afán que tienen por tocarnos los Web**-s

Llega san valentin y como todos lo años nuevos virus para que la gente incauta pique.



El laboratorio de la firma de seguridad española Panda Security, ha detectado dos nuevos gusanos denominados Nuwar.OL y Valentin.E, que aprovechando el día de los enamorados vuelven cada año como cebo para atraer a internautas incautos.

Nuwar.OL, se propaga a través del correo y llega con “cariñitos” como ‘I Love You So Much’, ‘Inside My Heart’ o ‘You In My Dreams’, entre otros. En el texto se incluye un enlace a una página web que debajo de su romántica apariencia descargará el código malicioso.

Valentin.E actúa de forma similar, este con un adjunto llamado “friends4u” que descarga una copia del gusano, infectando el equipo que será el encargado de propagar el malware masivamente.

“Ambos casos son ejemplos claros de técnicas de ingeniería social para distribuir malware”, indicó Luis Corrons, Director Técnico de PandaLabs, que añadió: “el hecho de que insistan año tras año demuestra que los ciberdelincuentes obtienen un beneficio de este tipo de cebo y que mucha gente sigue cayendo en la trampa”.

Ya sabéis, por encima del mejor antivirus, la prudencia es el mejor profiláctico virtual para pasar San Valentín sin sobresaltos.

the inquirier.es

Un regalito para los ñoños :CAA3C5EZ: :CAA3C5EZ:

Y para las ñoñas, que seguro que más de una le dará "ilu" un mensaje del novio y picará. :laughbounce:

Ostras es verdad :crazy: :crazy:

Un abrazo :ok

Por un San Valentín Sin sobresaltos:

Desconecta el Cable de internet y Vete con tu novi@ de marcha :grin: :ok: :grin:

Desconecta el Cable de internet y Vete con tu novi@ de marcha :

hay le has dao¡¡¡

Jaaaaaaa que listo el tio :hysterical: :hysterical:

Jaaaaaaaaaaaaaaaaaaaaaaa, troyanos a mi :hysterical: