Año 2 • No. 77 • octubre 7 de 2002 Xalapa • Veracruz • México
Publicación Semanal


 Páginas Centrales

 Información General

 Compromiso Social

 Foro Académico

 Arte Universitario

 Inter Nautas

 Halcones en Vuelo

 Contraportada

 Números Anteriores


Créditos

 

 
  ¡Alerta!
Nuevos Virus
El Departamento de Servicios de Red les informa de los siguientes virus que han sido elevados a categoría 4 por Symantec:

W32.BUGBEAR@MM
Es un gusano de distribución masiva por correo electrónico que puede distribuirse también por recursos compartidos de Red. Tiene capacidades de backdoor y apropiación de passwords. Adicionalmente el gusano atenta contra los procesos de diversas marcas de Antivirus y reglas de Firewalls personales. El asunto (subject) del

mensaje es variable. El archivo adjunto tiene doble extensión, por ejemplo .doc.pif , la última extensión puede ser cualquiera de las siguientes: .pif .scr y .exe
Otro de los ataques de esta amenaza combinada (blended treta) lo hace creando una rutina de Backdoor, mediante la cual se abre el puerto 36794 y escucha comandos del hacker o creador del virus. Entre los comandos permitidos se ejecutan las siguientes acciones: Borrar archivos, Terminar procesos, Listar procesos y entregar la lista al Hacker, Copiar archivos, Ejecutar procesos, Listar archivos y entregar la lista al Hacker, Entregar los passwords interceptados al hacker (de manera encriptada), Esto puede liberar información confidencial que se tecleó en la computadora incluyendo passwords, detalles del Log In y archivos de trabajo. La entrega de la información al sistema del Hacker viene de la siguiente manera: User: Procesador, Versión de Windows, Información de la memoria
Drives locales (por tipo y características físicas), Puede listar también los recursos de red, tipo de recurso y entregar la lista al Hacker. Symantec cuenta ya con detección completa en las definiciones de septiembre 30, así como con la publicación de la herramienta de limpieza en el sitio de respuesta a incidentes de Symantec desde la misma fecha:

W32.opaserv.worm
Es un gusano que se distribuye a través de recursos compartidos en la Red. Se copia a sí mismo en la computadora remota como un archivo de nombre scrsvr.exe. El gusano intenta bajar actualizaciones del sitio www.opasoft.com el cual ya no está disponible. Algunos indicadores de infección son los siguientes:
* Si se tienen los archivos scrsin.dat y scrsout.dat en la raíz del disco C. Esto indica infección local (el gusano fue ejecutado en esta computadora).
* La existencia del archivo tmp.ini en el directorio raíz del disco C (esto indica una infección remota)
* La llave de registro HKEY_LOCAL_MACHINE\So ftware\Microsoft\Windows\
currentversion\Run conteniendo el valor scrsvr ó scrsvrold
SYMANTEC cuenta ya con detección completa en las definiciones de Septiembre 30, así como con la publicación de la herramienta de limpieza en el sitio de Respuesta a Incidentes de Symantec desde la misma fecha.
Atentamente:
Departamento de Servicios de Red. Universidad Veracruzana