Autor Tema
msc hotline sat
Administrator
España
5003 Mensajes Enviado el 28/04/2004 : 10:19:42
--------------------------------------------------------------------------------
De buena mañana ya hemos tenido usuarios infectados con un nuevo virus que llega en ZIP con password 123 y ya conocemos dos temas, uno del Pentagono, y otro que ofrece visualizar a Jenifer Lopez desnuda para lo cual ofrece una aparente URL. qie en realidad es un fochero COM con doble extension,
Descripcion de McAfee:
___________________________________________________
Virus Name Risk Assessment
W32/Bertad.a @ MM Corporate User : Low
Home User : Low
Virus Information
Discovery Date: 04/26/2004
Origin: Unknown
Length: 200,702 Bytes
Type: Virus
SubType: E-mail worm
Minimum DAT: 4354 (04/28/2004)
Updated DAT: 4354 (04/28/2004)
Minimum Engine: 4.2.60
Description Added: 04/27/2004
Description Modified: 04/27/2004 5:27 PM (PT)
Description Menu
Virus Characteristics
Symptoms
Method Of Infection
Removal Instructions
Variants / Aliases
Rate This page
Print This Page
Email This Page
Legend
Virus Characteristics:
The following characteristics are associated to the this detection:
harvests email addresses from the victim machine
contains its own SMTP engine to construct outgoing messages
email arrives as an attachment
Mail Propagation
Messages are constructed using the virus' own SMTP engine. They bear the following characteristics:
From: spoofed (using harvested email addresses)
Subject: Qui sabe el Pentagono sobre usted (What the Pentagon knows about you)
Body:
?Crees que estas a salvo del Pentagono de los E.U?
Mira estos datos y te asombraras.
Do you believe you are safe from the Pentagon of the E.U?
Just look these data and you will be surprised
Password: 123
Attachment: (XLS extensions with several spaces to hide the EXE extension)
System Changes:
When executed, the following message box appears:
The following files are dropped:
En Cuba no hay libertad de expresión Empty file
Michael Jackson.ppt(several spaces).exe.exe Copy of original file
sub.sub Subject line of email
att1.att1 File attachment name
msg.msg Email message body
Casper9247.exe Dropped file
Mina4652.exe Copy of original file
red.mda Empty file
Red7324.exe Copy of original file
PentagonSecret.xls(several spaces).exe Copy of original file
SMTP.ocx Third party SMTP utility
Top of Page
Symptoms
Presence of the dialogue box shown above
Top of Page
Method Of Infection
This worm spreads by email, constructing messages using its own SMTP engine.
Top of Page
Removal Instructions
Detection is included in our DAILY DAT (beta) files and will also be included in the next weekly DAT release. In addition to the DAT version requirements for detection, the specified engine version (or greater) must also be used.
___________________________________________________
Se requieren los DATS 4354 que saldrán esta noche, o mientras el SDATDAILY de hoy (Dats diarios, como virus W32/Misodene @ MM)
Al parecer no es dañimo, y tras la infeccion se recibe un mail indicando que se le ha infectado con virus "libertad", reinvindicando libertad de expresion en Cuba, según el siguiente texto:
"Su computadora ha sido infectada por el virus Libertad pero no tema, este
virus no causa daqo su unico objetivo es prostestar por la falta de
liebertad de expresisn en Cuba.
Disculpe la molestia.
El Hobbit."
saludos
ms, 28-04-2004
Virus Research Engineer
COLABORA pulsando banners, para poder seguir ofreciendo esta página
msc hotline sat
Administrator
España
5003 Mensajes Enviado el 29/04/2004 : 13:48:46
--------------------------------------------------------------------------------
Tras bastantes infecciones en nuestro pais, que han llegado hasta Tenerife, cerca de donde tenemos a nuestra forera Araceli, hoy vemos que a este virus que inicialmente MvAfee describía como W32/BERTAD.A, si bien ya lo detectabamos como W32/MISODENE, por lo que la utilidad de eliminación le llamamps ELIMISOA.EXE
Además cabe indicar que otro antivirus utilizan otros nombres, los cuales indicamos a continuacion para saber que se refiere al mismo virus:
Libera, W32/Famo-mm, WinPE/Cubalibre, I-Worm.Famus, Win32/Liber.A, W32/Bertad.a@MM, Red.A, Red.B
Y por si sirve a alguien, conocemos ya tres maneras de llegar por mail, según texto y asunto (si lo lleva)
Asunto: JENIFER DESNUDA \ JENIFFER NAKED
Texto: Haz visto a Jeniffer Lopez desnuda?
Hechale un vistazo a esta pagina
___________
Asunto: Qui sabe el Pentagono sobre usted
Texto: Crees que estas a salvo del Pentagono de los E.U?
Mira estos datos y te asombraras
___________
(Sin asunto)
¿Sabes por que los famosos son famosos?
___________
Otros posibles asuntos:
Famous/Famosos
Portadores Energéticos (Software)
Puedes creerlo?/Can you believe it?
Otros posibles textos:
¿Quieres aprender los mejores trucos de magia?
Asombroso ¿Verdad?
Miren esta web de Bill Gate ???????
___________
Con lo que poder conocer los caracteristicas de dichos mails y poderlos evitar a tiempo. Generalmente vienen anexando un zip con password 123
saludos
ms, 29-04-2004
msc hotline sat Virus Research Engineer