Verificando virus
A un usuario de mi red le han llegado varios mensajes vacíos con los siguientes títulos: onmouse out, Set timeout y How are you, creo que pueden ser virus pero no logro encontrar nada en la red, sabe alguno de ustedes algo sobre esto.
1 respuesta
Respuesta de kuerti
1
Tu usuario tiene el famosísimo virus KLEZ.H. Acá te paso la data de cómo sacarlo:
La URL http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=451 dice textualmente:
Nombre: W32/Klez.h
Aliases: Win32.Klez.H@mm, Win32/Klez.J, I-Worm. Klez. H
Variantes:
Fecha de Descubrimiento: 17/04/2002
Tipo: Gusano de internet
Gravedad: Media
Origen: Desconocido
Información: Una nueva variante del virus W32/Klez con capacidades similares a la anterior, y capaz de reproducirse a través del correo electrónico y los recursos compartidos. También puede ser recibido como una falsa herramienta para limpiar el W32/Klez.e
Características: El gusano puede ser recibido en un mensaje de correo electrónico con asunto, cuerpo y nombre de adjunto aleatorio. El asunto del mensaje será elegido de entre la siguiente lista:
Undeliverable mail--"[Palabra aleatoria]"
Returned mail--"[Palabra aleatoria]"
A [Palabra aleatoria] [Palabra aleatoria] game
a [Palabra aleatoria] [Palabra aleatoria] tool
a [Palabra aleatoria] [Palabra aleatoria] website
a [Palabra aleatoria] [Palabra aleatoria] patch
[Palabra aleatoria] removal tools
how are you
let's be friends
darling
So cool a flash, enjoy it
Your password
Honey
Some questions
please try again
Welcome to my hometown
The Garden of Eden
Introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
Japanese girl VS playboy
Look, my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures
La [Palabra aleatoria] en los posibles asuntos antes mencionados será tomada de la siguiente lista:
New, funny, nice, humour, excite, good, powful, WinXP, IE 6.0, W32. Elkern, W32. Klez.E, Symantec, Mcafee, F-Secure, Sophos, Trendmicro, Kaspersky
El cuerpo del mensaje también es aleatorio y el nombre del archivo adjunto también puede cambiar sin un patrón determinado. Para enviarse utiliza su propio servidor SMTP y las direcciones a las que se envía son tomadas de la libreta de direcciones de Windows, la base de datos de ICQ (si existe), y archivos locales con las siguientes extensiones.
. Mp8, .exe, .scr, .pif, .bat, .txt, .htm, .html, .wab, .asp, .doc, .rtf, .xls, .jpg, .cpp, .pas, .mpg, .mpeg, .bak, .mp3, .pdf
El remitente del mensaje (From) es también tomado aleatoriamente de esta lista, por lo que el gusano no se reenviará con la dirección del usuario infectado sino con una de sus contactos, al igual que la versión E de este virus.
En algunos casos, el gusano se envía en un mensaje completamente distinto, que simula ser una herramienta de desinfección del virus W32/Klez.e, cuando en realidad se trata del propio gusano.
Asunto:Worm Klez. E immunity
Cuerpo del mensaje: Klez. E is the most common world-wide spreading worm.
It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic, most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm, some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.
(En el caso de este mensaje en particular el virus no se ejecuta automáticamente)
Si el usuario abre el mensaje o lo visualiza con la vista previa en un sistema que no se encuentre correctamente actualizado, el gusano se ejecutará automáticamente.
Luego se copiará al directorio de sistema (normalmente \Windows\System) bajo el nombre Wink[carácteres aleatorios].exe, y agregará una entrada a algunas de las siguientes claves de registro para poder ejecutarse en posteriores reinicios del sist
La URL http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=451 dice textualmente:
Nombre: W32/Klez.h
Aliases: Win32.Klez.H@mm, Win32/Klez.J, I-Worm. Klez. H
Variantes:
Fecha de Descubrimiento: 17/04/2002
Tipo: Gusano de internet
Gravedad: Media
Origen: Desconocido
Información: Una nueva variante del virus W32/Klez con capacidades similares a la anterior, y capaz de reproducirse a través del correo electrónico y los recursos compartidos. También puede ser recibido como una falsa herramienta para limpiar el W32/Klez.e
Características: El gusano puede ser recibido en un mensaje de correo electrónico con asunto, cuerpo y nombre de adjunto aleatorio. El asunto del mensaje será elegido de entre la siguiente lista:
Undeliverable mail--"[Palabra aleatoria]"
Returned mail--"[Palabra aleatoria]"
A [Palabra aleatoria] [Palabra aleatoria] game
a [Palabra aleatoria] [Palabra aleatoria] tool
a [Palabra aleatoria] [Palabra aleatoria] website
a [Palabra aleatoria] [Palabra aleatoria] patch
[Palabra aleatoria] removal tools
how are you
let's be friends
darling
So cool a flash, enjoy it
Your password
Honey
Some questions
please try again
Welcome to my hometown
The Garden of Eden
Introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
Japanese girl VS playboy
Look, my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures
La [Palabra aleatoria] en los posibles asuntos antes mencionados será tomada de la siguiente lista:
New, funny, nice, humour, excite, good, powful, WinXP, IE 6.0, W32. Elkern, W32. Klez.E, Symantec, Mcafee, F-Secure, Sophos, Trendmicro, Kaspersky
El cuerpo del mensaje también es aleatorio y el nombre del archivo adjunto también puede cambiar sin un patrón determinado. Para enviarse utiliza su propio servidor SMTP y las direcciones a las que se envía son tomadas de la libreta de direcciones de Windows, la base de datos de ICQ (si existe), y archivos locales con las siguientes extensiones.
. Mp8, .exe, .scr, .pif, .bat, .txt, .htm, .html, .wab, .asp, .doc, .rtf, .xls, .jpg, .cpp, .pas, .mpg, .mpeg, .bak, .mp3, .pdf
El remitente del mensaje (From) es también tomado aleatoriamente de esta lista, por lo que el gusano no se reenviará con la dirección del usuario infectado sino con una de sus contactos, al igual que la versión E de este virus.
En algunos casos, el gusano se envía en un mensaje completamente distinto, que simula ser una herramienta de desinfección del virus W32/Klez.e, cuando en realidad se trata del propio gusano.
Asunto:Worm Klez. E immunity
Cuerpo del mensaje: Klez. E is the most common world-wide spreading worm.
It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic, most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm, some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.
(En el caso de este mensaje en particular el virus no se ejecuta automáticamente)
Si el usuario abre el mensaje o lo visualiza con la vista previa en un sistema que no se encuentre correctamente actualizado, el gusano se ejecutará automáticamente.
Luego se copiará al directorio de sistema (normalmente \Windows\System) bajo el nombre Wink[carácteres aleatorios].exe, y agregará una entrada a algunas de las siguientes claves de registro para poder ejecutarse en posteriores reinicios del sist
