Sunteți pe pagina 1din 5

“VIRUS”

Luis Enrique Rivera 1°I N.L 39

VIRUS CARACTERISTICAS

Este gusano se propaga por AOL Instant Messenger y a través


del correo electrónico.
En este último caso, utiliza mensajes como el siguiente:
De: [dirección del remitente]
Asunto: Service Pack 2 BUG!!
Texto del mensaje: Dear user I have been informed that there
was a BUG in
Windows Service Pack 2 which was fixed I recommend you
to download this Patch version which will fix the bug
and keep your system safe.
You will find the Patch file in the attachment, feal
Win32/Aimdes.a free to send it to anyone.
I'll be in touch with you as soon as another bug is found.
Regards,
A.H
Datos adjuntos: C:\Fix_SP2.zip El archivo adjunto es
descargado por el gusano desde la siguiente página Web:
http://geocities.com/??????/ahkerb.zip Cuando se ejecuta, crea
los siguientes archivos: [carpeta de inicio]\msVBdll.exe
C:\Program Files\Sony\VAIO Action Setup\MsVBdll32.exe
c:\windows\msVBdll.exe
c:\windows\Msvbdll.pif
Gusano que se envia a todos los contactos de la libreta de
direcciones del equipo infectado.
CARACTERISTICAS
Cuando el gusano se ejecuta crea una copia de si
mismo dentro de la siguiente carpeta:

C:\Windows\Update\Date.POP.vbs

Para ejecutarse en cada reinicio del sistema crea la siguiente


entrada en el registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Bat/Hobat.a BootsCfg = wscript.exe c:\windows\update\date.pop.vbs %

De acuerdo a la versión del sistema operativo, las carpetas


"c:\windows" y "c:\windows\system32" pueden variar
("c:\winnt", "c:\winnt\system32", "c:\windows\system").
El mensaje que utiliza para propagarse tiene las siguientes
caracteristicas:
Asunto: Movies
Texto del mensaje:
Here is the movies tickets that you
asked for from [Sitio web]
Datos adjuntos: Date.POP.vbs
El gusano también intenta apagar el equipo infectado.
Win32/Neshta.a Virus infector de ejecutables, que modifica el registro para
ejecutarse. Cuando ello sucede, el virus busca otros archivos
.EXE y los infecta, agregando su propio código al principio de
los mismos, aumentando su tamaño original.
CARACTERISTICAS
Cuando se ejecuta por primera vez, crea el siguiente archivo:

C:\WINDOWS\svchost.com

Modifica la siguiente entrada del registro para ejecutarse cada


vez que un .EXE es llamado:

HKCR\exefile\shell\open\command
(Predeterminado) = "C:\WINDOWS\svchost.com "%1" %*"
Crea el siguiente mutex para no cargarse más de una vez en
memoria:
MutexPolesskayaGlush*.* ミ svchost.com ミ exefile\shell\open\com
mand‹À "%1" %*œ"@

Tojano:Mensajes de correo electrónico falsificados con la


intención de engañar a usuarios crédulos, para que revelen sus
números de tarjetas de crédito, den información de sus
depósitos de cuentas bancarias y todo tipo de detalles
personales.
CARACTERISTICAS
Estos mensajes parecen ser enviados por un banco,
una institución financiera o un proveedor de servicios de
Internet, solicitando la confirmación de ciertos datos
personales.
Al hacer clic en un enlace en el correo, el usuario es enviado a
una página falsa, que simula pertenecer al sitio web de la
institución involucrada, donde se pide el ingreso en un
formulario, de información sensible, etc.
Este tipo de malware no suele instalar o ejecutar nada. Llega a
nosotros como un correo electrónico intentando que los
usuarios ingresen sus datos personales en un página web
falsificada. Recibir este tipo de mensajes, abrirlos o
visualizarlos, no suele ser peligroso, pero se recomienda no
abrir jamás adjuntos no solicitados.
Existen muchas modificaciones de esta clase de estafa, en su
mayoría simulan provenir de conocidos bancos o instituciones.
El texto del mensaje, a menudo urge al usuario a llevar a cabo
la acción solicitada, con la excusa de que su cuenta podría ser
cerrada, u otra clase de argumento similar.
Los grupos delictivos detrás del "phishing", obtienen grandes
ganancias a partir de la información robada.
Este tipo de mensajes no suelen propagarse por si mismos,
siendo enviados generalmente como spam.

1. NUNCA haga clic en forma directa sobre NINGUN enlace en


mensajes no solicitados. Mucho menos ingrese información de
ningún tipo en formularios presentados en el mismo mensaje.
Html /Bankfraud.a
2. Desconfíe siempre de un mensaje como el indicado.
Cerciórese antes en los sitios principales, aún cuando el
mensaje parezca "real". Toda vez que se requiera el ingreso de
información confidencial, no lo haga sin estar absolutamente
seguro.

3. Preste atención al hecho de que cualquier compañía


responsable, le llevará a un servidor seguro para que ingrese
allí sus datos, cuando estos involucran su privacidad. Una forma
de corroborar esto, es observar si la dirección comienza con
https: en lugar de solo http:. Un sitio con una URL https: es un
sitio seguro.

Compruebe SIEMPRE, si al colocar el puntero del ratón sobre


cualquier dirección indicada en un mensaje (sin hacer clic), el
Outlook Express le muestra abajo la misma dirección.

4. Una vez en un sitio seguro, otro indicador es la presencia de


un pequeño candado amarillo en el rincón inferior a su derecha.
Un doble clic sobre el mismo debe mostrarle la información del
certificado de Autoridad, la que debe coincidir con el nombre de
la compañía en la que usted está a punto de ingresar sus datos,
además de estar vigente y ser válido.

5. Si aún cumpliéndose las dos condiciones mencionadas, duda


de la veracidad del formulario, no ingrese ninguna información,
y consulte de inmediato con la institución de referencia, bien
vía correo electrónico, o en forma telefónica.
Recuerde que NINGUNA institución responsable le enviará un
correo electrónico solicitándole el ingreso de alguna
clase de datos, que usted no haya concertado
previamente.
Win95/ Marburg Desarrollado para correr en sistemas Windows 95/98.Infecta
archivos PE, y es polimórfico, infecta directamente archivos y
no reside en memoria. Contiene dentro de su código una
leyenda "Marburg ViRuS BioCoded by GriYo/29A".
CARACTERISTICAS
Cuando el programa infectado esta corriendo, Marbug infecta
los archivos del corriente directorio, el directorio de C:\Windows
y C:\Windows\System.
Los archivos infectados “engordan”, es decir crecen en tamaño
(el tamaño es siempre divisible por el número 101, en sistema
decimal).El virus chequea la longitud para cerciorarse de no
infectar dos veces un mismo archivo, como así tampoco infecta
archivos que en su nombre contengan la letra “v”, un ejemplo:

`PAND*.*", `F-PR*.*" and `SCAN*.*". Evitando de esta manera


toparse con archivos de programas antivirus.

Si se corre un archivo infectado entre la 1 hora y 3 meses, del


contacto con el virus, se genera una acción adicional.
La misma se basa en mostrar una cuadro de dialogo de dialogo
de mensaje de error aleatorio de Windows, del tipo "Windows
critical error", o “error critico de Windows”, abierto varias veces
en pantalla.
Otra característica es la de poseer una rutina de corromper y/o
borrar los siguientes archivos de bibliotecas de los antivirus
mas difundidos ,por ejemplo :

"ANTI-VIR.DAT" , "CHKLIST.MS","AVP.CRC" , "IVB.NTZ".

Síntomas: Eliminación o daño de los archivos mencionados


anteriormente, una notable perdida del rendimiento del sistema
operativo (tiempo en abrir ventanas, lectura de unidades, etc).
Modos de infección: Ejecutando un archivo infectado y que
haya en el mismo directorio otros archivos infectados del
sistema.
Virus Melissa o Aproximadamente a las 2:00 PM GMT-5 del Viernes 26 de Marzo
de 1999 empezó a propagarse Melissa. El nuevo macro virus
W97M/Melissa.A de Word se expande a una velocidad increíble. Funciona en
combinación con Microsoft Word y Microsoft Outlook, tanto para
versiones de MS Office 97/98 y MS Office 2000.

Efectos del virus:

El nuevo virus Melissa infecta archivos de Word aprovechando


su capacidad de ejecutar Scripts de Visual Basic. Sus acciones
principales son las siguientes:

1. Infecta a MS Word y éste a todos los archivos que se abren.


2. Cambia ciertas configuraciones para facilitar la infección.
3. Se auto-envía por correo, como un mensaje proveniente
del usuario a las primera 50 buzones de la libreta de
direcciones de su correo.

Cuando un documento de Word infectado es abierto, Melissa


infecta la plantilla de documentos normal.dot, que es donde se
encuentran todos los valores y macros predeterminadas del
programa. A partir de este momento todos los archivos serán
infectados por el virus.

Versiones que infecta

Melissa verifica la versión de Word que la PC contenga, y se


adapta a la misma. Sólo funciona con Word97 y Word 2000. Las
versiones 95 y anteriores no sufren riesgo.

Forma de auto-distribuirse

Si se tiene instalada la versión completa de Microsoft Outlook


(no Outlook Express), el virus se envía a los primeros 50
contactos en la libreta de direcciones como un archivo adjunto,
a un email que figura como proveniente de parte suya. Y en
general figura en el cuerpo del mensaje, este texto:

Here is that document you asked for ... don't show anyone else
;-)

Si la persona tiene varias libretas de direcciones, se enviará a


los primeros 50 contactos de cada una. A su vez éste envío
tendrá un efecto multiplicador, vale decir que cada una de los
buzones que recepcio

Uno de los virus mas famosos de la historia, ya que a partir


de él se crearon muchos otras versiones.

CARACTERISTICAS

El virus se auto-instala residente en la memoria RAM del


sistema, tomando control de las interrupciones 08h y 21h, y
desde allí infecta archivos con extensión .COM, a los cuales
Jerusalem incrementaba 1,792 bytes y a los .EXE con 1,808 a 1822 bytes
adicionales.
Cada vez que se ejecuta el archivo .EXE infectado, se le
agregan otros 1,808 bytes, llegando a incrementar su tamaño,
lo que ocasiona una gran lentitud en los procesos, hasta lograr
saturar la memoria convencional de 640Kb y ocupar espacio
innecesario en los discos duros, que por aquella época
promediaban entre 20 y 30 MB de almacenamiento.

S-ar putea să vă placă și