Dual Solution.
Servicios Informaticos profesionales.

Virus que imitan al Sasser
Han salido varios virus nuevos que intentan explotar la misma vulnerabilidad que el Sasser (LSASS).
El problema que tienen estos virus es que los administradores de red, y los usuarios en general, han tomado nota y parchearon sus ordenadores para reparar este fallo en el sistema, asi q no se espera que estos virus se propagen con tanta facilidad, dado que los ordenadores que no estuvieron preparados y fueron afectados por este virus, ya lo resolvieron.
La vulnerabilidad LSASS ha quedado prácticamente obsoleta en la red, asi que poco a poco estos virus irán desapareciendo.

Nuevo gusano Sasser

En los últimos días ha aparecido un nuevo gusano, conocido con el nombre de Sasser , con cuatro variantes conocidas hasta el momento (A, B, C y D) con una rápida difusión.
Este nuevo gusano se propaga a través de Internet, y utiliza vulnerabilidades de los sistemas operativos de Microsoft, provocando con ello el reinicio de los ordenadores de forma automática. Es aconsejable para nuestros clientes que dispongan de los sistemas operativos Windows NT/2000/XP/2003 que descarguen un nuevo parche de seguridad de la página de Microsoft.

Los diez virus mas propagados de la red
Según un estudio realizado por Panda, los lista de los virus más propagados a través de Internet es:

Virus	% de aparición
W32/Netsky.P.worm	15,29%
W32/Netsky.D.worm	8,00%
Trj/Downloader.L	6,95%
W32/Netsky.B.worm	6,29%
W32/Nachi.B.worm	5,91%
W32/Netsky.C.worm	3,72%
Trj/Revop.F	3,52%
W32/Bagle.pwdzip	2,58%
W32/Parite.B	2,41%
W32/Netsky.Q.worm	2,35%

El virus mas predominante es el Netsky, dado que entre otros objetivos está diseñado para eliminar a los gusanos Mydoom, Bagle, y Mimail de los equipos que infecta.
Esto es debido a que hay un enfrentamiento entre los diferentes programadores de virus.
Ante tanto ataque les recomendamos tener las últimas actualizaciones del antivirus que usen.

Cuidado con el virus Netsky
Atención, este virus hoy en día es el mas extendido de internet, de hecho , los tres primeros virus que encabezan estas listas son:

1. Netsky.P
2. Netsky.D
3. Netsky.B

Aconsejamos a todos nuestros usuarios que mantengan durante estos dias bien actualizados sus antivirus, incluso diariamente, ya salen constantemente nuevas versiones de este potente y dañino virus, actualmente la última versión conocida es el Netsky.X
Si necesitan actualizar su antivirus, o consultar cual es la mejor manera de estar protegido ante este virus, o cualquier otro, no duden en consultarnos.
Desde Dual Solution lo último que deseamos es la pérdida de datos de nuestros clientes, y trabajamos para que se encuentren lo mas seguros posibles. Atentamente:
Servicio Técnico de Dual Solution S.L.

Netsky.P

Al igual que sus anteriores versiones, aparece esta nueva variante denominada NETSKY.P ,con ciertas características similares a los predecesores como el propio motor SMTP para infectar otros sistemas, así como muchas de las redes Peer 2 Peer conocidas , pero con la principal diferencia de que no es necesario que el usuario ejecute el fichero adjunto, sino que se aprovecha una vulnerabilidad del Internet Explorer para ejecutarlo cuando se lee el correo.
Por otro lado, intenta también eliminar el arranque automático de otros virus como BAGLE, NACHI, MYDOOM etc... Lo cual nos lleva a pensar en una posible red de Spam detrás de todos estos virus.

Oleada de virus
Ha aparecido una oleada de virus con graves consecuencias en redes corporativas.
Principalmente debida a los siguientes virus o variantes:
- Netsky.D
- Netsky.B
- Netsky.C
- Bagle.C

Nueva variante de MyDoom
Ha aparecido una nueva y peligrosa versión del virus MyDoom.En este momento se trata de MyDoom.F,que puede llegar a borrar ficheros de Microsoft Word y Excel, así como otro tipo de archivos como puede ser el caso de fotografías o películas almacenadas en el ordenador infectado.
A parte de infectar los ordenadores, también realiza ataques a las páginas web de Microsoft y de la asociación que reune a las mayores discográficas de EEUU (la RIAA).
La manera de transmisión de esta última versión es mediante correos electrónicos con encabezamientos genéricos, como puede ser : "Re: Details", "Thank You", o "Your Credit Card". Por otro lado, el texto del mensaje suele contener alguna de las siguientes frases: "You are bad", "Information about you" , etc ...

Nuevo virus : W32/Netsky. B@P2P+MM
Dual Solution les informa de un nuevo virus informático, se trata de W32/Netsky.B@P2P+MM es un gusano informático que borra las entradas de otros gusanos como el ya conocido Mydoom.A o Mimail.T.
Los métodos de infección pueden ser a través de correo electrónico, programas P2P o por red.

• Por correo electrónico se propaga como un archivo adjunto con el icono de un documento de word y de nombre "services.exe" una vez que es ejecutado lanza un mensaje de error : "the file could not be oponed!" y el equipo ya queda infectado, en ese momento el Netsky.b busca direcciones de correo electrónico en el equipo infectado y se reenvía a todas ellas.
• A través de programas P2P, una vez que el equipo es infectado también se mete en carpetas que tengan como cadenas de texto share, sharing, incoming, etc... y se renombra así mismo con nombres como jokes.zip, mails.zip, etc … esperando ser descargado por otros usuarios.
• A través de red, se propaga por las unidades de disco que nota compartidas en la red local en la que se encuentra, ya que escanea todas las unidades de disco de la C: hasta la Z: en caso de haberla y eso incluye todas las unidades de red asignadas.

El virus en cuestión esta escrito en Visual C++ y tiene un tamaño aproximado de 21504 Bytes.

Alerta VIRUS !! Mydoom.A
Desde Dual Solution informamos a nuestros clientes de un gusano de reciente aparición que posee una altisima peligrosidad.Se conoce con el nombre de Mydoom (W32/Mydoom.A.worm). o bien por alguno de sus alias: I- WORM_MIMAIL.R W32/Mydoom@MM I-Worm/Novarg@MM , Worm/Novarg.
Este nuevo gusano tiene un elevado poder de propagación puesto que lo realiza a través del correo electrónico en un mensaje con características variables y a través de diversos programas de intercambio de archivos(P2P).
Además lanza ataques de Denegación de Servicio contra la página web www.sco.com (se piensa que el origen de este virus reside en una forma de protesta hacia dicha Web).
Otros efectos :
abre varios puertos de manera que podrian controlar la máquina afectada remotamente creando para ello un "backdoor"(puerta trasera) en nuestra máquina.

Sintomas:
-abre el Bloc de notas de Windows (NOTEPAD.EXE) y muestra texto no útil
-aumento en el tráfico de red

Sistemas operativos afectados :
practicamente todos los sistemas operativos de Microsoft Windows 95/98/NT/ME/2000/XP/2003.

Solución :
No abrir mensajes de correo electrónico con archivos adjuntos desconocidos y actualizar el antivirus.

Virus Parite.B
Debemos recordar que este virus (Parite.B cuyo fichero dañino tiene un tamaño de 177.622 Bytes. ) creaba un fichero de tipo dropper en el directorio de temporales de Windows con un nombre aleatorio de siete caracteres y con extensión TMP, que además en principio no nos deja eliminar porque el fichero queda en uso por Windows.
Por otro lado creaba una entrada en el Registro de Windows:
"HKEY_CURRENT_USER -Software- Microsoft Windows -CurrentVersion -Explorer- PINF"

Recordatorio de virus
SQLSlammer
Gusano que ataca servidores SQL.
Klez.I
Virus que se aprovecha de una vulnerabilidad del navegador Microsoft Internet Explorer asi como de lo que se conoce como técnicas de ingeniería social.
Nachi.A
Virus que se presento como forma de solventar los problemas del Blaster pero que a la vez se aprovechaba de otra vulnerabilidad llamada WebDAV para ejecutar cualquier tipo de código en los equipos afectados.
Bugbear.B
Virus muy dañino por estar diseñado para terminar los procesos en memoria de programas que nos protegen de ser infectados ya sean antivirus y firewalls. De esta forma deja al ordenador indefenso ante cualquier tipo de ataque dañino.

Extensiones de archivos peligrosas
En los últimos años las extensiones de los archivos peligrosos de poder contener y ejecutar código malicioso ha aumentado.
Podemos citar como extensiones peligrosas las siguientes:
- formatos ejecutables con extensiones: .EXE y .COM
- .DOT , .DOC
- .XLS , .PPT , .MDB
- .VBS
- .SCR , .PIF

Informacion sobre virus para estas navidades
Han salido dos virus que están teniendo un índice de propagación muy grande, estos virus son el Downloader.L y el Parite.B , ambos se caracterizan porque se hace difícil detectarlos dado que el equipo no tiene síntomas que pudieran delatarlos, no muestran ni mensajes ni avisos.
Downloader.L: Es un troyano que se conecta a internet y que descarga ficheros al disco duro del ordenador afectado. Este virus ha sido desarrollado en Visual C++ 6.0.
Parite.B: Es un virus polimórfico que infecta ficheros con extension EXE y SRC(salvapantallas). Se propaga tanto por internet, como por medios físicos, como por redes corporativas.
Esperemos que en estas navidades ninguno se lleve algún disgusto inesperado, y que todos podamos tomar el turrón tranquilamente.

Top ranking de virus
1-)Dumaru
Worm.W32/Dumaru@MM
2-)Mimail
Worm.W32/Mimail@MM
3-)Mimail.C
Worm.W32/Mimail.C@MM
4-)Gibe.C
Worm.W32/Gibe.C
5-)Klez.H
Worm.W32/Klez.H@MM

Mimail.I
Nueva variante de este gusano rebelde.
Al igual que los anteriores, esta nueva variante esta diseñada para propagarse rápidamente a través del correo electrónico.
En esta variante el asunto del mensaje es: " YOUR PAYPAL.COM ACCOUNT EXPIRES ", mientras que en el cuerpo del mensaje figura un texto en inglés que indica al usuario que debe actualizar su cuenta de PAYPAL debido a que está próxima a caducar.Pero adjunta un fichero que suele llamarse "www.paypal.com.scr" o "paypal.asp.scr." que contiene el verdadero código malicioso que se ejecuta al abrir el mensaje.
Recordamos que este gusano ademas:
-posee su propio motor SMTP
-genera copias de si mismo en el ordenador infectado
-e introduce una entrada en el registro de Windows con el objetivo de asegurar su ejecución cada vez que se reinicie el equipo.

Mimail.C
Mimail.C (o tambien conocido como W32/Mimail.c@MM, I-Worm.WatchNet, W32/Bics@MM)es una de las variantes del gusano Mimail que se propaga a través del correo electrónico con un mensaje cuyo asunto contiene el texto "our private photos".
A su vez contiene un fichero adjunto con doble extensión llamado "PHOTOS.JPG.EXE."
-Peligrosidad:
Realiza ataques de tipo DoS (Denegación de Servicio) contra servidores web.
Por otro lado,crea los siguientes ficheros en el directorio de Windows :EXE.TMP , NETWATCH.EXE , ZIP.TMP y EML.TMP.
-Deteccion:
El cuerpo del mensaje suele ser:
"Hello Dear!, Finally i´ve found possibility to right u, my lovely girl :) All our photos which i´ve made at the beach (even when u´re without ur bh:)) photos are great! This evening i´ll come and we´ll make the best SEX :) Right now enjoy the photos. Kiss, James."

Variantes del gusano Mimail
Han aparecido las nuevas variantes E, F y G del gusano Mimail que se propaga por correo electrónico.
Estas variantes son similares a sus predecesoras, desarrolladas tambien con la finalidad de enviarse masivamente a través de correo electrónico utilizando su propio motor SMTP.
Otras características son:
-intentos de provocar ataques de denegación de servicio a sitios web.
-permanencia de forma residente en la memoria del ordenador.
Detección:
Todas las variantes llegan al equipo en un mensaje de correo electrónico con un asunto que intenta engañar al usuario y conseguir que ejecute el archivo, que en realidad es el gusano.

Top actual de virus
En estos momentos los 3 virus mas comunes en la red son:
- Istbar.H
Es un troyano que instala diferentes programas espía y dialers
- Blaster
Gusano muy conocido ya y que aprovecha la vulnerabilidad de Desbordamiento de búffer en interfaz RPC para propagarse.Afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT.
- Parite.B
Virus de tipo polimórfico.Crea un fichero de tipo dropper que es el que se encarga de infectar ficheros de tipo ejecutable (extensión EXE)y salvapantallas (extensión SRC).

IRCBot.D
Nuevo troyano de tipo backdoor que aparecio ayer dia 7 en los canales del programa IRC enviando masivamente por correo electrónico un mensaje escrito en inglés con el icono de norton antivirus(asunto: Last Update, fichero adjunto: NAV32.EXE.)
El mensaje de esta forma intenta hacer creer al usuario que proviene de una empresa de antivirus.
Realiza acciones como:
-redireccionamiento
-escaneo de puertos
-descargas y ejecución de ficheros
-ataques de denegación de servicio
-envio del backdoor por IRC.
Afecta a las versiones :
Windows 9.x/ME Windows NT/2000/XP.

Ranking de virus mas peligrosos
Informamos tomar medidas contra los 5 virus mas extendidos del momento.Desde Dual Solution informamos la manera de detectarlos:
- Gibe.C(tambien llamado Swen)
Método principal de infección: simula ser un mensaje en formato HTML de Microsoft anunciando un nuevo parche de seguridad adjunto.
- Mimail
Se difunde mediante el envío masivo de correos electrónicos de un mensaje con el anexo "message.zip".
- Dumaru
Se propaga por un correo electrónico en el que el remitente es "security@microsoft.com" y simula ser una recomendación para la instalación de un parche.El asunto suele ser Use this patch immediately !
- Klez.H
Es una variante del WORM_KLEZ.A. Posee una potencial peligrosidad porque intenta eliminar antivirus y software de seguridad del PC infectado, dejándolo indefenso a otras agresiones.Por otro lado se reenvia masivamente utilizando su propio motor SMTP para propagarse vía correo electrónico.Este virus penetra directamente y se ejecuta con sólo abrir el mensaje en versiones no parcheadas de Internet Explorer/Outlook Express.
- Sobig.F
Es un gusano que se recibe primariamente mediante un mail que está en inglés pero con asuntos variables.Posterior a su infección se reenvia por correo electrónico asi como por carpetas compartidas en la red.