[Biologia] ALERTAAAAAA
Mario
Mario
Tue, 29 Jan 2002 11:17:31 -0600
>Por favor no abran correos de Daniel Tejero que traijan un attachmente con=
algo escrito como Myparty ya que contiene virus.
Ademas reenvio mas informacion al respecto, enviada por Gunnar.
Saludos=20
MArio
>Les env=EDo la nota de seguridad de UNAM-CERT.
>
> ------------------------------------------------------------------
>
> UNAM-CERT
>
> Departamento de Seguridad en Computo
>
> DGSCA- UNAM
>
> Nota de Seguridad UNAM-CERT 2002-001
>
> Gusano W32/Myparty.a@MM
>
> ------------------------------------------------------------------
>
>En las ultimos horas el UNAM-CERT ha recibido una serie de reportes que
>indican la existencia nuevo gusano de correo electr=A2nico denominado
>W32/Myparty.a@MM que afecta a los sistemas del dominio .mx, de la red
>mundial y de red UNAM.
>
>El Equipo de Respuesta a Incidentes UNAM-CERT recomienda llevar a cabo las
>siguientes acciones para poder minimizar el da=A4o al cual pueden estar=
expuestos
>nuestros equipos al ser atacados por este codigo malicioso.
>
>
>DESCRIPCIoN
>- -----------
>
>"W32/Myparty" es c=A2digo malicioso escrito para ejecutarse en los sistemas=
Windows
>que se propaga como un attachment de correo electr=A2nico. El gusano por si
>mismo no contiene una carga =A3til destructiva. El c=A2digo malicioso hace=
uso de la
>ingenieria social para incitar a los usuarios a ejecutarlo.
>
>El correo electr=A2nico que transporta a este gusano tiene las siguientes
>caracteristicas:
>
>-=
---------------------------------------------------------------------------=
--------
>TEMA: new photos from my party!
>
>CUERPO DEL CORREO:
>Hello!
>
>
>My party... It was absolutely amazing!
>I have attached my web page with new photos!
>If you can please make color prints of my photos. Thanks!
>
>
>ATTACHMENT: www.myparty.yahoo.com (29KB)
>
>El nombre del attachment que contiene el c=A2digo malicioso,=
www.myparty.yahoo.com,
>fue cuidadosamente escogido para tratar de enga=A4ar al receptor del correo=
electr=A2nico
>para que lo abra y lo ejecute. El attachment es un archivo ejecutable con
>una extensi=A2n .COM, y no un URL. Si se ejecuta el attachment, como=
resultado se
>infectara la maquina local.
>
>-=
---------------------------------------------------------------------------=
---------
>
>Comportamiento en los Sistemas Windows 9x/ME
>- -------------------------------------------
>
>* Si la fecha esta entre el 25 y 29 de Enero de 2002, el virus se
>copia por si mismo en C:\Recycled\regctrl.exe y ejecuta este archivo.
>
>
>Comportamiento en los Sistemas Win NT/2K/XP
>- ------------------------------------------
>
>* Si la fecha no est entre el 25 y 29 de Enero de 2002, el gusano
>se copia por si mismo a C:\Recycled como F-[numero aleatorio]-[numero
>aleatorio]-[numero aleatorio] sin ninguna extension.
>
>* Si la fecha esta entre el 25 y 29 de Enero de 2002, el virus se
>copia por si mismo en C:\regctrl.exe y coloca el archivo MSSTASK.EXE en
>la carpeta de INICIO.
>
>MSSTASK.EXE es un troyano BackDoor. Despues de que el archivo inicial es
>ejecutado, es borrado. Si el nombre del archivo ejecutable es ACCESS, el
>usuario es dirigido hacia el sitio web www.disney.com.
>
>
>El virus solo intenta propagarse de manera masiva por si mismo en las
>fechas 25, 26, 27, 28 o 29 de Enero de 2002. El servidor SMTP por default
>del usuario actual es recobrado de la siguiente clave de registro:
>
>* HKEY_CURRENT_USER\Software\Microsoft\Internet Account=
Manager\Accounts\00000001
>
>El virus utiliza su servidor FTP para enviarse por si mismo a todas las
>direcciones en la Libreta de Direcciones de Windows y direcciones
>encontradas dentro de los archivos .DBX.
>
>
>Alias del Gusano
>- ----------------
>
>* I-Worm.Myparty (AVP)
>* MyParty (F-Secure)
>* W32.Myparty@mm (NAV)
>* W32/MyParty-A (Sophos)
>* W32/Myparty@MM
>* W32/Myparty@MM (Panda)
>* Win32.MyParty (CA)
>* Win32.MyParty.A (AVX)
>* WORM_MYPARTY.A (Trend)
>
>
>Sintomas
>- --------
>
>* Presencia de C:\RECYCLED\REGCTRL.EXE (visible desde el prompt de=
DOS, no
>desde dentro de Windows).
>* Presencia de C:\REGCTRL.EXE.
>* Presencia de %userprofile%\Start Menu\Programs\Startup\msstask.exe.
>
>
>IMPACTO
>- -------
>
>W32/Myparty puede causar que el navegador de web establecido por default lo=
ejecute
>inesperadamente. Asimismo, la v=A1ctima y los sitios atacados pueden=
experimentar un
>incremento de carga en el servidor de correo cuando el c=A2digo malicioso=
se est
>propagando.
>
>
>SOLUCIONES
>- ----------
>
>* Ejecutar y Actualizar su Software Antivirus
>
>Es importante que los usuarios mantengan actualizado su software
>antivirus. La mayoria de los vendedores antivirus han liberado informacion
>de actualizacion, herramientas o bases de datos de virus para ayudar a
>detectar y eliminar el gusano W32/Myparty.
>
>Aladdin Knowledge Systems
>http://www.esafe.com/home/csrt/valerts2.asp?virus_no=3D10102
>
>Central Command, Inc.
>http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.p=
hp?p_refno=3D020128-000003
>
>Command Software Systems
>http://www.commandsoftware.com/virus/myparty.html
>
>Computer Associates
>http://www3.ca.com/solutions/collateral.asp?CT=3D65&ID=3D1323
>
>F-Secure Corp
>http://www.datafellows.com/v-descs/myparty.shtml
>
>McAfee
>http://vil.mcafee.com/dispVirus.asp?virus_k=3D99332&
>
>Norman Data Defense Systems
>http://www.norman.com/virus_info/w32_myparty_a_mm.shtml
>
>Panda Software
>operacion=3DEV2FichaVirus&pestanaFicha=3D0&idioma=3D1&nombreVirusFicha=3DW3=
2/Myparty@MM
>
>Proland Software
>http://www.pspl.com/virus_info/worms/myparty.htm
>
>Sophos
>http://www.sophos.com/virusinfo/analyses/w32mypartya.html
>
>Symantec
>http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.myparty@mm.h=
tml
>
>Trend Micro
>http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=3DWORM_MYPAR=
TY.A
>
>
>Tomar Precauciones Cuando se Abran Attachments
>- ----------------------------------------------
>
>Se deben tomar precauciones cuando se reciben correos con attachments. Los=
usuarios
>deben ser cuidadosos cuando se reciban correos con attachments de un origen=
poco
>confiable. Los usuarios deben escanear los archivos recibidos a traves de
>correos electr=A2nicos con un producto antivirus.
>
>
>Filtrar el correo electr=A2nico o utilizar un firewall
>- ----------------------------------------------------
>
>
>Los sitios pueden utilizar tecnicas de filtrado para borrar mensajes que
>contienen temas conocidos que por lo regular transportan c=A2digo malicioso
>o para filtrar todos los attachments.
>
>INFORMACI=E0N
>- -----------
>
>Para mayor informaci=A2n acerca de esta nota de seguridad contactar a:
>
>- --
> UNAM-CERT
> Equipo de Respuesta a Incidentes UNAM
>
>Departamento de Seguridad en Computo
>DGSCA, UNAM E-mail: unam-cert@seguridad.unam.mx
>Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
>Del. Coyoacan WWW: http://www.seguridad.unam.mx
>04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
>
>-----BEGIN PGP SIGNATURE-----
>Version: 2.6.3i
>Charset: cp850
>
>iQEVAwUBPFbBsnAvLUtwgRsVAQH38gf/W88YcrjtuQp3IWE/6KZNogpb7ZBvVuOY
>RxhY39OzqcTD++zJg/o5hwUGspiR41Bi1R99qJ063QdfOjMCybgCiaJdFypIdbAX
>oIatflgE9ylyEzDld49wLge6dA4xBPEH9dUZzpfOMSwkqqW30YO1fWPJcBK6oKMe
>GXXuzL5DwvDh3QTPw9SrdSf/x2Rz/zr0Mk/EIoBR6wQB0Gn2TQOJyfShSHCEwrhd
>AON1Q6IV/3tYzqrPOevY6NbiKP14HWU9BdqQdqtaDPSPB1MbkkhMIJB6hmRxhqbt
>7Mhdivxqz2ua3za3Y2VmGZqg0jFHztxRhx1bu2W01MVUruu02MXAJQ=3D=3D
>=3DdSDf
>-----END PGP SIGNATURE-----
>
>
>_______________________________________________
>Lista de Correo Asc-avisos
>Para enviar un Mensaje a esta lista dirigirlo a :=
Asc-avisos@seguridad.unam.mx
>Archivos de esta lista=
:http://www.seguridad.unam.mx/mailman/listinfo/asc-avisos
>Dar de baja de esta lista http://www.seguridad.unam.mx/unsubscribe.html
>_______________________________________________
>
>
>
>_______________________________________________
>Academia mailing list
>Academia@tlali.iztacala.unam.mx
>http://tlali.iztacala.unam.mx/mailman/listinfo/academia