[Biologia] ALERTAAAAAA
Ana Garcia Bores
boresana@yahoo.com
Tue, 29 Jan 2002 18:28:07 -0800 (PST)
--- Mario Alfredo Fernández Araiza
<mafa@servidor.unam.mx> wrote:
>
> >Por favor no abran correos de Daniel Tejero que
> traijan un attachmente con algo escrito como Myparty
> ya que contiene virus.
>
> Ademas reenvio mas informacion al respecto, enviada
> por Gunnar.
>
> Saludos
>
> MArio
>
> >Les envío la nota de seguridad de UNAM-CERT.
> >
> >
>
------------------------------------------------------------------
> >
> > UNAM-CERT
> >
> > Departamento de Seguridad en
> Computo
> >
> > DGSCA- UNAM
> >
> > Nota de Seguridad UNAM-CERT
> 2002-001
> >
> > Gusano W32/Myparty.a@MM
> >
> >
>
------------------------------------------------------------------
> >
> >En las ultimos horas el UNAM-CERT ha recibido una
> serie de reportes que
> >indican la existencia nuevo gusano de correo
> electr¢nico denominado
> >W32/Myparty.a@MM que afecta a los sistemas del
> dominio .mx, de la red
> >mundial y de red UNAM.
> >
> >El Equipo de Respuesta a Incidentes UNAM-CERT
> recomienda llevar a cabo las
> >siguientes acciones para poder minimizar el da¤o al
> cual pueden estar expuestos
> >nuestros equipos al ser atacados por este codigo
> malicioso.
> >
> >
> >DESCRIPCIoN
> >- -----------
> >
> >"W32/Myparty" es c¢digo malicioso escrito para
> ejecutarse en los sistemas Windows
> >que se propaga como un attachment de correo
> electr¢nico. El gusano por si
> >mismo no contiene una carga £til destructiva. El
> c¢digo malicioso hace uso de la
> >ingenieria social para incitar a los usuarios a
> ejecutarlo.
> >
> >El correo electr¢nico que transporta a este gusano
> tiene las siguientes
> >caracteristicas:
> >
> >-
>
-----------------------------------------------------------------------------------
> >TEMA: new photos from my party!
> >
> >CUERPO DEL CORREO:
> >Hello!
> >
> >
> >My party... It was absolutely amazing!
> >I have attached my web page with new photos!
> >If you can please make color prints of my photos.
> Thanks!
> >
> >
> >ATTACHMENT: www.myparty.yahoo.com (29KB)
> >
> >El nombre del attachment que contiene el c¢digo
> malicioso, www.myparty.yahoo.com,
> >fue cuidadosamente escogido para tratar de enga¤ar
> al receptor del correo electr¢nico
> >para que lo abra y lo ejecute. El attachment es un
> archivo ejecutable con
> >una extensi¢n .COM, y no un URL. Si se ejecuta el
> attachment, como resultado se
> >infectara la maquina local.
> >
> >-
>
------------------------------------------------------------------------------------
> >
> >Comportamiento en los Sistemas Windows 9x/ME
> >- -------------------------------------------
> >
> >* Si la fecha esta entre el 25 y 29 de Enero
> de 2002, el virus se
> >copia por si mismo en C:\Recycled\regctrl.exe y
> ejecuta este archivo.
> >
> >
> >Comportamiento en los Sistemas Win NT/2K/XP
> >- ------------------------------------------
> >
> >* Si la fecha no est entre el 25 y 29 de
> Enero de 2002, el gusano
> >se copia por si mismo a C:\Recycled como F-[numero
> aleatorio]-[numero
> >aleatorio]-[numero aleatorio] sin ninguna
> extension.
> >
> >* Si la fecha esta entre el 25 y 29 de Enero
> de 2002, el virus se
> >copia por si mismo en C:\regctrl.exe y coloca el
> archivo MSSTASK.EXE en
> >la carpeta de INICIO.
> >
> >MSSTASK.EXE es un troyano BackDoor. Despues de que
> el archivo inicial es
> >ejecutado, es borrado. Si el nombre del archivo
> ejecutable es ACCESS, el
> >usuario es dirigido hacia el sitio web
> www.disney.com.
> >
> >
> >El virus solo intenta propagarse de manera masiva
> por si mismo en las
> >fechas 25, 26, 27, 28 o 29 de Enero de 2002. El
> servidor SMTP por default
> >del usuario actual es recobrado de la siguiente
> clave de registro:
> >
> >* HKEY_CURRENT_USER\Software\Microsoft\Internet
> Account Manager\Accounts\00000001
> >
> >El virus utiliza su servidor FTP para enviarse por
> si mismo a todas las
> >direcciones en la Libreta de Direcciones de Windows
> y direcciones
> >encontradas dentro de los archivos .DBX.
> >
> >
> >Alias del Gusano
> >- ----------------
> >
> >* I-Worm.Myparty (AVP)
> >* MyParty (F-Secure)
> >* W32.Myparty@mm (NAV)
> >* W32/MyParty-A (Sophos)
> >* W32/Myparty@MM
> >* W32/Myparty@MM (Panda)
> >* Win32.MyParty (CA)
> >* Win32.MyParty.A (AVX)
> >* WORM_MYPARTY.A (Trend)
> >
> >
> >Sintomas
> >- --------
> >
> >* Presencia de C:\RECYCLED\REGCTRL.EXE
> (visible desde el prompt de DOS, no
> >desde dentro de Windows).
> >* Presencia de C:\REGCTRL.EXE.
> >* Presencia de %userprofile%\Start
> Menu\Programs\Startup\msstask.exe.
> >
> >
> >IMPACTO
> >- -------
> >
> >W32/Myparty puede causar que el navegador de web
> establecido por default lo ejecute
> >inesperadamente. Asimismo, la v¡ctima y los sitios
> atacados pueden experimentar un
> >incremento de carga en el servidor de correo cuando
> el c¢digo malicioso se est
> >propagando.
> >
> >
> >SOLUCIONES
> >- ----------
> >
> >* Ejecutar y Actualizar su Software Antivirus
> >
> >Es importante que los usuarios mantengan
> actualizado su software
> >antivirus. La mayoria de los vendedores antivirus
> han liberado informacion
> >de actualizacion, herramientas o bases de datos de
> virus para ayudar a
> >detectar y eliminar el gusano W32/Myparty.
> >
> >Aladdin Knowledge Systems
>
>http://www.esafe.com/home/csrt/valerts2.asp?virus_no=10102
> >
> >Central Command, Inc.
>
>http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=020128-000003
> >
> >Command Software Systems
> >http://www.commandsoftware.com/virus/myparty.html
>
=== message truncated ===
__________________________________________________
Do You Yahoo!?
Great stuff seeking new owners in Yahoo! Auctions!
http://auctions.yahoo.com