ImoqLand - The Land of Imoq (duh!)

¡Cuidado! ¡Virus!

por ·

Envié este email a mis amigos, creo que es importante que todo mundo se entere:

A la gente con quien trabajo, amigos y conocidos en general:

Este mensaje es un tanto largo PERO VALE LA PENA QUE LO LEAN, SI QUIEREN ESTAR PROTEGIDOS.

Ya saben que yo no acostumbro a enviar mensajes masivos (de hecho, es muy probable que éste sea el primer mensaje masivo que reciban de mi parte, y espero que el último), pero la gravedad de la situación lo amerita.

A partir del día 16 de julio (hace apenas 4 días) un nuevo virus empezó a azotar latinoamérica. Desgraciadamente no es un virus inofensivo, y tiene el potencial de causar más problemas incluso de los que causaron los virus «melissa» y «I love you» tan sonados recientemente.
Las características de este nuevo virus, llamado W32/SirCam@MM, a grandes razgos son las siguientes:

El virus es recibido por medio de un mensaje de correo electrónico QUE VIENE DESDE LA DIRECCIÓN DE EMAIL DE ALGUIEN QUE CONOCEMOS (puesto que nos tiene en su lista de direcciones de correo electrónico), en el cuerpo del mensaje viene el texto:

» Hola como estas ?
Te mando este archivo para que me des tu punto de vista»

Y viene adjunto algún archivo (que siempre se llama diferente) que aparentemente es un documento de microsoft office (salvados estamos los que no usamos windows) pero que en realidad tiene dos extensiones (como curriculum vitae.doc.com, por ejemplo) siendo la mayoría de ocasiones desconocido para los usuarios las extensiones, dan doble click el archivo, «lo ejecutan» y comienza el martirio:

El virus se autoenvía a todas las direcciones de correo de windows, además de las direcciones que encuentre en caché, y adjunta ALGÚN DOCUMENTO encontrado en «Mis Documentos» (pueden ser gráficos, documentos de word, etc.) infectado con él mismo. Posteriormente modifica el registro de windows pra que el virus se active CADA QUE SE EJECUTA UN ARCHIVO .EXE, es decir, cada que se abra el block de notas, la calculadora, editor de textos, etc. el virus está presente.

Es un dolor de cabeza para mí, como administrador de red… como he implementado en varios sistemas un filtro antivirus (salvados del martirio están los que lo tienen) que me avisa cada que una de estas graciosadas intenta infectar un buzón de correo electrónico, he recibod más de 1,500 (sí, mil quinientos) mensajes desde hace 3 días de intentos de infección del virus. Así de grave está la situación en latinoamérica en general, y esto crece exponencialmente.

Ahora, ¿cómo estar protegidos? En la siguiente página de McAfee, podrán encontrar informaicón para poder quitar el virus manualmente si es que ya lo tinene (Y desgraciadamente algunos de los destinatarios de este mensaje están infectados, como Héctor por ejemplo, qu ehe recibido documentos confidenciales desde su carpeta de «Mis Documentos», pero los he borrado) y también la manera de protegerse.

La dirección en cuestión es:

http://www.mcafee.com/anti-virus/viruses/sircam/default.asp?cid=2360

POR FAVOR, avísenle a todos sus conocidos y amigos, pueden reenviar este mensaje o las partes que consideren pertinentes del mismo, solamente con educación y conocimiento podremos parar esta infección exponencial.

Les envío saludos cordiales,

Alejandro González Hernández – Imoq
Administrador de Sistemas
http://www.mgdhost.com/

También te podría gustar...

2 Respuestas

  1. Imoq dice:
    24 julio, 2001 a las 6:43 PM

    Adriana me ha enviado este email con información actualizada:

    A todos aquellos que han contraido este virus y a los que aun pueden evitarlo. Saludos.

    Ubican al virus «Sircam» en nivel de riesgo alto

    * 80 corporativos afectados en México

    México, 23 Jul (Notimex).- El fabricante de programas antivirus, McAfee, elevó hoy a «riesgo alto» la categoría de peligrosidad del virus informático «SirCam», ante su rápida proliferación y precisó que ya afecta al menos a 80 empresas corporativas en México.

    La filial mexicana de la firma estadunidense anunció en un comunicado que sólo este día ha recibido más de 300 reportes de ataques del virus informático en sus laboratirios en California. El programa destructivo fue lanzado a Internet el pasado martes 17 de julio. Agregó que el virus, cuyo nombre téncino es «W32/SirCam@MM», tiene origen desconocido aunque al parecer proviene de un pais hispano ya que puede ser recibido mediante un correo electronico con un mensaje en español.

    Wendy López, gerente de soporte técnico de McAfee -México, agregó que en en ese país hay más de 80 casos reportados de usuarios corporativos en total, mientras en países como Chile se han recibido máas de 150 casos y en Argentina mas de 50.

    «Recomendamos especialmente a los usuarios que se aseguren de escanear los archivos con extensiones .LNK y .PIF ya que se ha identificado como un medio de propagacion», agregó la especialista. Sugirió a los usuarios de Intrnet conectarse a la dirección http://www.mcafee.com/myapps/vso/default.asp, o mandar un un ejemplo a http:// http://www.webimmune.net para ser analizado.

    El virus SirCam intenta enviarse a si mismo y a documentos locales, a todos los usuarios encontrados en la Libreta de Direcciones de Windows (Windows Address Book), y a las direcciones de correo encontradas en los archivos temporales de Internet.

    Este virus puede ser recibido mediante un correo electrónico conteniendo la siguiente información:

    «Hola como estas ?» «Te mando este archivo para que me des tu punto de vista», «Espero me puedas ayudar con el archivo que te mando», «Espero te guste este archivo que te mando», «Este es el archivo con la información que me pediste» «Nos vemos pronto, gracias». Adjunto al mensaje se encuentra un documento con una doble
    extensión (el nombre del archivo varía). La primera extensión hace referencia al tipo de
    archivo infectado por el virus.

    Este virus también se copia a si mismo al directorio del sistema, y crea la
    siguiente llave para ser ejecutado automaticamente: En tanto, la empresa fabircante de programas antivirus, Symantecm lanzó una alerta por la propagación SirCam, al parecer
    creado en México, y agregó que hasta ahora han sido afectados más de cinco mil usuarios de 50 países.

    Rafael García, gerente de ingeniería de Symantec, indicó que el martes pasado se detectó la diseminación de SirCam, cuyos códigos están actividados para borrar el próximo 16 de octubre los archivos de los equipos infectados

    Dijo que a la fecha su empresa ha recibido reportes de más de cinco mil usuarios afectados en más de 50 naciones, de los cuales entre 500 y 660 son empresas y consorciosos del sector público y privado, así como domicilios particulares de México.

    Responder
  2. Imoq dice:
    26 julio, 2001 a las 3:42 PM

    Hay más información, nunca puede ser demasiada cuando se trata de estar bien protegido. Esta información me llegó a mi buzón de correo, de parte de Azevrec (reproducido sin permiso).

    Amigos:

    Después de dos días en los que el disco duro de mi máquina estuvo a punto de ser reformateado por culpa de un virus y a pesar de que prometí no enviar cadenas sobre este tipo de alertas, creo que es pertinente enviarles esta información:

    Hay un virus conocido como Sircam que se esta propagando rápidamente en la red. El virus llega en un correo electrónico con un archivo adjunto que, obviamente, NO DEBEN ABRIR. El mensaje llega de personas con las cuales usted se comunica diariamente ya que el virus se envía automáticamente a todos las direcciones que estén creadas en la libreta de direcciones. El mensaje que se autoenvía se compone de la siguiente forma:

    Asunto: [nombre del archivo adjunto sin extensión]

    Cuerpo:

    Primera línea: «Hola como estas ?»

    Línea central: [alguna de las siguientes frases al azar]
    «Te mando este archivo para que me des tu punto de vista»
    «Espero me puedas ayudar con el archivo que te mando»
    «Espero te guste este archivo que te mando»
    «Este es el archivo con la informacion que me pediste»

    Última línea: «Nos vemos pronto, gracias.»

    Adjunto: [archivo con doble extensión]

    La primera extensión del archivo que se adjunta puede ser .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP, mientras que la última y realmente importante puede ser .BAT, .COM, .EXE, .LNK o .PIF. En la configuración por defecto de Windows la segunda extensión no se visualizaría, lo que sin duda puede lograr engañar a los usuarios haciéndoles creer que se trata de un documento inofensivo.

    Las cadenas de texto de la versión en ingles son las siguientes:

    Primera línea: «Hi! How are you?»

    Central:
    «I send you this file in order to have your advice»
    «I hope you can help me with this file that I send»
    «I hope you like the file that I send you»
    «This is the file with the information that you ask for»
    Última línea: «See you later. Thanks»

    Cuando el gusano se ejecuta en un sistema se sitúa en la Papelera de reciclaje de Windows copiándose cómo C:RECYCLEDSirC32.exe. Esta carpeta suele permanecer oculta en Windows, además algunos antivirus la tienen excluida de sus análisis según la configuración por defecto.

    El gusano también añade una entrada al registro de Windows para asegurarse que SirCam se carga en memoria cada vez que un archivo .EXE es ejecutado: HKCRexefileshellopencommandDefault=»C:
    ecycledSirC32.exe» «%1» %* Otra copia renombrada como SCam32.exe la sitúa en la carpeta WindowsSystem, así como una nueva entrada en el registro para asegurar su activación cada vez que se inicia el sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesDriver32=C:WINDOWSSYSTEMSCam32.exe

    A continuación SirCam crea una lista con los nombres de los archivos que encuentra en la carpeta Mis Documentos y cuyas extensiones sean .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP. El listado lo almacena en el archivo SCD.DLL en WindowsSystem. De forma similar recoge en la misma carpeta, bajo el nombre de archivo SCD1.DLL, una lista con todas las direcciones de correo electrónico que encuentra en la libreta de direcciones de Windows y en la carpeta de archivos temporales de Internet. El segundo y tercer carácter del que encuentra en la libreta de direcciones de Windows y en la carpeta de archivos temporales de Internet. El segundo y tercer carácter del nombre de los archivos .DLL donde almacena las listas puede variar al azar.

    El gusano contiene su propia rutina SMTP para autoenviarse a las direcciones que tiene almacenadas en la lista SCD1.DLL. Para componer el archivo infectado a enviar el gusano se copia al principio de alguno de los archivos listados en SCD.DLL añadiendo al final la segunda extensión. De esta forma consigue distintas apariencias según va infectando sistemas.

    Direcciones de Información:


    http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Sircam


    http://www.symantec.com/avcenter/venc/data/[email protected]

    Antivirus.com

    Direcciones de Antivirus:

    http://housecall.antivirus.com/pc_housecall
    http://download.cnet.com/downloads/0,10151,0-10093-106-0-1-0,00.html?tag=dir
    http://webware.cnet.com/p/li/2-1196-1201.asp

    Espero que esta información les sea de utilidad.

    José M. Saucedo

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *