Noticias -Llega el segundo virus del mundial eliminando programas antivirus del ordenador

Noticias relacionadas

Nuestras noticias mes a mes

La actualidad (titulares de nuestras ediciones)

noticias de enero
noticias de febrero
noticias marzo 1-15 / 16-31
noticias abril 1-10 / 11-20 / 21-30
noticias mayo 1-10 / 11-20 /11-30
noticias junio 1-10 / 11-20 /21-30
noticias julio 1-10 / 11-20 / 21-30
noticias agosto 1-10 /11-31
noticias septiembre 1-10 -/ 11-20 /21-30
noticias octubre 1-15 / 16-30
noticias noviembre 1-10 - 11/20 -20/30
noticias diciembre 1-10 / 11-20
noticias actuales

Llega el segundo virus del mundial eliminando programas antivirus del ordenador

Ya no basta con la ingeniería social para convencer a los usuarios e infectarlos con nuevos virus. Los desarrolladores de estas plagas incluyen nuevos códigos que desactivan los programas antivirus presentes en las máquinas. Así actúa el Bat.WCup@mm, un nuevo gusano que utiliza el mundial para engañar a los usuarios y que puede llegar a destruir archivos claves para el funcionamiento del PC

El virus llega, como ya viene siendo habitual, por correo electrónico e invita al usuario a abrirlo para conocer las últimas noticias del mundial de fútbol.

Este es el mensaje que le llega al usuario.

Asunto: World Cup News! (Noticias de la Copa del Mundo)
Texto: Read me for more world cup news! (Léame para más noticias de la copa del mundo)
Anexo: Worldcup_score.vbs

Una vez abierto el fichero, el script incluido inicia su actividad. Worldcup_score.vbs, es un archivo batch y el virus, creando diversos ficheros auto ejecutables en el PC con los nombres de los países participantes.

Argentina.bat
Worldcup.bat
World_cup_.bat
Germany.bat
China.bat
Turkey.bat
Russia.bat
Denmark.bat
Wini.bat
Costarica.bat
Spain.bat
Funny.bat
Italy.bat
Worldcup_score.vbs
Japan.vbs
England.vbs
Ireland.vbs
Uraguay.vbs
Paraguay.vbs
Brazil.vbs
Dd.ini
Eyeball.reg
Pif.lnk
Vbs.lnk

Estos archivos son creados en el directorio \Windows o Windows\System, con la excepción del Turkey.bat, que se crea en el menú "inicio", en \Windows\StartMenu\Programs\Startup.

En la raíz del disco C, el gusano crea un fichero con el nombre "ThisIsOnlyASimpleWorm" con lo que es fácilmente identificable para el usuario descubrir si ha sido infectado o no. Los archivos win.ini y system.ini son modificados e incluidos comandos que permitan la ejecución del virus.

Asimilo, el archivo de arranque del equipo "Autoexec.bat" es sobrescrito con el código del gusano y el registro es modificado para que el virus sea ejecutado cada vez que el ordenador sea puesto en marcha.

Como protección para su invisibilidad, el gusano elimina algunos ficheros indispensables para su reconocimiento por los antivirus más populares, como los siguientes.

Progra~1\Norton~1\*.exe
Progra~1\Norton~1\S32integ.dll
Progra~1\Kasper~1\Avp32.exe
Progra~1\Trojan~1\Tc.exe
Progra~1\F-Prot95\Fpwm32.dll
Progra~1 \Mcafee\Scan.dat
Progra~1\Tbav\Tbav.dat
Progra~1\Avpersonal\Antivir.vdf

Como todos los gusanos, una vez activado Bat.WCup@mm envía copias de si mismo a todos los contactos del libro de direcciones de Outlook y modifica el archivo Script.ini del MIRC a fin de expandirlo a través de los canales del IRC.

sábado mayo 24, 2014


	Direcciones de correo electrónico: Editor Angel Cortés - Redacción - Información