El gusano, que aparece con el asunto: Tsunami donation! Please help!
(¡Donación para el tsunami! ¡Por favor ayuden!)", invita a los destinatarios a
abrir un anexo llamado "tsunami.exe". Si se abre este documento, el virus
se sirve entonces de la lista de direcciones del usuario para propagarlo a otros
ordenadores.
Según Sophos, el virus también puede atacar páginas web al inundarlas de
peticiones, hasta que el servidor se quede bloqueado.
"Engañar a usuarios inocentes haciéndoles creer que podrían estar ayudando a
los esfuerzos humanitarios muestra que los piratas informáticos ya no tienen
escrúpulos", declaró en un comunicado el consultor jefe de tecnología en
Sophos, Graham Cluley.
La empresa de seguridad informática informó de que este no es el primer mensaje
que se ha aprovechado de la catástrofe en el océano Indico para expandirse. A
primeros de enero, otro gusano propagó el mensaje de que el maremoto era la
venganza de Dios sobre "la gente que cometió actos malos en la tierra".
Nueva versión del timo Nigeriano Además de prevenir a los usuarios
sobre los códigos maliciosos que pueden aprovechar estas catástrofes, las
compañías antivirus alertan de una nueva versión del conocido "timo del
nigeriano" readaptado a las nuevas circunstancias. En este tipo de timos,
los usuarios reciben correos electrónicos a los que se les invita a que
respondan con sus detalles bancarios con el pretexto de ayudar a realizar
masivas transferencias de las que los generosos mecenas podrán recibir una
parte.
Uno de los mensajes dice enviarlo un rico comerciante tailandés, que padece una
enfermedad mortal, ha perdido a su familia en el maremoto y necesita a alguien
que recoja millones de dólares estadounidenses de una empresa de seguridad
europea para distribuirla entre las organizaciones humanitarias.
"Necesito a una persona temerosa de Dios y que se pueda confiar en ella,
capaz de viajar a Europa y recoger estos depósitos de la sede de la compañía de
seguridad", dice el correo.
Sophos recomienda a los usuarios que borren estos mensajes, y que sobre todo,
nunca abran los anexos
Detalles técnicos del W32/Zar.A. Asunto: "Tsunami Donation! Please
help!"
Nombre |
W32/Zar.A |
Nombre NOD32 |
Win32/Zar.A |
Tipo |
Gusano de Internet |
Alias |
Zar, Win32/Zar.A, Bloodhound.W32.VBWORM,
Email-Worm.Win32.Zar.a, I-Worm.generic, NewHeur_PE, W32/Generic.a@MM,
W32/VBSun-A, WIN.WORM.Virus, Win32.Traz.A@mm, Win32/VBMassMail.gen+,
Worm/RaZ32 |
Fecha |
16/ene/05 |
Plataforma |
Windows 32-bit |
Tamaño |
variable |
Gusano escrito en Microsoft Visual Basic que se propaga por correo
electrónico en mensajes con las siguientes características:
Asunto: Tsunami Donation! Please help!
Texto del mensaje:
Please help us with your donation and
view the attachment below!
We need you!
Datos adjuntos: tsunami.exe
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\crssr.exe
c:\windows\raz32.exe
c:\windows\tsunami.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo
instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
Agrega la siguiente entrada al registro, para ejecutarse en cada reinicio
de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CaptionMgr32 = [nombre del gusano]
El gusano se envía a todos los contactos de la libreta de direcciones del
Outlook y Outlook Express, adjunto en un mensaje como el descrito antes.
También intenta llevar a cabo un ataque de denegación de servicio (DoS) al
siguiente dominio:
www.hacksector .de
Reparación manual
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este
artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos
duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\crssr.exe
c:\windows\raz32.exe
c:\windows\tsunami.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera de
reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no
estar presentes ya que ello depende de que versión de Windows se tenga
instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y
pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir
la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la
columna "Nombre", busque y borre la siguiente entrada:
CaptionMgr32
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
|
|