Originalmente enviado por juanmax
Ésto es lo que aparece y es el segundo que he recibido ya, como veis viene con un archivo .exe que por supuesto no he abierto...
"De Hahaha
Fecha Sábado, Diciembre 23, 2000 11:36 am
Asunto Enanito si, pero con que pedazo!
Archivos adjuntos enano.exe 23K
Faltaba apenas un dia para su aniversario de de 18 años. Blanca de Nieve fuera
siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande*
sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo
incomun en los ojos..."
Virus Worm.Hybris
--------------------------------------------------------------------------------
Aliases: I-Worm.Hybris, W32/Hybris.gen@M, W32/Hybris.B.
Tipo: Gusano de Internet.
Gravedad: Media
Origen: Desconocido
Información: Un gusano de internet capaz de autoenviarse por correo electrónico, y además, con la posibilidad de ejecutar "plugins" según su necesidad, y bajar nuevos de la web.
Características: Se trata de un virus que se propaga via Internet a través de archivos adjuntos a un mensaje de correo. Solamente funciona bajo sistemas Win32, y contiene componentes en su código (en forma de "plugins" o agregados), que son ejecutados dependiendo de sus necesidades, y que además pueden ser actualizados desde un sitio Web. El código del worm está encriptado, y contiene el siguiente texto:
HYBRIS
(c) Vecna
El principal blanco para la acción del virus es la librería WSOCK32.DLL, usada por Windows para las comunicaciones. Al infectar este archivo, el gusano se agrega al final del mismo.
A partir de allí, intercepta las funciones "connect", "recv" y "send".
Luego modifica la rutina de entrada del WSOCK32.DLL (la rutina que es activada cuando el DLL es cargado), y encripta la rutina original.
Si el virus no puede infectar a este archivo (en el caso de que el mismo estuviera en uso), el gusano crea una copia de WSOCK32.DLL con un nombre al azar y procede enseguida a infectarla. Luego agrega las instrucciones necesarias al archivo WININIT.INI de Windows, de modo que en el próximo reinicio del sistema operativo, esta copia tomará el lugar del verdadero WSOCK32.DLL.
También crea una copia de si mismo, y modifica el registro para ejecutarse una única vez en el próximo arranque de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Default} = C:\Windows\System\Nombre_del_gusano
o
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Default} = C:\Windows\System\Nombre_del_gusano
El camino C:\Windows\System\ puede variar si Windows está instalado en una carpeta diferente, y "Nombre_del_gusano" es un nombre elegido al azar, por ejemplo:
CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE
Parece existir una sola razón para que el virus registre una copia adicional en la clave "RunOnce": que no se hubiera infectado el archivo WSOCK32.DLL la primera vez, y que su copia infectada no hubiera podido crearse por alguna razón. De este modo el gusano se asegura completar la tarea en el próximo reinicio de Windows.
Con el WSOCK32 infectado, el virus intercepta las funciones de Windows que establecen una conexión a una red, incluida por supuesto Internet. El gusano filtra todos los datos que se envían y se reciben, y los examina en busca de direcciones de email. Cuando las encuentra, el worm espera un tiempo, antes de enviarle un mensaje infectado a estas direcciones.
Los Plugins
La funcionalidad del gusano depende del plugin que se guarda dentro del código encriptado del virus. Esta encriptación utiliza un algoritmo similar al RSA, con una llave de 128 bits. Se han encontrado hasta 32 plugins diferentes en otras tantas versiones del virus. Estos, realizan diferentes acciones y pueden ser actualizados desde una página Web. De ese modo la funcionalidad completa del gusano depende de la capacidad de su host para conectarse a esa página y actualizarse. Los plugins encontrados, también están encriptados con el mismo algoritmo.
Acciones realizadas por los plugins conocidos
* Infectar todo archivo ZIP y RAR (archivos comprimidos) en todos los unidades de disco disponibles de la C: a la Z:. Cuando infecta, el virus renombra los archivos .EXE en esos formatos con la extensión .EX$, y luego agrega su propia copia con la extensión .EXE y el mismo nombre. Es el clásico método de infección conocido como "companion" (compañero), o sea un archivo infectado con el mismo nombre que el archivo original, pero que se ejecuta antes que este y luego de su acción le pasa el control.
* Enviar mensajes infectados al grupo de noticias (newsgroups) "alt.comp.virus".
* Seleccionar al azar el asunto, texto del mensaje y nombre del adjunto, cuando envía sus mensajes infectados. Estos mensajes se arman con la siguiente información (en las versiones actuales del virus):
Remitente:
Hahaha
hahaha@sexyfun.netAsuntos:
(se selecciona uno al azar)
Snowhite and the Seven Dwarfs - The REAL story!
Branca de Neve pornô!
Enanito si, pero con que pedazo!
Les 7 coquir nains
Cuerpo del mensaje:
(se selecciona uno al azar):
C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aidé 'blanche neige' toutes ces années après qu'elle se soit enfuit de chez sa belle mère, lui avaient promis une "grosse" surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin...
Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at mornign, they promissed a "huge" surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...
Faltaba apenas un dia para su aniversario de de 18 años. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una "grande" sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...
Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 anões prometeram uma "grande" surpresa. As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um estranho brilho no olhar...
(Obsérvense los errores de sintaxis y gramaticales en algunas de las versiones, incluida la española).
Nombres de los archivos adjuntos:
(se selecciona uno al azar)
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe
sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe
blancheneige.exe
sexynain.scr
blanche.scr
nains.exe
branca de neve.scr
atchim.exe
dunga.scr
anão pornô.scr
Para quitar el virus y limpiar su sistema
Primero, ejecute un antivirus actualizado.
Luego debe recuperar el archivo WSOCK32.DLL original.
En Windows 98
1. Pinche en Inicio, Ejecutar, escriba SFC y pulse ENTER o pinche en ACEPTAR.
2. Seleccione "Extraer un archivo del disco de instalación".
3. En "Especifique el archivo que desee usar" teclee: WSOCK32.DLL y pinche en Iniciar.
4. En la ventana "Restaurar de:" seleccione la unidad de CD y la carpeta de instalación de Windows en el CD original, por ejemplo: D:\WIN98
Pulse en Aceptar y siga las instrucciones.
En Windows 95
1. Pinche en Inicio, Apagar el sistema, Reiniciar en Modo MS-DOS.
2. Inserte el CD de Windows 95 y teclee:
EXTRACT /A D:\WIN95\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM
(Cambie la letra D:\ por la unidad de CD en su sistema, si no fuera esta).
Para desinfectarse o detectarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí.
Fuente: Kaspersky (AVP) y McAfee / Virus Attack / Mo. de Administraciones Públicas
Pues eso es todo por ahora.
PD:-En este mens. no pongo los smilies que normalmente pongo.
