Inicio > Mis eListas > atrapados > Mensajes

 Índice de Mensajes 
 Mensajes 1 al 20 
AsuntoAutor
Página sobre secta hemerose
nuevo miembro de l Mamiblu
Re: nuevo miembro Wendolyn
SECTA = ESCLAVITUD Liberto
Copernic resultado América
Yahoo! España resu América
Para Wendolyn Mamiblu
Para Andoni Wendolyn
Re: SECTA = ESCLAV Wendolyn
Fw: Citas sobre la Mamiblu
http://www.superme EL EDITO
Presentación ajcm3000
Hola soy nuevo yanluzif
Fw: dejo la lista Mamiblu
RE: Fw: dejo la li Miguel
RE: Acerca de una EL EDITO
VórticeRadio, los Vórtice
NUEVO VIRUS..es ut Miguel
¡¡ Gracias por su Vórtice
Programación para Vórtice
 << -- ---- | 8 sig. >>
 
Atrapados
Página principal    Mensajes | Enviar Mensaje | Ficheros | Datos | Encuestas | Eventos | Mis Preferencias

Mostrando mensaje 18     < Anterior | Siguiente >
Responder a este mensaje
Asunto:[atrapados] NUEVO VIRUS..es util saber para no infectarse.. Saludos
Fecha:Sabado, 21 de Julio, 2001  01:40:16 (+0200)
Autor:Miguel <minago @........es>

A mi me han entrado 12 emails con este virus adjunto a cada uno de ellos. Es exacto a como lo describe el informe de abajo. No me ha infectado porque sospeché y escribí a la dirección de quien lo enviaba para que me lo confirmara y mientras tanto me ha llegado este informe.
 
Un saludo
 
Miguel
 

El gusano I-Worm.Sircam.c se propaga rápidamente en el mundo hispano
Un nuevo virus informático, el gusano I-Worm.Sircam.c, se expande rápidamente a través del correo electrónico. El virus está consiguiendo una especial relevancia en países de habla hispana, gracias a la utilización del español. Lo hace disfrazado a través de un 'subject' ya utilizado, lo que puede traducirse en revelación de información confidencial.

Viernes, 20 julio 2001
REDACCIÓN, IBLNEWS.com
Se ha detectado un nuevo virus de gusano de muy rápida difusión en el mundo hispanoparlante. El gusano en cuestión recibe el nombre de I-Worm.Sircam.c, tiene su origen en México y se reproduce a través del correo electrónico a gran velocidad, según han recogido boletines especializados como AVP o Hispasec.

El I-Worm.Sircam.c aparece con un "subject" de un antiguo correo y con un mensaje del tipo: "Hola como estas ? Te mando este archivo para que me des tu punto de vista Nos vemos pronto, gracias". Además, la extensión del archivo no aparece como .exe o .vbs, los dos más reconocidos como "transportadores de virus".

La primera extensión del archivo que se adjunta puede ser .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP, mientras que la última y realmente importante puede ser .BAT, .COM, .EXE, .LNK o .PIF. En la configuración por defecto de Windows la segunda extensión no se visualizaría, lo que sin duda puede lograr engañar a los usuarios haciéndoles creer que se trata de un documento inofensivo, según informa Hispasec.

Reproducimos a continuación la información contenida en el boletín de AVP:

"El gusano I-Worm.Sircam.c es extremadamente peligroso, por lo que es recomendable que se actualicen los antivirus a la mayor brevedad.  En la mañana del miércoles 18 se ha realizado una actualización especial alrededor de las 12:00h hora de España con lo que todos los usuarios que hayan actualizado después de esa hora ya tienen protección contra el virus.

Al infectar un ordenador, el virus se copia a sí mismo con el nombre "sirc32.exe" a la carpeta RECYCLED que es el nombre con el que Windows llama a la Papelera de Reciclaje. Este sistema de ocultación es ingenioso porque algunos antivirus, entre los que NO se encuentra el AVP, no comprueban dicha carpeta por defecto. Además, crea una copia de sí mismo en el archivo "scam32.exe" en la carpeta WINDOWSSYSTEM.

También modifica el registro para que ambos programas se ejecuten continuamente, el scam32.exe cada vez que arranca el ordenador, y el sirc32.exe cada vez que se ejecuta un programa EXE. Este método de autoinstalarse para ejecutarse cada vez que se intenta ejecutar un programa EXE también fue utilizado en su momento por el popular virus NAVIDAD.

Dependiendo de ciertas condiciones aleatorias, el virus también se copia a  sí mismo en la carpeta WINDOWS con el nombre "ScMx32.exe" y el la carpeta de Inicio con el nombre "Microsoft Internet Office.exe". Estos dos archivos no son creados siempre, sino solo de forma aleatoria. Finalmente, el virus renombra un archivo del sistema de Windows, el RUNDLL32.EXE como RUN32.EXE y se copia a sí mismo una vez mas, esta vez con el nombre robado de RUNDLL32.EXE

El virus también se reproduce a través de la red local. Todos los ordenadores que estén conectados al ordenador infectado reciben  una copia del archivo Sirc32.exe en la carpeta RECYCLED, y el virus modifica los AUTOEXEC.BAT de los ordenadores remotos para incluir la línea  @win recycledSirC32.exe, que asegura que el virus se ejecute durante el siguiente reinicio del ordenador. El peligro del virus radica en que dependiendo de la fecha y la hora del sistema, el gusano borra información del disco duro.

En una de cada 20 ejecuciones borra todos los archivos de la carpeta WINDOWS y todas las subcarpetas que allí encuentre. En una de cada 50 ejecuciones, el virus crea el fichero SIRCAM.SYS en el directorio raíz del disco duro y escribe uno de los siguientes textos:  [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]  [SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo,  Michoacan Mexico] El virus escribe este texto en el fichero hasta que ocupa todo el espacio libre del disco duro". 

http://iblnews.com/news/noticia.php3?id=19197