SEGURIDAD 'ON LINE'
Detectan nuevos virus que se difunden a través de MSN



MADRID.- El Centro de Alerta Temprana sobre Virus y Seguridad (CAT) de Red.es ha detectado un nuevo intruso, 'Kelvir.b', que se difunde a través de la mensajería instantánea de MSN, el popular Messenger. El centro de alerta lo ha clasificado de nivel 2, equivalente a peligrosidad baja. Además, la empresa Trend Micro ha informado sobre la existencia de otro virus, 'Worm_fatso.a', que también se propaga vía Messenger.

Ambos gusanos llegan a los ordenadores en forma de enlace a un sitio 'web' a través de la plataforma de mensajería instantánea. Son gusanos residentes en memoria y propagan copias de sí mismos a todos los contactos activos del servicio de mensajería del sistema infectado.
Una vez que se ejecuta el 'Kelvir.b', éste descarga un programa robot ('BOT') que podría abrir "puertas traseras" en las redes.

'Worm_fatso.a' también se propaga a través de la aplicación para compartir archivos 'eMule' y deja varios ficheros en los sistemas afectados con nombres de personas famosas, como por ejemplo "Jennifer Lopez.scr" o con títulos "subidos de tono".

'Kelvir.b' llega en un fichero de 46 Kb aproximadamente de tamaño y 'Worm_fatso.a' en uno de 17 Kb que puede estar comprimido en formato 'mew'.

Mas informacion

-------------------------------------------

El centro de alerta lo ha clasificado de nivel 2, equivalente a peligrosidad baja. Además, la empresa Trend Micro ha informado sobre la existencia de otro virus, "Worm_fatso.a", que también se propaga vía Messenger.

Ambos gusanos llegan a los ordenadores en forma de enlace a un sitio "web" a través de la plataforma de mensajería instantánea. Son gusanos residentes en memoria y propagan copias de sí mismos a todos los contactos activos del servicio de mensajería del sistema infectado.
Una vez que se ejecuta el "Kelvir.b", éste descarga un programa robot ("BOT") que podría abrir "puertas traseras" en las redes.

"Worm_fatso.a" también se propaga a través de la aplicación para compartir archivos "eMule" y deja varios ficheros en los sistemas afectados con nombres de personas famosas, como por ejemplo "Jennifer Lopez.scr" o con títulos "subidos de tono".

"Kelvir.b" llega en un fichero de 46 Kb aproximadamente de tamaño y "Worm_fatso.a" en uno de 17 Kb que puede estar comprimido en formato "mew".

Los dos gusanos afectan a plataformas Windows 95, 98, ME, NT, 2000 y XP.

Fuente

Saludos

A partir del día 7 de Marzo de 2005 a las 3:05 AM, Trendlabs ha declarado una alerta amarilla para controlar la propagación de WORM_KELVIR.B y WORM_FATSO.A.

Idioma: Inglés
Platforma: Windows 95, 98, ME, NT, 2000, XP
Encriptado: No
Tamaño del virus: 17,429 Bytes
Lista de virus que lo detecta: 460 (2.460.00)
Motor de busqueda que lo detecta: 6.810
Descubierto hace: 9 horas.
Tipo de virus: Worm
Destructivo: No
Alias: no se detectaron alias
Descripción:

• WORM_KELVIR.A:

Este nuevo gusano se propaga a través del MSN Messenger. El gusano intenta enviar el siguiente mensaje a todos los contactos online de MSN Messenger de un usuario afectado:

"omg this is funny! http://jose.ria4.home.att.net/cute.pif"

Cuando el usuario hace click en la antedicha URL, este gusano instala una copia de si mismo, llamada CUTE.PIF, desde la misma URL. Después de copiarse, este archivo es ejecutado y luego baja otro archivo de tipo malware desde Internet el cual es detectado por Trend Micro como WORM_SDBOT.AUI.

• WORM_FATSO.A

Es un virus residente en memoria que ingresa al sistema a través del MSN Messenger. Distribuye copias de si mismo a todos los contactos online del MSN Messenger de un sistema afectado al envíar un mensaje instantáneo conteniendo un link que, un vez clickeado, instala una copia del mismo en el sistema del receptor. Tiene la habilidad de propagarse vía emule, un conocido programa para compartir archivos puerto-a-puerto. (P2P peer to peer). También es capaz de redirigir usuarios infectados a cierto web site, que al momento de esta notificación ya no se encuentra disponible; este comportamiento se repite cada vez que el usuario accede a Web Sites relacionados con antivirus o compañías de seguridad.

También puede terminar ciertos procesos que se estuvieran ejecutando, y no permitirles ejecutarse mientras él recida en memoria.

Instala muchos archivos en el sistema infectado, uno de los archivos instalados es un archivo de texto (txt) el cual lleva el siguiente mensaje:

Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking Saving the world from Bropia, the world n33ds saving from you!

'-S-que-Y-'-D-E-V-I-L-'

Detalles:

Arribo e instalación:

Este gusano llega al sistema vía MSN Messenger.

Luego de su ejecución, instala los siguientes archivos maliciosos en la carpeta raíz del sistema (Usualmente C:):

Annoying crazy frog getting killed.pif
Crazy frog gets killed by train!.pif
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
lspt.exe
Me on holiday!.pif
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
Crazy-Frog.Html
Message to n00b LARISSA.txt
Dentro de la carpeta raíz los siguientes archivos inocuos:
Crazy-Frog.Html
Message to n00b LARISSA.txt
British National Party.jpg
Y estos archivos en ciertas carpetas tal como se detalla a continuación:

%System%FORMATSYS.EXE
%System%SERBW.EXE
%Windows%MSMBW.EXE
(Nota: %System% es la carpeta de sistema de Windows, la cual es usualmente C:WindowsSystem en Windows 95, 98 and ME, C:WINNTSystem32 en Windows NT and 2000, y C:WindowsSystem32 on Windows XP. %Windows% es la carpeta de Windows por defecto , usualmente C:Windows or C:WINNT.)

Técnica de Autorun:

Crea las siguientes entradas en el registro para poder ejecutar los archivos que ya ha instalado, cada vez que arranque el sistema

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
%Random Value% = "%Windows%msmbw.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPoliciesExplorerRun
%Random Value% = "%Windows%msmbw.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices
%Random Value% = "%Windows%msmbw.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionpoliciesExplorerRun
%Random Value% = "%Windows%msmbw.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
%Random Value% = "%Windows%msmbw.exe"
Nota: %Random Value% puede ser cualquiera de los siguientes:

ltwob
serpe
avnort
Copia los siguientes archivos en la carpeta C:Documents and Settings%Username%Local SettingsApplication DataMicrosoftCD Burning

AUTORUN.EXE
AUTORUN.INF
Nota: %Username% se refiere al usuario logueado al momento de copiarse.

AUTORUN.EXE es una copia de este gusano, mientras que, AUTORUN.INF sirve como la rutina de auto inicio para ejecutar AUTORUN.EXE. Hace esto para poder copiarse el mismo a un CD mientras si el usuario afectado esta grabando uno, y luego es ejecutado automáticamente desde el CD cuando este es leído por el sistema.

Otras modificaciones al Registro de Windows:

Puede también añadir o modificar la siguiente entrada del registro para habilitar la herramienta de SYTEM RESTORE, de manera que el virus pueda ser incluido entre los archivos a ser restaurados en caso de que el usuario restaure el sistema:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft
Windows NTSystemRestore
DisableSR = "0"
DisableConfig = "0"

Propagación vía Mensajeria Instantánea

Se propaga vía MSN. Messenger. Envía un mensaje instantáneo a todos los contactos online del usuario afectado de manera que contenga un link a un sitio de Internet en particular.

Cuando el usuario hace clic en este link, una copia de este gusano es instalada en el sistema.

Propagación a través de Redes de comparición de archivos puerto a puerto

Este archivo malware también se propaga vía eMule. Se copia a si mismo con el siguiente nombre a la carpeta %Program Files%Program FileseMuleIncoming del sistema afectado:

Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe
Antivirus Retaliation
También realiza una modificación del archivo HOSTS file para redirigir a los usuarios afectado al siguiente sitio Web cuando intenten acceder a sitios relacionados con antivirus o compañías de seguridad:

64.2.167.104
Al momento de esta notificación, el sitio no se encuentra disponible.

Esto sucede cuando un usuario accede a los siguientes sitios:

www.symantec.com
www.sophos.com
www.mcafee.com
www.viruslist.com
www.f-secure.com
www.avp.com
www.kaspersky.com
www.networkassociates.com
www.ca.com
www.my-etrust.com
www.nai.com
www.trendmicro.com
www.grisoft.com
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
www.pandasoftware.com
uk.trendmicro-europe.com

El Laboratorio de Trend Micro va a estar lanzando los siguientes elementos de prevención:

TMCM Outbreak Prevention Policy 154
Official Pattern Release 2.476.00
Damage Cleanup Template 550

Instrucciones de remoción automática

Para remover automáticamente este software maligno de su sistema, por favor utilice el Damage Cleanup Service de Trend Micro.

Descargue la herramienta del siguiente link:
http://www.trendmicro.com/download/dcs.asp, luego descomprímala y cópiela a la carpeta de Serverofcscanadmin de su servidor de OfficeScan.

Para mas información sobre WORM_KELVIR.B y WORM_FATSO.A, puede visitar nuestro sitio en la siguiente página:
http://www.trendmicro.com/vinfo/virusencyc...e=WORM_KELVIR.B

http://www.trendmicro.com/vinfo/virusencyc...me=WORM_FATSO.A

FUENTE

waw gracias por el aviso seria bueno saber que compañias ofrecen ya las definiciones para detener este virus.