Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[FT] Virus Mydoom en fase C

31/01/2004 - 16:03 por Jorge Zeledon | Informe spam
Ayuda Hacer una pregunta
Esto realmente nos compete, pues según un investigador ruso, este virus en
su siguiente fase será capaz de escribir en el Flash BIOS lo que puede
provocar la apertura de una puerta trasera en el TCP, solucionable sólo
volviendo a cargar o actualizar el Flash BIOS. Es de preocuparse, cierto?
Saludos :.


Pego la info de VSantivirus:

VSantivirus No. 1303 Año 8, sábado 31 de enero de 2004
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_________________________________________________________

1 - Investigador ruso dice que el Mydoom sería más peligroso
_____________________________________________________________

http://www.vsantivirus.com/31-01-04.htm

Investigador ruso dice que el Mydoom sería más peligroso

Por Angela Ruiz
angela@videosoft.net.uy

El investigador independiente Juari Bosnikovich, publicó en
una lista de seguridad, nuevos detalles de la acción
destructiva del gusano Mydoom, desconocidos hasta ahora.

Según Bosnikovich, las compañías antivirus podrían haber
ocultado cierta información por simple omisión, o por alguna
otra extraña razón.

Por ejemplo, el componente backdoor (shimgapi.dll), abre una
puerta trasera por un puerto TCP. Pero esto sería solo para
ocultar sus verdaderas intenciones, de las que nada se ha
escrito. No está claro en el mensaje del investigador ruso,
cuáles serían estas intenciones, y que relación tendrían con
el Outlook Express.

Por otra parte, las descripciones del Mydoom.A, dicen que el
virus sería operativo hasta el 12 de febrero. Sin embargo,
esto no sería así. A partir de esa fecha el gusano pasaría a
una nueva fase que Bosnikovich cataloga como Mydoom.C, y en
la cuál se convertiría en mucho más peligroso.

En esta fase, el gusano podría "infectar" el Flash BIOS de la
computadora, inyectando un código de 624 bytes en él. Según
Bosnikovich, esto sería un backdoor escrito en forth, con el
que se abriría un puerto TCP cada vez que Mydoom se ejecute
después de la fecha mencionada.

No hay manera de "reparar" el BIOS infectado, salvo
restaurando el original (flashing), después de que se haya
desinfectado la computadora, o ésta volvería a infectarse.

Siendo el procedimiento de flashing (cargar o actualizar la
memoria Flash BIOS), algo no muy al alcance de un usuario
medio, de funcionar realmente esta característica, la misma
convertiría al virus en una variante muy destructiva.

Y finalmente, de ser cierta toda esta información, es muy
extraño que nadie la haya revelado. Y mucho más lo sería que
los laboratorios de las compañías antivirus no lo hayan
descubierto aún; o que lo hayan ocultado, como insinúa el
investigador.

El comentario completo de Bosnikovich en el siguiente enlace
(en inglés):

http://lists.netsys.com/pipermail/f...16353.html


* Relacionados:

W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm

Mydoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm

Mydoom.B, nuevo protagonista de una batalla sin treguas[
http://www.vsantivirus.com/29-01-04.htm

W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
http://www.vsantivirus.com/mydoom-b.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
email Siga el debateRespuesta 14 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#11 Antonio Amengual MSMVP
01/02/2004 - 11:15 | Informe spam
está en fase Creative...


Bienvenidos al sitio de MVP de Microsoft
http://mvp.support.microsoft.com/

Recuerda: Una Consulta, Un Foro:


news://msnews.microsoft.com/microso...lic.es.ie6
news://msnews.microsoft.com/microso....windowsxp
news://msnews.microsoft.com/microso...ookexpress
news://msnews.microsoft.com/microso...p.hardware
news://msnews.microsoft.com/microso....seguridad
news://msnews.microsoft.com/microso...nstalacion
news://msnews.microsoft.com/microso...licaciones
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


XP Pro-2600-limpia+SP2 beta
por favor
respuestas al grupo; asi nos beneficiamos todos
no se responde personalmente
saludos
Antonio
ms mvp windowsxp

"Ramón Sola [MVP Windows]" wrote in message news:%23%
A mí me ha dado la misma impresión. Lo de inyectar código en la BIOS, y más para producir los efectos reseñados, aún me suena a chiste.
Ramón Sola, Málaga (España) / MVP Windows - Shell/User
(yanoseashooligan -> yahoo)
Se procura que los consejos y procedimientos dados sean válidos y
seguros desde el punto de vista técnico. No obstante, declino toda
responsabilidad sobre su uso, ya sea beneficioso o malicioso.

Es bien sabido que fue JM Tella Llop [MVP Windows] · [] quien
escribió el mensaje news::
hombre... si es tal y como lo cuentas me suena a ciencia ficcion o a
inventiva de ese "investigador".

De todas maneras, esa porquería dará guerra todavia...

Jose Manuel Tella Llop
MVP - Windows
Respuesta Responder a este mensaje
#12 Ramón Sola [MVP Windows]
01/02/2004 - 21:49 | Informe spam
XDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
Ramón Sola, Málaga (España) / MVP Windows - Shell/User
(yanoseashooligan -> yahoo)
Se procura que los consejos y procedimientos dados sean válidos y
seguros desde el punto de vista técnico. No obstante, declino toda
responsabilidad sobre su uso, ya sea beneficioso o malicioso.

Es bien sabido que fue Antonio Amengual MSMVP []
quien escribió el mensaje news::
está en fase Creative...


Antonio
ms mvp windowsxp

"Ramón Sola [MVP Windows]" wrote in message
news:%23%
A mí me ha dado la misma impresión. Lo de inyectar código en la BIOS, y más
para producir los efectos reseñados, aún me suena a chiste.
Ramón Sola, Málaga (España) / MVP Windows - Shell/User
(yanoseashooligan -> yahoo)
Respuesta Responder a este mensaje
#13 Berna
02/02/2004 - 17:07 | Informe spam
Todo eso que se dice sobre Mydom, podria ser cierto, mi
computadora "estubo infectada con este virus" y fue
vacunada con Norton y supuestamente se erradico el gusano,
pero mi outlook ya no me permite borrar los mensajes
recibidos, ya se desinstalo y volvio a instalar el outlook
pero sigue sin dejar eliminar los mensajes recibidos,

"ACASO TENDRA ALGO QUE VER MYDOM ("


Pos sí, y cuesta imaginar lo que podría suceder si fuese


cierto.
Saludos :.

"JM Tella Llop [MVP Windows] ·"


escribió en el mensaje
news:
hombre... si es tal y como lo cuentas me suena a


ciencia ficcion o a
inventiva de ese "investigador".

De todas maneras, esa porquería dará guerra todavia...

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.


"Jorge Zeledon"



derhotmail.com>
wrote in message


news:
Esto realmente nos compete, pues según un investigador




ruso, este virus en
su siguiente fase será capaz de escribir en el Flash




BIOS lo que puede
provocar la apertura de una puerta trasera en el TCP,




solucionable sólo
volviendo a cargar o actualizar el Flash BIOS. Es de




preocuparse, cierto?
Saludos :.


Pego la info de VSantivirus:

>> VSantivirus No. 1303 Año 8, sábado 31 de enero de 2004





___________________________________________________________
__

El boletín diario de VSANTIVIRUS -




http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) -




http://www.videosoft.net.uy





_________________________________________________________

1 - Investigador ruso dice que el Mydoom sería más




peligroso





___________________________________________________________
__

http://www.vsantivirus.com/31-01-04.htm

Investigador ruso dice que el Mydoom sería más peligroso

Por Angela Ruiz


El investigador independiente Juari Bosnikovich,




publicó en
una lista de seguridad, nuevos detalles de la acción
destructiva del gusano Mydoom, desconocidos hasta ahora.

Según Bosnikovich, las compañías antivirus podrían haber
ocultado cierta información por simple omisión, o por




alguna
otra extraña razón.

Por ejemplo, el componente backdoor (shimgapi.dll),




abre una
puerta trasera por un puerto TCP. Pero esto sería solo




para
ocultar sus verdaderas intenciones, de las que nada se




ha
escrito. No está claro en el mensaje del investigador




ruso,
cuáles serían estas intenciones, y que relación




tendrían con
el Outlook Express.

Por otra parte, las descripciones del Mydoom.A, dicen




que el
virus sería operativo hasta el 12 de febrero. Sin




embargo,
esto no sería así. A partir de esa fecha el gusano




pasaría a
una nueva fase que Bosnikovich cataloga como Mydoom.C,




y en
la cuál se convertiría en mucho más peligroso.

En esta fase, el gusano podría "infectar" el Flash BIOS




de la
computadora, inyectando un código de 624 bytes en él.




Según
Bosnikovich, esto sería un backdoor escrito en forth,




con el
que se abriría un puerto TCP cada vez que Mydoom se




ejecute
después de la fecha mencionada.

No hay manera de "reparar" el BIOS infectado, salvo
restaurando el original (flashing), después de que se




haya
desinfectado la computadora, o ésta volvería a




infectarse.

Siendo el procedimiento de flashing (cargar o




actualizar la
memoria Flash BIOS), algo no muy al alcance de un




usuario
medio, de funcionar realmente esta característica, la




misma
convertiría al virus en una variante muy destructiva.

Y finalmente, de ser cierta toda esta información, es




muy
extraño que nadie la haya revelado. Y mucho más lo




sería que
los laboratorios de las compañías antivirus no lo hayan
descubierto aún; o que lo hayan ocultado, como insinúa




el
investigador.

El comentario completo de Bosnikovich en el siguiente




enlace
(en inglés):

http://lists.netsys.com/pipermail/f...sure/2004-




January/016353.html


* Relacionados:

W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm

Mydoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm

Mydoom.B, nuevo protagonista de una batalla sin treguas[
http://www.vsantivirus.com/29-01-04.htm

W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
http://www.vsantivirus.com/mydoom-b.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com






.

Respuesta Responder a este mensaje
#14 Jorge Zeledon
02/02/2004 - 17:22 | Informe spam
Hola Berna: Probablemente esté dañada la carpeta de Elementos eliminados.
Prueba lo siguiente: con el Outlook Express cerrado haz una búsqueda de
"Elementos eliminados.dbx", así con comillas, desde Inicio> Buscar> Archivos
y carpetas Debes tener en cuenta que esta carpeta está oculta y que
debes tener configurado, ahí mismo, en Búsqueda: Herramientas> Opciones de
carpeta> Ver *Mostrar todos los archivos y carpetas ocultos*. Elimínala y
arranca del nuevo el Outlook Express, se creará de nuevo la carpeta en
perfecto estado, pruebas y nos cuentas.
Saludos :.

"Berna" escribió en el mensaje
news:836f01c3e9a6$b86055f0$
Todo eso que se dice sobre Mydom, podria ser cierto, mi
computadora "estubo infectada con este virus" y fue
vacunada con Norton y supuestamente se erradico el gusano,
pero mi outlook ya no me permite borrar los mensajes
recibidos, ya se desinstalo y volvio a instalar el outlook
pero sigue sin dejar eliminar los mensajes recibidos,

"ACASO TENDRA ALGO QUE VER MYDOM ("


Pos sí, y cuesta imaginar lo que podría suceder si fuese


cierto.
Saludos :.

"JM Tella Llop [MVP Windows] ·"


escribió en el mensaje
news:
hombre... si es tal y como lo cuentas me suena a


ciencia ficcion o a
inventiva de ese "investigador".

De todas maneras, esa porquería dará guerra todavia...

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.


"Jorge Zeledon"



derhotmail.com>
wrote in message


news:
Esto realmente nos compete, pues según un investigador




ruso, este virus en
su siguiente fase será capaz de escribir en el Flash




BIOS lo que puede
provocar la apertura de una puerta trasera en el TCP,




solucionable sólo
volviendo a cargar o actualizar el Flash BIOS. Es de




preocuparse, cierto?
Saludos :.


Pego la info de VSantivirus:

>> VSantivirus No. 1303 Año 8, sábado 31 de enero de 2004





___________________________________________________________
__

El boletín diario de VSANTIVIRUS -




http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) -




http://www.videosoft.net.uy





_________________________________________________________

1 - Investigador ruso dice que el Mydoom sería más




peligroso





___________________________________________________________
__

http://www.vsantivirus.com/31-01-04.htm

Investigador ruso dice que el Mydoom sería más peligroso

Por Angela Ruiz


El investigador independiente Juari Bosnikovich,




publicó en
una lista de seguridad, nuevos detalles de la acción
destructiva del gusano Mydoom, desconocidos hasta ahora.

Según Bosnikovich, las compañías antivirus podrían haber
ocultado cierta información por simple omisión, o por




alguna
otra extraña razón.

Por ejemplo, el componente backdoor (shimgapi.dll),




abre una
puerta trasera por un puerto TCP. Pero esto sería solo




para
ocultar sus verdaderas intenciones, de las que nada se




ha
escrito. No está claro en el mensaje del investigador




ruso,
cuáles serían estas intenciones, y que relación




tendrían con
el Outlook Express.

Por otra parte, las descripciones del Mydoom.A, dicen




que el
virus sería operativo hasta el 12 de febrero. Sin




embargo,
esto no sería así. A partir de esa fecha el gusano




pasaría a
una nueva fase que Bosnikovich cataloga como Mydoom.C,




y en
la cuál se convertiría en mucho más peligroso.

En esta fase, el gusano podría "infectar" el Flash BIOS




de la
computadora, inyectando un código de 624 bytes en él.




Según
Bosnikovich, esto sería un backdoor escrito en forth,




con el
que se abriría un puerto TCP cada vez que Mydoom se




ejecute
después de la fecha mencionada.

No hay manera de "reparar" el BIOS infectado, salvo
restaurando el original (flashing), después de que se




haya
desinfectado la computadora, o ésta volvería a




infectarse.

Siendo el procedimiento de flashing (cargar o




actualizar la
memoria Flash BIOS), algo no muy al alcance de un




usuario
medio, de funcionar realmente esta característica, la




misma
convertiría al virus en una variante muy destructiva.

Y finalmente, de ser cierta toda esta información, es




muy
extraño que nadie la haya revelado. Y mucho más lo




sería que
los laboratorios de las compañías antivirus no lo hayan
descubierto aún; o que lo hayan ocultado, como insinúa




el
investigador.

El comentario completo de Bosnikovich en el siguiente




enlace
(en inglés):

http://lists.netsys.com/pipermail/f...sure/2004-




January/016353.html


* Relacionados:

W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm

Mydoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm

Mydoom.B, nuevo protagonista de una batalla sin treguas[
http://www.vsantivirus.com/29-01-04.htm

W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
http://www.vsantivirus.com/mydoom-b.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com






.

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida