Los molestos mensajes de publicidad nos inundan permanentemente.
Los patéticos mensajes con estructura de "cadenas" nos alteran los nervios y nos hacen pensar en el suicidio, o, mejor aún, en los homicidios alevosos de sus remitentes.
En el principio era el spam. En el final están la venta ilegal de CDs con millones de direcciones de e-mail recolectadas gracias a la retransmisión de engaños y cadenas, la utilización de máquinas inocentes como "zombies" lanza-spam y la sucesiva y consecuente intensificación hasta lo intolerable del spamming comercial.
No se engañe: hace ya mucho tiempo que los virus informáticos no son escritos por "pequeños programadores geniales" de 15 ó 17 años, que trabajan por el mero placer de probar sus conocimientos. Hoy, todos los virus informáticos, o al menos los más avanzados tecnológicamente, tienen una intención comercial. No es difícil imaginar a los autores del Blaster, el Bugbear o el SoBig, que les permiten tomar el control remoto de millones de computadoras infectadas, acercarse a los propietarios de las empresas de spam en Boca Ratón para ofrecerles la clave del virus a cambio de unos 40 ó 50 millones de dólares. De esta manera, las actividades de los spammers pasarían a ser difusas, sin atravesar un único proveedor de Internet, para comenzar a distribuirse desde todas las máquinas infectadas. Sí: el objetivo de estos nuevos virus es utilizar su máquina, la suya, la que usted tiene en su casa u oficina, como servidor de e-mail para distribuir correos de publicidad comercial.
Entre mis responsabilidades como administrador de grandes redes, figuró durante el mes de agosto la tarea de recopilar información y proveer la cura y prevención para varios de estos virus, concretamente los que circulaban por alguna gran red a la que yo tenía acceso. El documento que usted va a leer es el resultado de ese trabajo y lo ofrezco a los lectores de Axxón como apoyo.
La información fue recolectada principalmente de la página de Symantec (fabricante del Norton Antivirus, una de las más potentes y seguras herramientas del mercado), y de ellos provienen las herramientas de desinfección. Los parches que solventan las vulnerabilidades de los sistemas son creación de Microsoft.
Sin embargo, nada de lo que aquí se dice servirá de nada si los lectores (si todo el mundo) no colabora cumpliendo con una simples normas:
NUNCA REENVÍE CADENAS
. Como se ha dicho, de esas cadenas es de donde los spammers obtienen nuestras direcciones de correo para saturarnos de correo no deseado. Ya no existen los virus que borran los discos rígidos. No hay ningún niño con cáncer que pueda ser curado gracias a que una fundación dona 1 centavo por cada e-mail que se reenvía. Los enfermos de SIDA no ponen agujas contaminadas en los teléfonos públicos ni en las salas de cine. El laurilsulfato de sodio de los dentífricos no es cancerígeno. La policía no advierte acerca de los secuestros en los shoppings y Microsoft no paga dinero por rastrear los e-mails. No reenvíe cadenas de correo. No lo haga nunca, y si lo hizo, no lo vuelva a hacer. Nunca. Jamais de la vie. Es posible que los programadores de virus, como acabo de explicar, estén asociados con los spammers y los creadores de estas cadenas espurias. Trate de no hacerles el juego. Hay descripciones completas de las cadenas de correo falsas sobre virus en el sitio de Symantec (www.symantec.com).
NUNCA RESPONDA A UN SPAM
. Si lo inundan de mensajes comerciales, mala suerte. Los enlaces que dicen "si desea ser quitado de esta lista haga clic aquí" son una trampa. Los textos que dicen "si desea ser quitado de esta lista responda a este mensaje con tal o cual palabra en el asunto" son una trampa. Cuando el spammer recibe la lista de direcciones, no sabe cuáles están "vivas" (activas) y cuáles no. Al hacer un clic sobre el enlace o responder al mensaje, lo único que usted hace es decirle al spammer que su cuenta está activa y que usted la revisa. Consecuencia: lo bombardearán aún más. Filtre simplemente los mensajes y sanseacabó.
COMPRE E INSTALE EL MEJOR ANTIVIRUS DEL MERCADO
. Esto es un sí o sí, es una condición sine qua non para sobrevivir en el mundo informático actual, saturado de virus, gusanos y troyanos. El de Symantec es excelente, y también los demás, producidos por empresas reconocidas. [N. del E.: Existe un antivirus gratuito bastante bueno que se llama "AVG Free Edition", de Grisoft Inc., que se actualiza por Internet.]
ACTUALICE DIARIAMENTE SU ANTIVIRUS
. Las actualizaciones de las definiciones de virus son producidas casi a diario. Imagine que los programadores de virus escriben unos 400 virus o gusanos nuevos, o nuevas modificaciones de los existentes, ¡por día! De nada sirve actualizar el antivirus "a veces", "cuando se acuerda" o "si tiene tiempo". Es como pretender estar a salvo de los embarazos o de los contagios de enfermedades de transmisión sexual utilizando preservativo en una de cada cuatro relaciones. Si algo malo sucede: ¿de quién va a ser la culpa?
INSTALE LOS PARCHES DE MICROSOFT QUE SOLUCIONAN LAS VULNERABILIDADES EN LAS COMUNICACIONES
. Ellos están disponibles en www.microsoft.com. Ya sé que muchos de ellos son enormes (más de cinco megabytes) y que, si usted tiene un módem lento, la bajada va a tardar horas a un costo enorme... Pero... ¿qué quiere que haga yo? Esto es esencial, y nada puedo decirle, excepto que se los instale a como dé lugar. [N. del E.: También se puede optar por el uso de Linus, como lo están haciendo muchas empresas entre las que se encuentra, paradójicamente, un centro de Microsoft que no tiene estos problemas.]
A continuación, una lista de los virus que encuentro habitualmente en las máquinas de mis usuarios y en algunos servidores, con el lugar donde se bajan los reparadores (antivirus específicos) y, de existir, el parche que soluciona la vulnerabilidad respectiva.
La lista, por supuesto, no es exhaustiva ni completa, por lo que encarezco al lector la ejecución diaria del antivirus actualizado al día para proteger sus datos.
Ojalá que este artículo les sea útil. Instálense los parches y que Dios nos ayude a todos.
[N. del E.: este trabajo de divulgación tiene la intención de aportar datos a nuestros lectores que los ayuden a enfrentarse con los problemas de las intrusiones informáticas que proliferan en nuestra época. Pero este sitio no es está dedicado al software o a la seguridad informática. Si bien el contenido de este artículo fue comprobado detenidamente por el autor, no recomendamos que usted se guíe exclusivamente por la información que encuentre aquí. No nos hacemos responsables de los resultados de la utilización de programas reparadores o instrucciones contenidas en otros sitios.]
DOWNLOAD.TROJAN
- Caballo de Troya, afecta a NT y 2K.
- Se conecta con los sitios web y de FTP de su autor.
- Trae desde allí troyanos, virus, gusanos y los componentes de éstos hacia la máquina infectada.
- Cada vez que se trae archivos desde Internet, se autoejecuta.
- SOLUCIÓN: Borrado manual.
FAKE SERVER TROJAN
- Afecta sólo archivos .exe.
- SOLUCIÓN: Borrado manual.
HACK V1.12.TROJAN
- Afecta sólo archivos .exe.
- SOLUCIÓN: Borrado manual.
JS.EXITW.TROJAN
- No afecta NT ni 2K.
- Hace que Windows arranque y se cierre inmediatamente.
- SOLUCIÓN: Borrado manual.
JS.FORTNIGHT
- Afecta a NT y 2K. Híbrido de gusano/troyano.
- Modifica la configuración del programa Outlook Express y envía un link al sitio del hacker, escondido en la firma del usuario.
- Configura una página pornográfica como página de inicio del Internet Explorer.
- SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry según se describe aquí.
JS.FORTNIGHT.B
- Igual al anterior. Además, redirecciona toda URL a la URL que el hacker desea y inhabilita la solapa "Seguridad" del Internet Explorer.
- SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry según se describe aquí.
JS.FORTNIGHT.C
- Igual a los anteriores, pero no inhabilita la solapa del IE5.
- SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry según se describe aquí.
MMC.EXE
- Es el Caballo de Troya del W32.Nimda.A@mm (ver).
- SOLUCIÓN: Borrado manual.
MSBLAST.EXE
- Es el Caballo de Troya del W32.Blaster. Worm (ver).
- SOLUCIÓN: Borrado manual.
NETBUS.170.W95.TROJAN
- Muy peligroso. Afecta NT y 2K.
- Troyano backdoor. Le da a su creador acceso y permisos FULL CONTROL para atacar el equipo infectado. Estas capacidades incluyen enviar archivos del usuario al sitio del hacker, ejecutar aplicaciones, robar documentos y borrar archivos en forma remota.
- SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry según se describe aquí.
NETBUS.2.TROJAN
- Este troyano es la aplicación cliente de la herramienta de hackeo Netbus 2.0. Se conecta desde un sistema remoto y gana control de acceso sobre la máquina infectada.
- SOLUCIÓN: Borrado manual.
PRETTYPARK.WORM
- Conocido gusano de red.
- Es parecido al Happy99. Dispara un troyano (prettypark.exe) que a veces hace correr el salvapantallas de las cañerías.
- Se conecta solo a un servidor IRC, a un canal específico y monitorea para recibir los comandos que el dueño le manda desde ese canal.
- Le entrega al hacker las claves de discado para conexión de la víctima, toda la información del sistema y la configuración del ICQ.
- A su vez, el hacker (siempre vía IRC) tiene acceso a recibir, crear, borrar y ejecutar cualquier archivo.
- SOLUCIÓN: Ejecutar el reparador que se obtiene aquí. Luego, corregir a mano la registry, si se encuentran daños en ella, según se describe aquí.
TROJAN.ADCLICKER
- Funciona en NT y 2K.
- La función de este troyano es que la máquina de la víctima haga clic permanentemente en las publicidades de las páginas web de las que es dueño su programador.
- SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry según se describe aquí.
TROJAN.DOWNLOAD.CHECKIN
- Este Caballo de Troya es, aparentemente, parte de una aplicación de adware.
- Se conecta a varios sitios e IPs diferentes y chequea si hay nuevas versiones de sí mismo. Si la respuesta es afirmativa, las baja en la máquina infectada y las ejecuta. Como no hace chequeo de CRC ni integridad antes de ejecutar, si el troyano bajó corrupto los resultados son imprevisibles.
- SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry según se describe aquí.
VBS.HAPTIME.A@MM
- Gusano de red, de peligrosidad Grado 3.
- Infecta los archivos .htm, .html, .vbs, .asp y .htt.
- Se dispersa bajo la forma de objetos MAPI adjuntos. Además, en todos los mensajes salientes se adjunta el virus como Material de Papelería de Outlook Express.
- Utiliza una vulnerabilidad de Microsoft Outlook Express para poderse autoejecutar sin necesidad de correr ningún adjunto.
- SOLUCIÓN: Ejecutar el reparador localizado aquí. A continuación, instalar en todos los equipos el parche de seguridad para el Outlook Express. El parche se encuentra aquí. Este parche no desinfectará las máquinas víctimas, pero sí impedirá que una máquina limpia ejecute el troyano en forma automática. Verificar la registry, comparando sus valores con los que se muestran aquí.
W32.BLASTER.WORM
- Gusano de red híbrido gusano/troyano, de alta peligrosidad (Grado 4). Tercero en el ranking de peligrosidad de Symantec (1-9-03, Symantec Security Response Newsletter, 22 de agosto, 2003). Daño: Alto. Distribución: Alta. Presencia en libertad: Alta.
- Explota la vulnerabilidad de seguridad en el servicio DCOM RPC, utilizando el puerto TCP 135.
- El virus está pensado para 2K y XP. Aunque NT es vulnerable también, el Blaster no se replica en esta plataforma, a menos que se lo instale y ejecute manualmente. Afecta especialmente a Windows 2K Server.
- No tiene funcionalidad de envío masivo de e-mail.
- El virus trae el troyano msblast.exe, lo coloca en \system32 y lo ejecuta, siempre los días 16 del mes si el mes es anterior a agosto, y todos los días desde el 16 de agosto hasta el 31 de diciembre.
- Hace un DOS (Denial of Service, Denegación de Servicio) contra www.windowsupdate.com, para evitar que el usuario pueda bajar e instalar los parches que corrigen la vulnerabilidad del RPC.
- Un error en su código hace fallar los equipos NT infectados y además abre una pantalla cmd.exe en la máquina del hacker, para que pueda ejecutar comandos en forma remota en el equipo infectado. El usuario no se percata de ello.
- Genera IPs similares a la del equipo infectado y trata de conectarse con las demás máquinas de la red. Para ello, utiliza los puertos UDP 69 y TCP 135 y 4444, usando la vulnerabilidad del servicio DCOM RPC. La LAN se satura de solicitudes del puerto 135. El servicio RPC falla. El servicio svchost.exe comienza a saturar la máquina de errores. Si el operador reinicia el equipo, vuelve a ejecutar el troyano.
- El virus monitorea en el puerto TCP 4444 los comandos DOS que recibe desde la pantalla que creó en la máquina del dueño del virus. También monitorea en el puerto UDP 69 las respuestas de las máquinas a las que les preguntó (por el TCP 135) si tenían corriendo un DCOM RCP no parchado. A las que le dicen que sí, les manda, instala y ejecuta el troyano msblast.exe.
- SOLUCIÓN: Con el equipo desconectado de la red, ejecutar el reparador localizado
aquí. A continuación, instalar el parche para NT que está localizado aquí. Para los servidores 2K, hay un parche diferente. Verificar luego, a mano, que no se encuentren en la registry los daños producidos por el mencionado virus, comparándola con la registry normal que se describe aquí.
W32.BUGBEAR.B
- Variante del gusano Bugbear, con una muy eficiente funcionalidad para envíos masivos de e-mail e infección masiva de LANs. Alta peligrosidad, Nivel 4. Cuarto en el ranking de amenazas mundiales de Symantec: Existencia en libertad: Alta; Daños: Medio; Distribución: Alta.
- Se trata de uno de los nuevos gusanos polimórficos, que muta para evitar ser detectado.
- Registra las pulsaciones de teclas en el logon para interceptar las claves y enviárselas a su dueño. Abre backdoors para permitirle tomar posesión de los equipos.
- Ataca una variedad de archivos .exe.
- Se defiende de los antivirus más comunes y es capaz de atravesar firewalls.
- Explota la vulnerabilidad MIME de Microsoft que permite que el IE corra automáticamente los adjuntos.
- Por un error de código, satura los buffers de las impresoras de red, haciendo que impriman basura (en realidad, lo que intenta hacer es imprimirse a sí mismo y lo que vemos en papel es la interpretación que hace la impresora del código del virus).
- Está dedicado en especial a enviarle al hacker los datos financieros que encuentra (claves para páginas de bancos, números de tarjetas de crédito, etc.).
- Si un antivirus no funciona en un equipo, la causa más probable es que esté infectado con el Bugbear.
- Su troyano, PWS.Hooker.Trojan, registra las claves, las encripta y se las manda al autor del gusano.
- SOLUCIÓN: Con el equipo desconectado de la red, ejecutar el reparador localizado aquí. Luego, instalar en cada equipo el parche localizado aquí (observando que sea para la versión correcta del IE. Ambos son sólo para Internet Explorer con Service Pack 1. El IE5 (cualquier versión) con SP2 no es vulnerable al Bugbear y no es necesario instalar estos parches.
W32.BUGBEAR.B.DAM
- Versión corrupta del anterior.
- No es funcional. No causa daños, no se replica ni se autoenvía.
- SOLUCIÓN: Borrado manual.
W32.GANDA.A@MM
- Mail masivo, se autoenvía a todos los que están en la libreta de direcciones.
- Agrega un troyano a muchos ejecutables.
- Impide que se ejecuten varios productos antivirus.
- SOLUCIÓN: Borrado manual; luego, verificar la integridad de la registry según se describe aquí.
W32.GANDA.A@MM.ENC
- Es la versión codificada como MIME del virus anterior, que se puede ejecutar automáticamente (es decir, sin que uno abra el mensaje). Contiene el virus vivo y activo (ver arriba).
- SOLUCIÓN: Ídem anterior.
W32.HLLP.SPREDA
- En un virus (no gusano) que se propaga dentro de los archivos .exe que se bajan por el KaZaA. Está escrito en C++.
- SOLUCIÓN: Mediante un buen antivirus. Si no puede reparar los archivos, eliminarlos a mano.
W32.KLEZ.H@MM
- Gusano de red, de peligrosidad Grado 3: Existencia salvaje: Alta; Daño: Medio; Distribución: Alta; Solución: Difícil.
- Es la versión mejorada del Klez.E, que no sólo se dispersa por e-mail sino a través de las LANs.
- Infecta ejecutables, se autoreenvía masivamente y libera junto con su propia copia todo tipo de documentos de la máquina del usuario.
- SOLUCIÓN: Correr el reparador localizado aquí. Luego, revisar los posibles daños virales en la registry, comparándola con una normal según se describe aquí.
W32.KLEZ.H@MM.ENC
- Versión codificada MIME del anterior (ver). Tiene el virus activo.
- SOLUCIÓN: Ídem anterior.
W32.KWBOT.C.WORM
- Se expande a través de los archivos bajados del KaZaA o del IMesh.
- Deposita un troyano que tiene tales capacidades de generar backdoors que otorga al hacker el control total sobre el equipo infectado.
- Abre puertos ocultos, tanto TCP como UDP.
- SOLUCIÓN: Remoción manual. Luego, comparar la registry con los daños que se ven aquí.
W32.LIRVA.A@MM
- Gusano de mediana peligrosidad, Grado 2.
- Se transmite, además del e-mail, a través de IRC, KaZaA e ICQ.
- Utiliza la misma vulnerabilidad de IE y Outlook Express que explota el Bugbear.
- Se dispara los días 7, 11 y 24 de cada mes, se conecta con una página erótica y muestra una animación.
- Elude a los programas antivirus y los firewalls, y envía a su autor las claves de discado de conexión de los equipos basados en 95, 98 y Me.
- SOLUCIÓN: Ejecutar el reparador localizado aquí. Luego, comparar los daños en la registry con los que se exponen en el documento localizado aquí.
W32.MAPSON.WORM
- Gusano de red. Se autoreenvía a todos los contactos de MSN Messenger. Además, se propaga a través de KaZaA, KaZaA Lite, eDonkey2000, Gnucleus, Limewire, Morpheus, ICQ y Grokster.
- Está escrito en Delphi y comprimido por UPX.
- Muestra algunos mensajes en el mes de julio.
- SOLUCIÓN: Borrado manual.
W32.MIMAIL.A@MM
- Gusano de red de Grado 3, quinto en el ranking de Symantec.
- Muy peligroso porque está destinado a robar información de la máquina infectada y enviarla por un e-mail oculto al programador del virus.
- Utiliza las vulnerabilidades de Microsoft MS02-15 y MS03-14.
- Simula ser el programa de manejo de la placa de video, por lo que es imposible no ejecutarlo al iniciar Windows.
- Captura el texto de las ventanas que está abriendo el usuario y lo reenvía por e-mail.
- Tiene su propio cliente SMTP de correo incorporado. Busca y encuentra la DNS del host del usuario. Contacta al mailserver del dominio en cuestión, y, a través del mismo, se conecta con el hacker en forma directa.
- SOLUCIÓN: Ejecutar el reparador localizado aquí. A continuación, instalar en todas las máquinas el parche de Microsoft que se encuentra aquí. Por último, verificar que no hayan quedado daños por modificaciones efectuadas por el gusano en la registry del equipo. Las mismas están aquí.
W32.MIMAIL.A@MM.ENC
- Versión MIME autoejecutable del anterior (ver).
- SOLUCIÓN: Ídem anterior.
W32.NAVIDAD
- Eficiente gusano de e-mail, explota la vulnerabilidad de MAPI. Se expande a través de Outlook Express, Outlook y todos los cliente de e-mail que usan MAPI.
- Contiene errores que hacen que el equipo falle al ejecutar el gusano. Esto ocurre porque hace cambios erróneos en la registry.
- SOLUCIÓN: Ejecutar el reparador desde aquí. Luego, verificar que la registry no contenga errores, comparando sus valores con los que se ven aquí.
W32.NICEHELLO@MM
- Es un gusano que se reenvía a todas las direcciones a través del correo.
- Roba las claves del MSN Messenger y se las envía a su programador.
- Abre el puerto 53 y se conecta con el servidor DNS 65.173.56.33. A través de él, envía al hacker las claves que acaba de robar, a una cuenta de Yahoo! o de Olimpo.
- SOLUCIÓN: Borrado manual. Luego, hay que verificar que la registry esté limpia, viendo aquí.
W32.NIMDA.A@MM
- Gusano de red de peligrosidad Grado 2.
- Luego de infectar la máquina, espera diez días antes de hacer nada.
- Se reenvía a todas las direcciones por e-mail.
- Explota la vulnerabilidad Unicode Web Traversal de Microsoft y la ya conocida vulnerabilidad MIME.
- Su nombre es "Admin" escrito al revés, y se debe a que el gusano comparte los recursos del equipo infectado, se hace cargo de la cuenta Guest (o "invitado") y se otorga a sí mismo, registrado con ella, privilegios de Administrator.
- Penetra en todos los equipos y web servers vulnerables.
- SOLUCIÓN: No es sencilla en el caso del Nimda. Por empezar es imprescindible ejecutar el reparador localizado aquí y el de aquí en su equipo. Si usted está en una LAN, deberá hacerlo en todos los equipos de la red local, INCLUYENDO TODOS LOS SERVIDORES. Para ello, hay que desconectar los equipos de la red o del teléfono UNO POR UNO antes de correr el reparador. Luego de ejecutarlo, reiniciar cada equipo. La herramienta no borrará todos los e-mails infectados. Reparará el system.ini corrompido por el virus, quitará los derechos administrativos de la cuenta Invitado e inhabilitará el grupo Invitados. Recuperará las modificaciones hechas al Internet Explorer y dejará sin compartir las unidades compartidas por Nimda.
- Sin embargo, en Windows NT/2K/XP, el reparador no puede distinguir correctamente las elecciones de compartir que fueron hechas por el virus de las que hace el mismo sistema operativo (C$, por ejemplo). Por lo tanto, todos los permisos de todos los equipos deben ser verificados manualmente por los administradores luego de haber ejecutado esta herramienta.
- El reparador restaura todos los valores del Explorador de Windows a los de por defecto. Esto también tiene que ser verificado a mano, en caso de querer que conserve valores especiales.
- Dado que los equipos infectados por el Nimda son accedidos por el hacker desde afuera, la herramienta no garantiza la integridad del sistema ni de los datos, ni su correcto funcionamiento. Verificar tales condiciones a mano.
- Es muy probable que, luego de correr el reparador, algunos programas como Microsoft Word o Excel se llenen de errores o ni siquiera arranquen. Esto se debe a que el virus ha corrompido un archivo llamado riched20.dll. Para ello, si el sistema operativo es Windows NT, hay que borrar la .dll mencionada, desinstalar el Service Pack, reiniciar el equipo, y volver a instalar el Service Pack de la misma versión que tenía el equipo.
- Si el problema anterior se ocasionara en un Windows 2000, hay que seguir las instrucciones de remoción que se indican en la página de Symantec Corporation.
- Si las fallas de Word y Excel continúan, estas aplicaciones se deberán reinstalar. Si aún así no funcionan, reinstale el Office completo (desinstalando y reiniciando primero).
- La misma .dll está infectada si, al terminar de correr el reparador, aparece un mensaje parecido a "The file NOT is infected and FUCKING repaired".
- A continuación, debe instalar parches para la vulnerabilidad del sistema operativo.
- Para los servidores Windows NT con Service Pack 5 ó 6a, instalar el parche localizado aquí.
Para los servidores Windows 2000 Service Pack 1 ó Windows 2000 Gold, instale primero el parche, que se encuentra aquí. Estos parches evitan que el Nimda infecte los servidores para usarlos como sus propios servidores web (con IIS 4 ó 5 instalado) internos o externos.
La vulnerabilidad MIME debe ser solucionada con los mismos parches utilizados para el virus Bugbear (ver).
- Si el equipo ha sido previamente infectado por el virus CodeRed II, Nimda puede tomar control de los servidores comprometidos por éste. Además, infecta servidores remotos y es capaz de hacer que nuestro servidor web genere cuentas de hacker con privilegios administrativos en un servidor ajeno. Esto provoca que, desde el servidor atacado, el causante del ataque pueda ser identificado como el "administrador de la Red [nombre de su red o de su equipo de usted]", lo que le puede provocar no pocos conflictos con otros usuarios, empresas, proveedores ISP, etc...
- Si existe un archivo llamado TFTP34%4.txt o similar en nuestro servidor, es que también está infectado por el CodeRed II, pero las herramientas sólo ven la última infección del Nimda.A. En este caso, hay que ejecutar también el reparador para el CodeRed: aquí.
- Ya ha reparado la infección, emparchado el sistema operativo y la vulnerabilidad MIME. Falta emparchar el Internet Information Server. Si se trata de un servidor NT con IIS 4.0 con Service Pack 5 y/o sus dos actualizaciones, instale primero el parche localizado aquí y también el de aquí.
- Si los servidores son Internet Information Server 5.0 bajo Windows 2000 Professional SP1, Windows 2000 Server con SP1 ó Windows 2000 AdvancedServer con SP, hay que instalarles el parche de aquí.
- Por último, verificar que todos los cambios que el virus hizo en registry se hayan corregido: ver aquí. Si todavía persisten daños, el operador deberá hacer una copia de respaldo de la registry en otro equipo no infectado e intentar corregirlos a mano.
W32.NIMDA.A@MM.ENC
- Es la versión MIME del anterior (ver).
- SOLUCIÓN: Íd. Anterior.
W32.PINFI
- Es un virus residente en memoria que infecta .exe y .scr. Es polimórfico, y se expande a través de unidades mapeadas y por las IPs de las LANs.
- SOLUCIÓN: Remoción manual, con revisión de los posibles daños ocasionados en la registry, ver aquí.
W32.SIRCAM.WORM
- Gusano de red de peligrosidad media, Grado 3.
- Posee su propio motor SMTP pero, por un error de código, no es capaz de replicarse en equipos con tecnología basada en NT .
- SOLUCIÓN: A pesar de que no se propaga en NT, un equipo que fue infectado con este virus puede no permitir que se ejecuten fixes con extensión .exe, por eso la herramienta es un .com: aquí.
- Sí será necesario verificar la registry, porque los cambios pueden estar allí, ver aquí.
W32.SOBIG.F
- Gusano de red de alta peligrosidad, Grado 4, ubicado en el primer lugar del ranking mundial de amenazas virales.
- Se propaga por e-mail a todas las direcciones y a través de las LANs.
- No se puede extender a los mapeos de red por un error de código.
- El último día en que se replicó fue el 9 de septiembre de 2003. El 10 de septiembre los SoBig.F se autodesactivaron, pero en fecha próxima su autor va a liberar la versión G, con todos los errores detectados corregidos y mejores funcionalidades.
- La desactivación sólo se aplica al e-mail y la propagación por red. Esto significa que el virus sigue vivo en los equipos, y que ese día le va a preguntar a su propio server si está lista la nueva actualización de sí mismo. Como la respuesta va a ser afirmativa (hasta ahora nunca falló), se la va a bajar, se va a autoactualizar y seguirá operando, ya mejorado. Por lo tanto, aunque el F ya no actúa, no está de más quitarlo de su equipo y protegerse contra la futura versión G.
- Se dedica a reenviarse por e-mail y a robar información de sistema y contraseñas, que son enviadas a su amo.
- SOLUCIÓN: Primero, desconecte los equipos infectados de su cable de red o de la línea telefónica. Segundo, ejecute el reparador ubicado aquí. Luego verifique que no hayan quedado daños permanentes en la registry, y en caso necesario, corríjalos. Puede seguir la guía que se encuentra aquí.
W32.SUPOVA.WORM
- Gusano de red, que simula ser algún programa muy popular (porno, juegos, etc.) y que por ello se propaga a través de KaZaA.
- SOLUCIÓN: Manual o a través del antivirus. Si le quedaron modificaciones en la registry, ver aquí.
W32.YAHA.F@MM.ENC
- Gusano de red de e-mail masivo, que se reenvía a todas las direcciones de la Libreta de Direcciones, a todos los contactos de ICQ, a todos los contactos de Messenger y a todos los contactos de Yahoo! Pager.
- Elude a los antivirus y a los firewalls.
- SOLUCIÓN: Ejecutar el reparador que se encuentra aquí (hay que ser Administrador y desconectar el cable de red o el módem). Es muy posible que, si el gusano ya ha sido ejecutado, el reparador no lo pueda eliminar. En ese caso, habrá que removerlo a mano, utilizando lo que se encuentra aquí. Desde la misma página verificar si hay daños en la registry, comparándola con la que se muestra.
W32.YAHA.P@MM.ENC
- Variante del Yaha.L. Además de las vías de dispersión del anterior, también viaja a través del .NET Messenger.
- SOLUCIÓN: Remoción manual, siguiendo las instrucciones de Symantec según se explica aquí.
W95.HYBRIS.WORM
- Gusano con funcionalidad de dropper, de alta peligrosidad (Nivel 4).
- Lo implanta el virus W95.Hybris.gen, y se lo encuentra tanto en los rígidos como en los e-mails originales infectados.
- SOLUCIÓN: Manual o con antivirus.
W97M.CHACK.AH.GEN
- Virus de macro, infecta todas las versiones de Office anteriores al Service Release 1.
- Muestra una imagen porno al infectar archivos todos los sábados, o al crear nuevos documentos los martes.
- SOLUCIÓN: Remoción manual o vía antivirus.
W97M.ETHAN.EK.SRC
- Macro, infecta .doc de Word y la plantilla normal.dot.
- Cambia los acentos ortográficos de los documentos.
- SOLUCIÓN: Manual o por el antivirus.
W97M.MARKER.GEN
- Macro.
- Desactiva los mensajes normales de Word.
- SOLUCIÓN: Borrado manual o con el antivirus.
W97M.TITCH.D
- Virus de macro.
- Cambia las configuraciones de Word (sobre todo en lo que hace a protección de documentos).
- SOLUCIÓN: Borrado manual o con un antivirus.