El gusano en cuestión ha sido bautizado Morto, y una vez infectado el ordenador buscará otras maquinas que tengan la opción activa en la red desde el puerto mencionado. En caso de detectar victimas en las redes intentará acceder mediante un rootkit de contraseñas almacenadas para destrabar los privilegios, así ingresará como Administrador.

La infección guarda sus componentes y dos ficheros más: ntshrui.dll y cache.txt (el primero en la carpeta temp y el segundo en offline web page).

Hay que tener cuidado, ya que Morto se encarga de utilizar cada PC como botnet para realizar ataques DDoS, y en varios casos eliminar los procesos de aplicaciones de seguridad informática.

Recomendaciones: ACTUALIZAR EL ANTIVIRUS y desactivar el servicio RDP (Escritorio Remoto) en caso de que no sea usado.

Lamentablemente no podemos hablar de que ha salido el sistema operativo invulnerable. Todo lo contrario, los criminales cibernéticos se esmeraron para hacer daño y al parecer lo han conseguido, afirmando que se ha creado una infección imposible de eliminar: el virus TDL-4. Aunque rápidamente las empresas de seguridad han salido a contradecir semejantes dichos.

Según ha trascendido, el desarrollo del virus fue elaborado al combinar distintos fragmentos de código de poderosos gusanos, spyware y malware. En algunas partes del TDL-4 se incluyen líneas del gusano Stuxnet, el mismo que en el año 2010 dejó sin servicio a una planta nuclear de Irán.

Además del poderoso sistema de programación con el que cuenta la infección, se cree que los delincuentes han gastado casi un cuarto de millón de dólares. Este dinero habría sido utilizado en la creación de una red de ordenadores para propagarlo.

Esta nueva amenaza se transmite por medio de páginas con contenido erótico, descargas ilegales o sitios de transferencia de ficheros (P2P). Se instala en el arranque del sistema operativo (el sector 0), por lo que se prioriza este proceso ante otros. Una vez que ha comenzado la infección es imposible detenerla, el ordenador pasa a ser esclavo de la importante red de computadoras infiltradas. Además, envía corres basura automáticamente desde tu cuenta de correo, instala virus de menor nivel y programas fantasmas.

Actualmente, aparentemente ningún Antivirus es capaz de remover este inconveniente, el cual ya ha arrastrado a mas de 5 millones de usuarios en el mundo. Esperamos pronto tener una solución y volver a navegar seguros.

Se trata de un gusano de peligrosidad alta denominado Dwgung, el cual se propaga por todas las carpetas del programa dejando copias de sí mismo y ejecutándose cada vez que se abre un fichero con extensión DWG.

El código malicioso aterriza en el ordenador por primera vez mediante la descarga de un archivo llamado “acad.fas” que viene junto a un plano de AutoCAD. Cuando se abre el plano, se ejecuta el virus eliminando los comandos del archivo “acad.sys” y colocando mensajes en la pantalla con caracteres asiáticos.

Para eliminar el gusano, se recomienda restaurar el sistema a un punto de restauración anterior, sobre todo si se utiliza Windows ME, XP o Vista. A continuación te ofrecemos algunas herramientas: AVG, Kaspersky o Avast!.

Según una fuente propia del New York Times, podría tratarse de un ataque proveniente de un grupo especializado de Israel (IDF), el cual ya cuenta con antecedentes de haber llevado a cabo acciones semejantes en el pasado. En ese momento, habría utilizado un “ciberataque” a fines de anular los radares de Siria y corroborar dudas sobre posibles actividades nucleares en dicho país.

Pese a que los representantes de la base de Irán afirman que el gusano no logró dañar ninguno de los sistemas principales, ya se sabe que la infección se ha propagado rápidamente hacia otras plantas, como es el caso de Siemens, actual proveedor de las centrifugadoras nucleares en Bushehr.

La agencia norteamericana se vio obligada a posar su mirada sobre VBMANIA luego de presenciar el impacto que ha tenido el mismo gusano en la comunidad estadounidense, donde ha llegado a afectar los correos corporativos de múltiples firmas de renombre, entre las que se puede contar a Disney y a la NASA.

Se estima que el virus podría ser obra de un grupo de resistencia iraquí denominado Tariq ibn Ziyad y con sede en España. Pese a que los rastreos de direcciones IP apuntaron originalmente al servidor Hutchison 3G UK, también podría estar involucrado otro proveedor norteamericano llamado Placentia Reliable Web Services.

Si el internauta accede a la imagen desde un ordenador Mac, no se verá afectado por el virus, pero si lo hace desde un sistema Windows, el equipo es infectado y el mensaje se envía a los contactos del usuarios afectado, según ha infromado Symantec.

El virus es peligroso y tiene una gran capacidad para engañar a los usuarios, ya que el remitente es un contacto conocido, con lo que es más fácil que el internauta acceda al mensaje sin pensar que pueda tratarse de un correo malicioso.

El gusano recibe el nombre de Palevo y es capaz de recopilar contraseñas e información personal del usuario. Cuando infecta el equipo crea ficheros de tipo mds.sys, mdt.sys, winbrd.jpg, infocard.exe, y elimina la protección que ofrece el cortafuegos.

Yahoo! ha confirmado la existencia del problema y asegura que está trabajando para solucionarlo. Aconseja a sus usuarios prudencia en la descarga de cualquier fichero que venga de un mensaje, aunque el remitente sea un contacto conocido, si no se está seguro de que realmente nos lo haya enviado el emisor.

Fuente: El País

Las compañías de antivirus están supervisando la actividad de la botnet, registrando que en las últimas dos semanas se ha vuelto a iniciar en varias ocasiones cada día, permaneciendo la cantidad de 71 a 142, que son los necesarios para ocuparse de todos los equipos dañados por el gusano.

Según los datos de las direcciones IP, se puede observar que los servidores de la botnet se encuentran por todo el mundo, aunque más de la mitad están en Estados Unidos.

Según parece, los responsables de Koobface están siempre examinando la botnet para que su cantidad de servidores no baje en gran cantidad, asi mantienen el control de la red y, en caso de que el número de servidores baje llegando a un nivel crítico, incorporan nuevos equipos. De esta forma consiguen que el número de servidores se mantenga en torno a los 100, extendidos por todo el mundo y soportados por distintas ISP’s para que la red botnet no deje de existir.

Fuente: Zona Virus

Se propaga mediante el envío masivo de correo electrónico a todas las direcciones que contiene el equipo al que infecta. Suele llevar de asunto el nombre de: Fedex tracking number 2344492918, y como archivo adjunto, ZD76128824.Zip. Dentro de este archivo está comprimido el fichero WD6128922.Exe, con una copia del gusano que infecta el equipo y se envía a sus contactos.

El contenido del mensaje aparece en inglés y se informa al usuario que no se le ha podido mandar un paquete. El mensaje es el siguiente:

Remitente: Falsificado
Asunto: Fedex tracking number 2344492918
Cuerpo del mensaje:

Unfortunately we were not able to deliver postal package you sent on August the 1st in time because the recipient´s address is not correct. Please print out the invoice copy attached and collect the package at our office Your FEDEX.com

Cuando el usuario abre el archivo adjunto, el virus se ejecuta y realiza la carpeta %System% \wsnpoem y en %System% \ntos.exe instala una copia de sí mismo. También cambia la entrada de registro que se muestra a continuación para efectuarse cada vez que el equipo arranque:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Valor: Userinit = ” %System% \Userinit.exe,%System%\ntos.exe,”

A continuación, realiza las próximas entradas de registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network Valor: UID = “{nombre del equipo}_{números aleatorios}”

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{19127AD2-394B-70F5-C650-B97867BAA1F7}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{4B19E1F3-5B47-C615-C75A-E0FD63DB477F}

Se encarga de abrir un puerto TCP aleatorio para contactar con la dirección: http://blatundalqik.ru/[- eliminado -]rev.bin y para ejecutar programas maliciosos entra en la página  http://66.199.242.115

En caso de haber sido afectado por el virus se debe intentar eliminarlo. Para ello, si se utiliza Windows XP, Me o Vista, es conveniente utilizar la opción de ‘Restauración de Sistema’ para volver a un punto anterior al de la infección, en la que el equipo no contenía el virus.

Si no se conoce un punto anterior al de la infección, o no se puede ir a él, habría que tomar otras medidas. En primer lugar, es conveniente desactivar la opción de ‘Restauración del Sistema’ y después reiniciar el equipo en ‘Modo Seguro’ o ‘Modo a Prueba de Fallos’.

A continuación, con un antivirus debidamente actualizado, se debe revisar el equipo para hallar todas las copias del virus que contiene.

La carpeta %System% \wsnpoem debe ser borrada, y también los siguientes archivos:

%System% \ntos.exe

%System% \wsnpoem\audio.dll

%System% \wsnpoem\video.dll

En caso de que la infeccion no pueda restaurarse o los archivos no se puedan eliminar, hay que asegurarse de que los archivos no estén en uso en ese momento. Para ello, hay que entrar en la opcion ‘Administracion de tareas’. Si se dispone de Windiws Me se debe seleccionar el nombre del proceso y pararlo, en cambio, si se utiliza Windows XP, 2000 o Vista, hay que entrar en ‘Procesos’ y pinchar con el botón derecho del raton en el proceso malicioso y elegir ‘Terminar Proceso’.

Después, hay que intentar borrar de nuevo los archivos maliciosos del virus.

Una vez eliminados, hay que modificar el registro para descomponer los cambios que ha causado el virus. Hay que tener precaución a la hora de trabajar en el registro, ya que si se cambian algunas claves incorrectamente el ordenador puede quedar inútil. Se deben borrar las siguientes claves de registro y todo su contenido.

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{19127AD2-394B-70F5-C650-B97867BAA1F7}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{4B19E1F3-5B47-C615-C75A-E0FD63DB477F}\

Y también la entrada de registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network Valor: UID = “{nombre del equipo}_{números aleatorios}”

La entrada de registro después debe dejarse con su valor anterior. Su valor por defecto es el siguiente:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Valor: Userinit = ” %System% \Userinit.exe,”

Los archivos temporales del equipo deben ser borrados, incluso los del navegados y los que se encuentren en la papelera de reciclaje.

Para finalizar, es conveniente reiniciar el equipo y revisarlo con un antivirus para asegurarse de que el virus ha sido debidamente eliminado.

En enlace que porta el gusano dice lo siguiente: “hey (nombre del usuario), encontré este video tuyo acá (enlace malicioso). Eres tú ¿no es verdad?”. Cuando el usuario accede al enlace, se le solicita descargar un codec de vídeo, el cual en realidad contiene el gusano.

Cuando el virus ha entrado en el ordenador, éste lleva al navegador a una web de contenido explícito y a otra en la que le pide al usuario que proporcione sus datos para obtener un premio que es falso. Al pulsar en Get Free Access se descarga un archivo setup.exe que ejecuta un plugin con el nombre de MediaPass Plugin.

El gusano también cambia la página de inicio del navegador y le inyecta códigos para que aparezcan ventanas emergentes de publicidad, dificultando la navegación.

Fuente:Europapress