Para evitar que Sober.Y pueda seguir propagándose, sobre todo debido a equipos que carecen de una adecuada protección antimalware, Panda Software ha puesto a disposición de los usuarios una aplicación gratuita PQRemove que detecta y elimina de cta y elimina de forma eficaz a este gusano de cualquier ordenador que haya podido resultar afectado.
Sober.Y se trata de una nueva variante de la familia de gusanos del mismo nombre que, como sus antecesores, tiene una gran capacidad de propagación a través de correo electrónico. De hecho, tan sólo unas horas después de su aparición, PandaLabs comenzó a detectar incidencias en equipos de usuarios de todo el mundo.
domingo, 1 de febrero de 2009
Sober.Y
Sober.Y es una nueva variante de la familia de gusanos del mismo nombre que, como sus antecesores, tiene una gran capacidad de propagación a través de correo electrónico (con asuntos escritos en inglés o alemán) o como spam.¡Peligro!Hay en el ámbito informático un alerta naranja de virus ante el aumento de incidentes causados por el gusano Sober.Y. Esta nueva variante del gusano Sober se distribuye en mensajes de correo electrónico, los cuales están escritos en inglés o alemán, simulando ser un cambio de password o una foto de compañeros de colegio. Se trata de un virus con gran capacidad de propagación. Vale aclarar que tanto el asunto como el mensaje estarán escritos en alemán únicamente si la extensión del dominio de correo es: de (Alemania), ch (Suiza), at (Austria) or li (Liechtenstein).
Fue la empresa de seguridad informática PandaLabs quien detectó un notable aumento de incidencias causadas por el nuevo Sober.Y. Debido a ello, la misma ha decidido declarar el estado de "alerta naranja de virus", y lo mismo hizo otra empresa de seguridad, McAfee.
Según los expertos "los gusanos Sober siempre se han destacado por su gran capacidad de propagación, y esta nueva variante no es una excepción. Probablemente ello se debe a que utiliza, por una parte, técnicas de ingeniería social para conseguir que los usuarios ejecuten los archivos infectados y, por otra, para cambiar el idioma del mensaje de correo electrónico que envía en función de la localización del remitente".
Cómo se propagaSober.Y utiliza como método de propagación dos tipos de correos: uno escrito en inglés, con este asunto "Your new password", el cual simula ser una confirmación de cambio de password, e invita al usuario a comprobar los datos en un fichero adjunto (pword_change.zip). En el segundo caso, el correo está escrito en alemán y simula ser una foto de compañeros de colegio que se adjunta en un fichero (KlassenFoto.zip). Ambos ficheros comprimidos contienen una copia del propio gusano. Aunque también es enviado en forma de spam. El remitente siempre es falos y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.
El virus Sober.Y está escrito en Microsoft Visual Basic. Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la "víctima" para enviarse. El envío masivo de mensajes afecta de manera notoria el rendimiento de la conexión a Internet del usuario infectado. Cuando se ejecuta en Windows XP Service Pack 2, el gusano impide que el sistema se pueda conectar a una red; también impide que la herramienta de eliminación de software de Microsoft se ejecute.
El Sober.Y, cuyo nombre técnico es W32/Sober.Y.worm, es un virus que no tiene efectos Sober.Y, cuyo nombre técnico es W32/Sober.Y.worm, es un virus que no tiene efectos destructivos, se limita a mostrar un mensaje en pantalla cuando es ejecutado. Infecta estas plataformas: Windows 2003/XP/2000/NT/ME/98. Hizo su aparición el 6 de octubre de 2005 y su detección actualizada fue el 14 de noviembre.
Sober.Y es fácil de reconocer una vez que ha afectado el ordenador, ya que muestra un mensaje de error cuando es ejecutado. El método de infección es de la siguiente manera, Sober.Y crea estos archivos:- SERVICES.EXE: este archivo es una copia del gusano.- SOCKET.DLI.: éste contiene las direcciones de correo electrónico que Sober.Y recoge del ordenador afectado, y a las cuales enviará una copia de sí mismo.- NETSLOT.NST: es un archivo en formato MIME que contiene una copia del gusano comprimida en formato ZIP.
Fue la empresa de seguridad informática PandaLabs quien detectó un notable aumento de incidencias causadas por el nuevo Sober.Y. Debido a ello, la misma ha decidido declarar el estado de "alerta naranja de virus", y lo mismo hizo otra empresa de seguridad, McAfee.
Según los expertos "los gusanos Sober siempre se han destacado por su gran capacidad de propagación, y esta nueva variante no es una excepción. Probablemente ello se debe a que utiliza, por una parte, técnicas de ingeniería social para conseguir que los usuarios ejecuten los archivos infectados y, por otra, para cambiar el idioma del mensaje de correo electrónico que envía en función de la localización del remitente".
Cómo se propagaSober.Y utiliza como método de propagación dos tipos de correos: uno escrito en inglés, con este asunto "Your new password", el cual simula ser una confirmación de cambio de password, e invita al usuario a comprobar los datos en un fichero adjunto (pword_change.zip). En el segundo caso, el correo está escrito en alemán y simula ser una foto de compañeros de colegio que se adjunta en un fichero (KlassenFoto.zip). Ambos ficheros comprimidos contienen una copia del propio gusano. Aunque también es enviado en forma de spam. El remitente siempre es falos y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.
El virus Sober.Y está escrito en Microsoft Visual Basic. Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la "víctima" para enviarse. El envío masivo de mensajes afecta de manera notoria el rendimiento de la conexión a Internet del usuario infectado. Cuando se ejecuta en Windows XP Service Pack 2, el gusano impide que el sistema se pueda conectar a una red; también impide que la herramienta de eliminación de software de Microsoft se ejecute.
El Sober.Y, cuyo nombre técnico es W32/Sober.Y.worm, es un virus que no tiene efectos Sober.Y, cuyo nombre técnico es W32/Sober.Y.worm, es un virus que no tiene efectos destructivos, se limita a mostrar un mensaje en pantalla cuando es ejecutado. Infecta estas plataformas: Windows 2003/XP/2000/NT/ME/98. Hizo su aparición el 6 de octubre de 2005 y su detección actualizada fue el 14 de noviembre.
Sober.Y es fácil de reconocer una vez que ha afectado el ordenador, ya que muestra un mensaje de error cuando es ejecutado. El método de infección es de la siguiente manera, Sober.Y crea estos archivos:- SERVICES.EXE: este archivo es una copia del gusano.- SOCKET.DLI.: éste contiene las direcciones de correo electrónico que Sober.Y recoge del ordenador afectado, y a las cuales enviará una copia de sí mismo.- NETSLOT.NST: es un archivo en formato MIME que contiene una copia del gusano comprimida en formato ZIP.
lunes, 26 de enero de 2009
Sober
Sober es un gusano que se propaga mediante el envío masivo de mensajes a direcciones capturadas de ficheros ubicados en el equipo infectado.Utiliza su própio motor SMTP, lo que hace independiente su funcionamiento del cliente de correo instalado en el equipo.
El mensaje está escrito en inglés o en alemán y el gusano llega como fichero anexo en un archivo comprimido de extensión '.zip' y con un tamaño de 53554 bytes.
El mensaje está escrito en inglés o en alemán y el gusano llega como fichero anexo en un archivo comprimido de extensión '.zip' y con un tamaño de 53554 bytes.
lunes, 19 de enero de 2009
Descarga, Instalacion y Manejo
Para descargar el AVG solo necesitamos visitar este enlace http://free.grisoft.com/freeweb.php/lng/us/doc/2/tpl/v5
Iremos al final de la página y clickearemos en NEXT.
En la nueva página, clickearemos en YES , I AGREE.
En esta nueva página, se nos piden 4 datos. Podemos poner un nombre, apellido y país falso, pero el email requerido es verdadero, pues ahí mandarán la descarga y el serial del antivirus.
Una vez hecho este paso, nos mandarán el primer email, en el que tendremos que clickear en el link para poder descargar el AVG.
A continuación, llegará un nuevo email con la KEY del AVG, necesario introducirla para poder instalarlo. En mi caso, he borrado el serial pero lo indico su ubicación con un rectángulo rojo. Cópialo, pues será necesario ahora al instalar el AVG.
Una vez instalado el AVG, podremos pasar unos pocos minutos configurándolo. Aunque esté en inglés, es muy sencillo.
En la primera pantalla, vemos lo que el antivirus esta configurado para escanear. Aunque no esta activada por defecto, puede ser recomendable activar la casilla de USER HETEURISTIC, ya que aunque pueda fallar, podrá detectar virus nuevos antes de que el antivirus se actualice.
También podemos configurar el automático para que el antivirus actualice su base de datos para estar "a la última" y sea mas efectivo. Por defecto, está para que cuando la base de datos sea mas vieja de 14 días, se actualice, en mi caso, lo he puesto para bastante antes, para estar más seguro. Concretamente, cada 2 días, y también lo he puesto para que lo haga a las 5 de la mañana, que es cuando yo estoy dormido (Dejo mi PC las 24 horas encendido, otras personas puede ponerlo a horas mas cómodas. Para gustos, colores).
Pulsando el botón de UPDATE NOW, el antivirus se actualizará manualmente a la ultima versión.
Durante el proceso de actualización, veremos esta pantalla, y luego pulsaremos OK.
Por fin, se comenzará la actualización y, o manualmente pulsando OK, o tras 60 segundos, se reiniciará el antivirus :)
En general son unos 2 o 3kb lo que pesan las actualizaciones diarias, así que por ello el tamaño del archivo no es problema. Si bien es cierto que la primera actualización desde que se descarga, puede pesar entre 100 y 300kb.
Podemos usar el antivirus en si desde el menú principal, de dos maneras:
Activando el Calendario de escaneo completo del disco duro, para que cada 24 horas a una determinada hora, el antivirus escanee completamente el disco duro en busca de virus. En mi caso, me es mas cómodo a las 5 de la mañana.
Presionando F1 obtendremos ayuda del programa pero en inglés. Algunas funciones del antivirus están deshabilitadas por ser una versión gratuita. A continuación, si queremos hacer escaneos completos del disco duro por ejemplo, lo haremos pulsando uno de estos dos botones:
Si por el contrario, solamente queremos escanear un archivo en especial, presionando con el botón derecho del ratón veremos la opción SCAN WITH AVG.
Nota para usuarios avanzados: Si queréis usar este antivirus para escanear archivos que provengan del irc, podéis hacerlo de dos maneras:
1º Señalando al archivo AVGSE.EXE en vuestro script.
2º Poniendo un remote en scripting, como el que cito a continuación:
Suscribirse a:
Entradas (Atom)