topeesp.gif (5672 bytes)

[ Index ]

Y2K - PCVC List name

Messages

Go to #: 101
Go to #: 100
Go to #: 99

#99 De: Moderador del Foro <edgardo@schapachnik.com.ar>
Enviado: Lunes, 10 de Abril de 2000 12:05 p.m.
Asunto: [CursoFAC] Acerca del Fix 2001
Foro de Educacion Continua en Cardiologia
Federacion Argentina de Cardiologia - CETIFAC
Informatica en Cardiologia
------------------------------------
Queridos amigos:
Decia Gustavo:
> Lo que llama la atención es que se identifica automáticamente como administrador@ (nombre del proveedor de servicios de internet al que
> está abonado el usuario).
Esto es sencillito para el que programo el virus. La orden es la siguiente
"escriba en FROM = @servidor del destinatario"
Es tan sencilla (y burda la orden) y tan facil de programar, que el mensaje del virus que me llego figuraba como enviado por
admin_@sminter.com.ar
cuando mi servidor hace mas de un anio que dejo de llamarse SMINTER. Desde entonces se llama VIA-NET WORKS. Esto significa claramennte, que ese pseudo FROM fue tomado de la libreta de direcciones del inocente que me lo envio.
> En Corrientes, se lo identificó hasta ahora proveniendo de Arnet e  Infovia.
> No tengo información de usuarios de otros servidores.
Eso no tiene nada que ver con la intencionalidad. El virus proviene de algun inocente que abrio el archivo Fix 2001 antes que lo abriera el que
se esta infectando.
Por ejemplo, en mi caso, el virus provenia de un alumno de nuestro Curso Universitario de Dolor.
En realidad provenia del servidor SANPEDRO.COM.AR.
Me parecio reconoceren esa direccion, un servidor del que tengo alumnos tanto del Curso de Dolor como el de ARRITMIAS.
Fui a la base de Datos, con la idea de escribir a todos ellos previniendoles que tal vez estuvieran infectados con un virus. Entonces constato que habia un usuario del que acababa de recibir una consulta acerca del Curso. Cuando comparo los horarios de ambos mensajes -el real
del alumno y el que contenia el virus, supuestamente enviado por mi propio administrador- veo que tenian la misma hora de salida de SANPEDRO.COM.AR
Inmediatamente le escribi al colega, alertandolo, pero creo que fue demasiado tarde: me llego un rebote, como que desconocia esa direccion.
COROLARIO: No nos cansaremos de repetir que no deben abrirse mensajes conteniendo archivos que no hayamos solicitado o que el remitente no nos haya informado que nos iba a envia. Asi sea mi hermana, un amigo, Armando Pacher o yo mismo.
:-)
Un abrazo
Edgardo

Top

#100 De: Moderador del Foro <edgardo@schapachnik.com.ar
Enviado: Miércoles, 12 de Abril de 2000 01:19 p.m.
Asunto: [Informatica-FECC] Nuevo Virus
Foro de Educacion Continua en Cardiologia
Federacion Argentina de Cardiologia - CETIFAC
Informatica en Cardiologia
------------------------------------
Queridos amigos:
Les remito esta informacion emanada del Departamento de Seguridad Informatica de Rediris.
Un abrazo
Edgardo
=========================================================================
NOMBRE: W95/Firkin.Worm
- ------
ALIAS: 911 Share Virus, Bat/911, Bat/Chode.Worm, Foreskin, VBS_Bat611, - ------ Chode911, Chode, 911, Bat_Chode911, BAT/worm.Firkin.
FECHA DE DETECCION: 22 de Marzo de 2000
- ------------------
DESCRIPCION:
- -----------
W95/Firkin.worm es un nuevo gusano capaz de borrar discos duros y efectuar llamadas al numero de emergencias de Estados Unidos. Actualmente, este codigo malicioso, del que existen dos variantes, no se encuentra circulando libremente por lo que el riesgo de infeccion es bajo
Este virus, esta formado por diversos ficheros BAT y algunos programas destinados a su propagacion empleando para ello, la conexion a internet del ordenador infectado. Tiene la peculiaridad de buscar en un rango de direcciones IP de ISPs bastante conocidas (como ATT Worldnet, BellSouth Net, Level3 Net, America Online, Mindspring, Earthlink, o PSInet) un ordenador en el que pueda realizar una intrusion. Para poder realizarlo e introducirse es necesario que el ordenador que va a infectar tenga el disco duro compartido en red y que pueda compartirse con otros usuarios sin que para ello sea necesario la utilizacion de contraseña.
EFECTOS:
- --------
Cuando BAT/Worm.Firkin infecta un ordenador inserta una línea final (SLAM.BAT) en el fichero de proceso por lotes AUTOEXEC.BAT, que se ejecuta siempre que el ordenador arranca. De esta manera, consigue fichero SLAM.BAT, que calcula un valor aleatorio. Dependiendo del
resultado que obtenga, puede que no suceda nada o que se produzca una de las siguientes situaciones:
- -Al arrancar el sistema (o ejecutar este fichero) busca un módem y realiza llamada al número de emergencias de algunos países (como, por
ejemplo, el 911 en EE.UU.). El gusano realiza esta operación con una probabilidad de 1/6.
- -Formateo de las unidades de disco D:, E:, F:, G: y H:. Tras llevar a cabo esta acción, el gusano muestra en pantalla el siguiente mensaje:
"You have been sLamMeD By fOREsKIN mOThERfUCKER"
Después de mostrarlo, BAT/Worm.Firkin formatea el disco C:. Esta acción, que realiza el gusano dependiendo del valor obtenido, ocurre con una probabilidad del 2/6
El virus crea un fichero llamado FINAL.BAT que contiene los comentarios:
REM fOREsKIN sElf rEPlIcAToR vERSION 1.07c
final CHAoS (C) 2000 EMD LABS INC
REM rAndOm dEvIStAtOr
REM nOt pErFECt, bUt iT sERvES iTS
pUrPosE....bAtCh fIlE pROgRAMmINg
REM sInCe tHis vIrUs uSeS aN .eXe fILe iT cAn
pOtEnTiAllY sPReAD otHeR vIRuSeS oThER tHAn
iTsElF...cOoL!!!
REM wAs nOt cREaTED bY tHE sAMe pERsON tHAT
wROtE tHe nETwORk.vBs sHIt
REM iT wAs jUsT iN mY wAy
Las llamadas que BAT/Worm.Firkin realiza al número de emergencias pueden colapsar las centralitas de estos centros o impedir el tratamiento correcto de las auténticas llamadas de urgencia. Por tal motivo, y con el objetivo de encontrar al autor, el FBI y el Centro de Protección de infraestructura Nacional (National Infrastucture Protection Center), que ha sido el organismo que ha identificado a BAT/Worm.Firkin, estudian este codigo.
PREVENCION Y DESINFECCION:
- --------------------------
Para eliminar el virus hay que proceder a detectar los ficheros citados y eliminarlos.
Se recomienda no ejecutar ningun fichero adjunto a un mensaje de correo que provenga de una fuente desconocida y aquellos que aun proviniendo de una fuentes conocidas, no hayan sido solicitados.
FUENTES:
- --------
PandaSoftware
http://www.PandaSoftware.com/default.asp?idioma=1
Mcafee
http://vil.nai.com/villib/dispvirus.asp?virus_k=98557
Datafellows
http://www.datafellows.com/v-descs/firkin.htm
Symantec
http://www.sarc.com/avcenter/venc/data/bat.chode.worm.html
TrendMicro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=BAT_CHODE911

Top

#101 De: Moderador del Foro <edgardo@schapachnik.com.ar>
Enviado: Miércoles, 12 de Abril de 2000 02:49 p.m.
Asunto: [Informatica-FECC] Spams o mensajes no solicitados
Foro de Educacion Continua en Cardiologia
Federacion Argentina de Cardiologia - CETIFAC
Informatica en Cardiologia
------------------------------------
Queridos amigos:
Les recomiendo lean un informe de Jesus de Las Heras, el Administrador General de RedIRIS, la Red Academica Espaniola, acerca de como identificar y proceder con los mensajes de correo no solicitado que generalmente llegan y cada vez mas. Estos mensajes son los que generalmente se conocen como SPAM.
Jesus explica que hacer y que no hacer cuando nos llega uno de ellos.
Pueden encontrar el texto en:
http://www.rediris.es/rediris/boletin/52/informe.html
Creo que merece ser leido.
Un abrazo
Edgardo

Top



© CETIFAC
Bioengineering
UNER

Update
Abr/12/2000