[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[escepticos] RV: Oxygen3 24h-365d [Informe de incidencias - 05/09/99] -Sixtieth Skeptic-

To: <escepticos en ccdis.dis.ulpgc.es>
Subject: [escepticos] RV: Oxygen3 24h-365d [Informe de incidencias - 05/09/99] -Sixtieth Skeptic-
From: "Javier Marí" <jamc@...>
Date: Tue, 7 Sep 1999 21:01:28 +0200
Reply-to: escepticos en ccdis.dis.ulpgc.es
Sender: owner-escepticos en dis.ulpgc.es

Que no os engañe el nombre, que se trata de un bicho mu malo y criminás.

Saludos

Javier Marí
jamc en ctv.es
http://drive.to/jamc
http://www.ctv.es/USERS/jamc/
ICQ: 34487967 
Sinaptic en el IRC

________________________________________________________________
"Tal vez no estemos aquí para alabar a dios, sino para crearlo"

      A. C. Clarke


----- Mensaje original ----- 
De: <panda en pandasoftware.com>
Para: <jamc en ctv.es>
Enviado: viernes, 01 de enero de 1999 0:00
Asunto: Oxygen3 24h-365d [Informe de incidencias - 05/09/99]


> 
>                                    - Informe de incidencias -
>  
>                                 Oxygen3 24h-365d, por Panda Software
> 
> Madrid, 5 de septiembre de 1999 -- Los virus de macro vuelven a tomar un especial protagonismo en nuestro informe semanal, incluyendo una nueva variante del famosísimo Melissa.
> 
> El virus de macro W97M/SSkeptic (alias Sixtieth Skeptic) creado por Lys Kovick, se compone de dos partes, la primera se ejecuta al abrir un documento y contiene la rutina de descifrado del cuerpo del virus. Por su parte, la segunda incluye el cuerpo del virus y se ejecuta una vez descifrado.
> 
> Inicialmente desactiva la protección antivirus de Word, y comprueba si existe la entrada del registro:
> 
> "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Sixtieth Skeptic". En caso de existir termina la ejecución del programa, en caso contrario, crea dos archivos de nombres C:\SS.VBS Y C:\SS.BAS en los que graba su propio código.
> 
> Tras esto se activa el payload del virus consistente en enviar, a través de OutLook, y a un máximo de 60 usuarios de la libreta de direcciones, el siguiente correo electrónico:
> 
> Asunto: "Important Message From " + <Nombre de usuario>
> Cuerpo: "Look what I found..."
> Attachment: Se envía a sí mismo como "attachment"
> Destinatario: Hasta un máximo de 60 entradas de la lista personal
> de direcciones.
> 
> Si Sixtieth Skeptic es capaz de enviarse a 60 direcciones de correo de la lista de direcciones, el virus de macro W97M/Melissa.O1 es una variante del conocido Melissa. Es otro más de una saga de macros a camino entre el virus y el gusano. Su principal característica es la de poder enviarse
> automáticamente por correo electrónico a una serie de destinatarios escogidos de la libreta de direcciones del usuario infectado.
> 
> Otra de las características de los virus de macro de la familia del Melissa es la inclusión de comentarios (en inglés) escogidos de la serie de dibujos animados "Los Simpson". Esta variante sólo
> se diferencia del W97M/Melissa.A en la inclusión de dos nuevas líneas en la macro en las que se asignan valores a dos variables:
> 
> Set prevDocument = NormalTemplate
> Set nextDocument = newDocument
> 
> Los virus de MS-DOS siguen siendo habituales en nuestro informe semanal, en esta ocasión Lazarus.2222 viene a rescatar dicha tradición. Este virus residente y cifrado, infecta archivos com
> (excepto command.com) y exe. Cuando se ejecuta un fichero infectado, lo primero que hace es buscar (y si lo encuentra infectar) el fichero Format.Com en los siguientes directorios: C:\Dos, C:\Win95\Command y C:\Windows\Command. Tras ello, busca los ficheros Anti-vir.dat, Chklist.cps, Chklist.ms y Qhchk.inf para borrarlos.
> 
> A continuación queda residente a la espera de que se ejecuten ficheros com o exe para poder infectarlos. En el caso de los primeros sustituye los bytes del inicio para reapuntarse a sí mismo y asegurarse la ejecución. En el caso de los segundos varía los registros CS, IP, SS y SP con idéntico objetivo. Tanto unos como otros se identifican por tener un tamaño 2.222 bytes más que
> antes de la infección. Por último, es de destacar que sustituye las interrupciones 3, 21 y 24.
> 
> Otro virus de MS-DOS, igualmente residente y cifrado es Supervisor.3578, que infecta archivos com y exe, excepto command.com. Cuando se ejecuta un fichero infectado, el virus queda residente a la espera de que se ejecuten ficheros com o exe para poder infectarlos. En el caso de archivos com sustituye los bytes del inicio para reapuntarse a sí mismo y asegurarse la ejecución. En el caso de ejecutables exe, varía CS, SS y SP (el IP permanece intacto) con idéntico objetivo. Una vez infectado el archivo, rellena con ceros el último parágrafo y a continuación se coloca él. Esto hace que los ficheros infectados aumenten su tamaño de forma variable en torno a los 3578 bytes.
> 
> ------------------------------------------------------------------------
> Para darse de alta o baja en esta lista acceda a: 
> http://www.oxygen3.com/espanol/index.htm
> Para cualquier comentario sobre esta noticia, por favor contáctenos en:
> mailto:oxygen365_staff en pandasoftware.com
> Oxygen3 24h-365d es creado y distribuido diariamente por Panda Software.
> ------------------------------------------------------------------------
>

Prev by Date: [escepticos] petición de direcciones gueb sobre astrología/astronomía en castellano
Next by Date: RE: [escepticos] vaya, vaya
Previous by thread: [escepticos] petición de direcciones gueb sobre astrología/astronomía en castellano
Next by thread: [escepticos] Kinesiología
Index(es):
- Date
- Thread