El virus Mydoom se extiende masivamente en un sólo día

Ahora llega el mydoomB que se propaga usando el MydoomA
y que ataca a Hasecorp alavez que a aSCO
http://www.theinquirer.net/?article=13867

¿Creeis que alguno de estos "biólogos" que tanto bien hacen a la informática se equivocará algún día y en lugar de atacar a SCO o a microsoft atacará al loopback?

Bueno resulta que un amigo mio tiene un amigo al que se le ha infectao el pc .... ¿es suficiente acaso cambiar la fecha del pc al 13 de febrero para que pueda respirar tranquilo (o por lo menos hasta que saquen un remedio) ?

Para los que se lo han pillado, ya hay un Stinger en el sitio de Network Associates.
En el mismo link está la información detallada sobre como ataca.

Saludos

"ACTUALIZACIÓN: SCO ha puesto precio a la cabeza del creador del virus, ofreciendo 250.000 dólares a quien aporte información que conduzca a su detención."

Un cuarto de millon? Yo creo que hasta el autor del virus estara tentado de autodenunciarse asi mismo para cobrar la pasta xDDD

3 Meses a la cárcel y 40 millones de pesetas mas rico.

Son las 00:42h y acabo de llegar a mi casa despues de terminar una jornada de curro de cagarse gracias a Mydoom. Y sobre todo desde aqui quiero dar las gracias a ese gran usuario de mi empresa que encima es "sincero".

Si si, sincero. Pq cuando en el terminal te salta una alerta de "La maquina xxxxx, esta infectada bla bla bla, con el archivo message.zip blablabla...
Y consultas al usuario (recordemos que todo el mundo es inocente hasta que se demuestre lo contrario) no sin antes quitarle el cable de red, este te dice: "yo no he ejecutado nada, ademas ese correo yo no lo he abierto porque los correos de remitentes que no conozco no los abro.")

Esto...
Si...
Y UNA MIERDA!!!!

Pero vamos a ver, que sentido tiene ejecutar un documento adjunto de un mail que no tenemos ni puta idea de donde viene!!!!!????? Ademas teniendo como asunto o remitente algo que jamas nos haria pensar que ese mail nos lo ha enviado algun conocido. Deacuerdo que las direcciones pueden ser modificadas (es uno de los reclamos de los virus y puede despistarnos cuando ademas utilizan la libreta de direcciones de la maquina infectada) pero el asunto nos da siempre muchas pistas de la sorpresa que nos podemos llevar.

ASUNTO Y DIRECCION DEL CORREO INFECTADO QUE LLEGO A ESTE USUARIO:

De: elosoyonki@yahoo.co.ur
Asunto: zxwdywb4uu1 (o algo asi)
Adjunto: message.src

Y...

LO ABRIÓ!!!! Y LO EJECUTÓ!!!

Tenia en el disco "taskmon.exe", tambien las dos .dll que te metia en system32 y por supuesto las entradas correspondientes en el registro.

Ha sido solo una maquina de las cerca de 490 que tenemos en la empresa.

Utilizamos ePolicy Orchestrator y McAfee Viruscan 4.5.1 para el area de seguridad de anti-virus.
Este equipo que se contagio fue porque Windows (el mayor virus evidentemente de todos) paro un servicio de McAfee (Vshield) y del ePoliciy (naimas32). El usuario recibio el correo y este no fue migrado a un buzon que tenemos para los archivos infectados y que no permite el acceso al usuario para que no lo ejecute precisamente.

En fin que al descubrir que este equipo habia detenido el servicio de escaneo hemos tenido que repasar in-situ cada uno de los equipos (la tension y la inseguridad de que hubiera mas equipos en esta condiciones era evidente). Desde las 9.30h (hora en la que se detecta) hasta las 00:00h, cinco personas hemos estado como cabrones entrando en todas las maquinas y chequeando que todo fuera ok.

Asi que en nombre de mis compañeros queremos agradecer a este usuario su inestimable estimulo que nos ha otorgado hoy para que el aburrimiento fuera una mera utopia...
Tambien queremos agradecer a Microsoft su gran compatibilidad con los virus que salen... Y por supuesto con la facilidad que cualquier script tonto que hagas sea capaz de escribir en el registro de Windows!!!

Por otro lado para que veais lo extendido que esta este Mydoom, hoy tenia en mi cliente de correo cerca de 800 notificaciones de intento de entrada de este virus en el sistema.

Que solo queria escribir estas lineas para desahogarme un poco con vostros y tambien para deciros que tengais cuidadooooo con lo que ejecutais en casa.
Y sobre todo si trabajas en una oficina con acceso a internet y correo, cortate un pelo, que esto de los virus esta muuuu jodio.

A este usuario le van abrir expediente sancionador, ya que los logs demuestran que evidentemente ejecuto un archivo adjunto de procedencia desconocida.
Puede parecer exgaerado pero donde trabajo (multinacional inglesa) cuando firmas el contrato, tambien firmas un documento de tratamiento de informacion donde te informan de las normativas de la empresa y entre ellas esta la del correo y su uso.


Con esto no defiendo a mi empresa ni mucho menos, simplemente deciros como esta el tema.
Por la parte que me ha tocado a mi pues me jode mucho que un tio haga que mi jornada laboral termine a las 00:30h en lugar de las 18:00h como es normal. Y encima te diga que no lo ha ejecutado... La policia no es tonta pelele!!!


Bueno voy a fumarme un par de tronchos y me voy a sobar.
Pero antes una partida al GhostHunter

Un saludo a tod@s!!!

Dile a tu encargado de Informática que le ponga un antivirus al servidor de correo, o que ponga un proxy pop3 antivirus.

En mi empresa instalé yo mismo un proxy pop3 y no entra ni uno

Escrito originalmente por Harl
Ahora llega el mydoomB que se propaga usando el MydoomA
y que ataca a Hasecorp alavez que a aSCO
http://www.theinquirer.net/?article=13867

Recibido mediante la Alerta de virus de Panda
Al igual que su predecesor, Mydoom.B.worm afecta principalmente a redes corporativas de cualquier tamaño, a las que puede llegar a colapsar. Para ello, se reenvía -utilizando su propio motor SMTP- a todas las entradas de la libreta de direcciones de Outlook y a todas las direcciones que se encuentren en los archivos con extensiones .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab y .txt que estén almacenados en el equipo.
Adicionalmente, Mydoom.B.worm también puede propagarse a través de la aplicación P2P KaZaA.

Además, Mydoom.B.worm sobrescribe el fichero de hosts de Windows. Así, consigue redirigir determinadas direcciones de Internet -entre las que se encuentran las de varias compañías antivirus- de forma que, cuando el usuario intente acceder a ellas, el navegador mostrará el típico mensaje de error indicando que la página no ha sido encontrada. Con ello, impide que muchos antivirus puedan descargar las actualizaciones correspondientes.

Otra diferencia de la nueva variante en relación con Mydoom.A.worm es que, presumiblemente, está diseñada para causar ataques de denegación de servicio contra los servidores de la compañía Microsoft.

Como esto siga asi saldran variantes para cada empresa

Escrito originalmente por buddy_X
Son las 00:42h y acabo de llegar a mi casa despues de terminar una jornada de curro de cagarse gracias a Mydoom.

En primer lugar, compañero buddy-x gracias por compartir con todos los eolianos tu intensa jornada.

Caballeros, asi es como un virus JODE la existencia de los usuarios y de los administradores de sistemas.

Espero sinceramente que os paguen las horas extras compañero, lo digo pq en muchos casos de este tipo NO se pagan, principalmente porque no son productivas.

Esto le puede pasar a cualquiera, si una notaria se para un dia por un virus "tan tonto", las perdidas son brutales, y no estoy hablando de la notaria en si misma, sino de los bancos que tratan con ella, de las personas que van alli a tramitar la compra de su casa, o la apertura de su empresa...

y ese es un ejemplo...ponganlo con una aseguradora, un banco, una academia o colegio...se hacen una idea, no? y me estoy limitando al sector privado...si lo ponemos en el sector publico la cosa puede ya rallar limites catastroficos.

para concienciar del uso, mal uso o conveniencia de uso de un sistema operativo u otro, de una plataforma u otra, o de un software determinado u otro, ya hay expertos, tecnicos y comerciales que se ocupan de eso.

Los demas simples mortales (los que estan al lado de dentro de la mesa con el PC y los que estan al lado de fuera de la mesa intentando desarrollar sus vidas y solucionar sus asuntos) pueden ser muy perjudicados en cualquier momento de su vida, y en algunos casos de manera muy desagradable, porque a un fracasado de la vida se le ha ocurrido la brillante idea de "darle una leccion a los cabrones de SCO que estan jodiendo linux".

de verdad, linux merece, y tiene, herramientas de marketing mejores que los gusanos de windows.

Saludos.

_______________________
Son las 00:42h y acabo de llegar a mi casa despues de terminar una jornada de curro de cagarse gracias a Mydoom. Y sobre todo desde aqui quiero dar las gracias a ese gran usuario de mi empresa que encima es "sincero".

Si si, sincero. Pq cuando en el terminal te salta una alerta de "La maquina xxxxx, esta infectada bla bla bla, con el archivo message.zip blablabla...
Y consultas al usuario (recordemos que todo el mundo es inocente hasta que se demuestre lo contrario) no sin antes quitarle el cable de red, este te dice: "yo no he ejecutado nada, ademas ese correo yo no lo he abierto porque los correos de remitentes que no conozco no los abro.")
_________________________________________

Si tienes Exchange server puedes utilizar software de terceros para poder filtras los anexos de tus usuarios.
Uno que utilzo es el CGI (yo lo llamo CSI MIAMI)
Evitaras sustos ademas atualiza cuando pudeas mcaffe a l aversion 7 que es mas potente y el EPO es la leche y no hara falta que esteis hasta las 12 maquina por maquina.

Saludos cordiales.

Wjordi.