Win32.Swen.A@mm
( W32/Gibe@mm )| Propagación : | alto | |
| Daño : | bajo | |
| Tamaño: | 106..496 bytes, compiled with Microsoft Visual C++ 6.0 | |
| Detectado : | 2005 May 31 |
SINTOMAS:
- The user cannot run the registry editor- Presence of files germs0.dbv and germs1.dbv in the Windows directory
- The registry keys [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] and [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System] are altered
- A file with 106.496 bytes in size, of a random name, in the Windows directory.
DESCRIPCIÓN TÉCNICA:
Win32.Swen.A@mm is an internet worm, which spreads mainly via e-mail, but also via Kazaa, Mirc. The worm usually comes as an e-mail. The subject and the body of the e-mail may vary, but the attachment is always 106.496 bytes long.The worm may become active by running the infected attachment of an e-mail, or by running an infected file from the Mirc download folder, Kazaa, etc)
When arriving in an email message, the worm disguises as a Microsoft patch. The email messages are quite realistic and may fool some users to open the infected attachement.
Once ran, the worm checks if its already running; it does that by checking several registry keys; if the worm is already installed and running, it displays the following message box:
The worm alters several registry keys:
[HKCR\\scrfile\\shell\\open\\command] this key will allow the worm to get executed when the user attempts to open a SCR (screen saver file)
[HKCR\\exefile\\shell\\open\\command] this key will allow the worm to get executed when the user attempts to open an EXE (executable file)
[HKCR\\batfile\\shell\\open\\command] this key will allow the worm to get executed when the user attempts to open a BAT (MS-DOS batch file)
[HKCR\\piffile\\shell\\open\\command] this key will allow the worm to get executed when the user attempts to open a PIF file.
[HKCR\\comfile\\shell\\open\\command] this key will allow the worm to get executed when the user attempts to open a COM file.
[HKCR\\regfile\\shell\\open\\command] this key will allow the worm to get executed when the user attempts to open a registry file.
Also, the worm modifies the registry key [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System] and adds the value of 1 (true) to the key DisableRegistryTools.
When the worm is active in memory, it periodically scans the windows registered in the system. If a window contains one of the strings below, it will receive a PostQuitMessage.
\"_avp\", \"ackwin32\", \"anti-trojan\", \"aplica32\", \"apvxdwin\", \"autodown\", \"avconsol\", \"ave32\", \"avgcc32\", \"avgctrl\", \"avgw\", \"avkserv\", \"avnt\", \"avp\", \"avsched32\", \"avwin95\"
\"avwupd32\", \"blackd\", \"blackice\", \"bootwarn\", \"ccapp\", \"ccshtdwn\", \"cfiadmin\", \"cfiaudit\", \"cfind\", \"cfinet\", \"claw95\", \"dv95\", \"ecengine\", \"efinet32\",
\"esafe\", \"espwatch\", \"f-agnt95\", \"findviru\", \"fprot\", \"f-prot\", \"fprot95\", \"f-prot95\"
\"fp-win\", \"frw\", \"f-stopw\", \"gibe\", \"iamapp\", \"iamserv\", \"ibmasn\", \"ibmavsp\"
\"icload95\", \"icloadnt\", \"icmon\", \"icmoon\", \"icssuppnt\", \"icsupp\"
\"iface\", \"iomon98\", \"jedi\", \"kpfw32\", \"lockdown2000\", \"lookout\", \"luall\", \"moolive\"
\"mpftray\", \"msconfig\", \"nai_vs_stat\", \"navapw32\", \"navlu32\", \"navnt\", \"navsched\"
\"navw\", \"nisum\", \"nmain\", \"normist\", \"nupdate\", \"nupgrade\", \"nvc95\", \"outpost\", \"padmin\", \"pavcl\", \"pavsched\", \"pavw\", \"pcciomon\", \"pccmain\", \"pccwin98\", \"pcfwallicon\", \"persfw\", \"pop3trap\", \"pview\", \"rav\", \"regedit\", \"rescue\", \"safeweb\"
\"serv95\", \"sphinx\", \"sweep\", \"tca\", \"tds2\", \"vcleaner\", \"vcontrol\", \"vet32\", \"vet95\"
\"vet98\", \"vettray\", \"vscan\", \"vsecomr\", \"vshwin32\", \"vsstat\", \"webtrap\", \"wfindv32\"
\"zapro\", \"zonealarm\".
If the worm is debugged (analysed), it displays the following message:
The worm gathers e-mail addresses from the infected users address book and uses its own SMTP engine to spread; Also the worm searches for email addresses in .EML, .WAB, .DBX, .MBX, .ASP, .HT* files.
The email message looks like the following:
FROM: \"MS Corporation Security Division\"
TO: \"Commercial Partner\"
SUBJECT: New Internet Critical Upgrade
Body:
Microsoft Partner
this is the latest version of security update, the
\"September 2003, Cumulative Patch\" update which eliminates
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express.
Install now to help protect your computer
from these vulnerabilities, the most serious of which could
allow an attacker to run executable on your computer.
This update includes the functionality =
of all previously released patches.
System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later
Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don\'t need to do anything after installing this item.
Microsoft Product Support Services and Knowledge Base articles =
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/
For security-related information about Microsoft products, please =
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/
Thank you for using Microsoft products.
Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable =
to respond to any replies.
----------------------------------------------
The names of the actual companies and products mentioned =
herein are the trademarks of their respective owners.
Copyright 2003 Microsoft Corporation.
The worm counts the number of infected computers; probably the virus writer needed hits
on its website; It used the http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus hit count system.
When the user clicks the infected attachement, the worm takes control and installs itself into the system. Then, it fakes an error in the Windows Messaging API (MAPI) and asks the user to enter confidential informations like password, account, SMTP server, etc.
KaZaa spreading: the worm also gets the shared KaZaa directory and copies itself there with the following names:
\'Virus Generator\', \'Magic Mushrooms Growing\', \'Cooking with Cannabis\', \'Hallucinogenic Screensaver\', \'My naked sister\', \'XXX Pictures\', \'Sick Joke\', \'XXX Video\', \'XP update\', \'Emulator PS2\', \'XboX Emulator\', \'Sex\', \'HardPorn\', \'Jenna Jameson\', \'10.000 Serials\', \'Hotmail hacker\', \'Yahoo hacker\', \'AOL hacker\'.
It also disguises itself as removal tools for various worms like Klez, Sircam, etc.
The worm also uses NEWS servers; the list is stored as a resource, packed with MS-Compress inside the virus resource section. The worm attempts to post itself to a random News server (chosen from a list of 350 news servers).
INSTRUCCIONES DE LIMPIEZA:
The BitDefender Virus Analyse Team has releasead a free removal tool for this particular virus.Important: You will have to close all applications before running the tool (including the antivirus shields) and to restart the computer afterwards. Additionally you\'ll have to manually delete the infected files located in archives and the infected messages from your mail client.
The BitDefender Antisven-en.exe tool does the following:
You may also need to restore the affected files.
To prevent the virus from replicating itself from infected machines to clean machines, you should try to disinfect all computers in the network before rebooting any of them, or unplug the network cables.
ANALIZADO POR:
Mihai ChiriacBitDefender Virus Researcher
Serie de e-guías Bitdefender
La serie de e-Guías Bitdefender es una iniciativa de aprendizaje destinada a proporcionar al lector de Bitdefender y a la comunidad de usuarios información valiosa sobre las e-amenazas y los problemas de la seguridad en el campo de la tecnología de la información y las comunicaciones, a la vez que ofrecen consejos prácticos y soluciones factibles para la defensa online que necesitan. Los analistas de seguridad de Bitdefender® comparten su conocimiento en la prevención de malware, identificación y eliminación, imprimiendo un énfasis especial en la privacidad online y las distintas tecnologías, contramedidas y diversos métodos de prevención del cibercrimen que existen.
La serie de e-guías está diseñada para una extensa audiencia de pequeñas empresas y usuarios individuales preocupados por la seguridad e integridad de sus redes y sistemas, y se tratan temas que van desde la protección online de la familia y los niños, hasta las redes sociales seguras y la prevención de las violaciones de seguridad de los datos para asegurar los entornos empresariales. Estas e-guías también se ocupan de cuestiones relacionadas con la actividad diaria de los directores de seguridad de los sistemas IT&C, administradores de red y sistemas, desarrolladores de tecnología de la seguridad, analistas e investigadores.
Guía para publicar un blog con seguridad
Consejos y trucos sobre cómo mantener su blog y su identidad a salvo
Publicar en blogs es una de las formas más populares de expresarse por escrito en la Web, con más de 150 millones de blogs indexados en todo el mundo. Mientras que los lectores normales buscan información y artículos, los ciberdelincuentes muestran un interés bien distinto en ellos. Encontrar información privada y conseguir espacio de almacenamiento barato para sus campañas de malware son sólo dos de las múltiples motivaciones por las que otros pueden interesarse en su blog.
Este material aborda las directrices básicas para gestionar blogs de forma segura y se centra especialmente en los blogs de particulares que son hospedados por ellos mismos o proporcionados como servicio por los principales proveedores de blogs.
Guía para asegurar redes inalámbricas (wireless)
Consejos y trucos para blindar su red doméstica frente a los intrusos
Este documento está dirigido a los usuarios de equipos que han implementado o planean implementar una red inalámbrica doméstica. Ahora que la comunicación inalámbrica se ha convertido en una parte importante de nuestras vidas, los ciberdelincuentes intentar explotar cualquier brecha de seguridad en la configuración inalámbrica para interceptar el tráfico o usar la conexión a Internet con fines ilegales.
La siguiente guía le enseñará las mejores prácticas a la hora de usar redes inalámbricas no seguras, además de cómo configurar correctamente su router doméstico o punto de acceso para evitar que otros hagan un mal uso de su red.
Guía online para proteger a sus hijos
Cómo asegurar y defender la experiencia digital de sus niños
Este documento está dirigido a las familias, padres y profesores para ayudar a asegurar las actividades digitales de los niños y adolescentes. En una época en la que la producción en masa y el acceso a los ordenadores han convertido a estos dispositivos en un electrodoméstico más de todos los hogares, los niños se familiarizan con los PCs e Internet desde muy temprana edad. A pesar de sus obvios beneficios relacionados con la comunicación, la Web también puede ser un lugar peligroso para los niños, con e-amenazas orientadas específicamente a su grupo de edad y a los ordenadores del colegio o del hogar.
Esta e-guía cubre los principales riesgos y peligros online para los niños, como el ciberacoso, el acceso a contenido inadecuado, la adicción online y otras acciones online perjudiciales, a la vez que se centra en asuntos tales como el malware, phishing, robo de identidades y spam, a los cuales los adolescentes, al igual que otros usuarios de Internet, están expuestos a diario. La sección de Consejos de seguridad ayuda a los padres y a los profesores a comprender mejor y tratar con estos problemas en relación con los niños.
Guía de seguridad online para los navegantes más mayores
Cómo proteger las ideas y activos de valor contra el hacking
Este documento está dirigido a las familias y personas mayores con el objetivo de ayudarles a navegar de forma segura por la Web y disfrutar de sus actividades online.
A primera vista, pudiera parecer que las personas mayores están tan expuestas al cibercrimen como otros usuarios de Internet sin experiencia, independientemente de su edad. Sin embargo, como muestra esta e-guía a lo largo de diversos casos de estudio, hay varios riesgos y peligros que apuntan directamente a los navegantes más mayores, como son el cobro de pensiones, métodos falsos de pago de impuestos o estafas relacionadas con los ingresos. Junto con los casos de estudio se adjuntan consejos, ejemplos y trucos que ofrecen a sus lectores directrices útiles en las que basarse en su rutina diaria.
Guía de Prevención de Violaciones de los Datos
Cómo proteger las ideas y activos de valor contra el hacking
La e-guía ha sido diseñada para cubrir los diversos puntos de perjuicio para la seguridad de los datos de las empresas, desde cuestiones tales como la integridad física de las redes, hasta los complicados mecanismos del cibercrimen orientado a las empresas (por ejemplo, troyanos bancarios, phishing, etc.). Este material está también concebido para relacionar, aunque no con el detalle de una descripción completamente técnica, las funciones de las diversas soluciones Bitdefender orientadas a las empresas y particulares con las situaciones en las que pueden resultar de ayuda para los administradores de TI.
Consultar este documento resultará muy útil en el proceso de decidir qué es lo mejor para la seguridad en los entornos de red de pequeñas y medianas empresas, y también para crear unos fundamentos sólidos para la investigación comparativa en profundidad sobre este asunto.
Libro Blanco
- Documento técnico de Facebook
- Análisis Antivirus de Bitdefender
- B-HAVE, El Camino hacia el Éxito (.pdf)
- ¿El medio o el mensaje? Tratar con el spam de imágenes, diciembre de 2006,Virus Bulletin
- Combatiendo el Spam por Imágenes
- Tecnología Antispam NeuNet de Bitdefender
- Proactive security I body armor against business attacks
- Documento técnico - Nuevas Amenazas para la Seguridad Corporativa
- Asegurar lo Incierto - La Tecnología Proactiva B-HAVE de Bitdefender frente a la Versatilidad de las Amenazas
- Asegurar el E-Mail - La Primera Línea de Defensa Estratégica
- Nomenclatura de los virus. El dilema de "¿quién es quién?"
- Facebook – Otra brecha en el muro
- Bitdefender Active Virus Control: Protección proactiva Frente a Las Nuevas Amenazas
Informe del panorama de e-amenazas Bitdefender
El propósito de este informe es proporcionar una investigación exhaustiva del escenario de amenazas. Los expertos de seguridad de Bitdefender® analizan y examinan a fondo las amenazas de cada semestre, centrándose en las vulnerabilidades y exploits, distintos tipos de malware, además de en contramedidas, prevención de ciberdelincuencia y cumplimiento de regulaciones. El escenario de e-amenazas se concentra principalmente en las últimas tendencias, pero también contiene hechos y datos relativos a los periodos analizados anteriormente, además de diversas predicciones sobre los semestres venideros. Este documento está pensado principalmente para los Directores de Seguridad de los Sistemas TIC, Administradores de Sistema y Red, Desarrolladores de Tecnología de Seguridad, Analistas e Investigadores, pero también contempla cuestiones relativas a un público más amplio, como pequeñas organizaciones o usuarios particulares preocupados por la seguridad e integridad de sus redes y sistemas.
Informe Panorama de E-Amenazas H2 2011 - Resumen
Hace veinte años nació un medio de comunicación electrónico revolucionario. Se hizo tan popular entre el público de todas las edades y profesiones que todavía hoy es el mecanismo de comunicación de datos más utilizado: el SMS – el servicio de mensajes cortos.
Hoy en día, los teléfonos móviles son más que voluminosos artefactos que pueden transmitir voz y mensajes de un punto a otro: son dispositivos obligados en un mundo 2.0 – potentes y complejos, ejecutando sus propios sistemas operativos y, consecuentemente, enfrentándose a la posibilidad de sufrir problemas de ciberdelincuencia. Mientras los primeros seis meses de 2011 estuvieron marcados por vulnerabilidades de software y violaciones de datos de alto nivel, la segunda mitad centró su atención no sólo en una nueva familia de malware, sino en un escándalo de espionaje a usuarios no protegidos que aparentemente involucró a una serie de operadores de telefonía móvil y al controvertido fabricante de software CarrierIQ.
El panorama del malware estuvo dominado principalmente por Trojan.Autorun.Inf y Win32.Worm.Downadup, dos malignos contendientes que tienen sus orígenes en la era de Windows XP, pero que se las ingeniaron para mantener su sitio incluso aunque las actualizaciones de los sistemas operativos o la aplicación de parches hubieran resuelto los problemas de seguridad explotados por estos elementos de malware. Los principales contendientes en la segunda mitad de 2011 son Trojan.AutorunInf, Win32.Worm.Downadup, y Exploit.CplLnk.
Las violaciones de datos atribuidas a la banda Anonymous y sus grupos de hacking satélites continuaron durante la segunda mitad de 2011. Entre los objetivos más importantes se encontraban Mitsubishi Heavy Industries, Adidas, RIM, Tiroler Gebietskrankenkasse, Nexon e incluso Naciones Unidas. Las empresas de certificación de Confianza Empresarial también estuvieron en el ojo del huracán cuando el incidente de DigiNotar en la primera mitad de 2011 expuso a los incautos usuarios a un ataque de phishing masivo que se utilizó para robar certificados digitales para instituciones de alto nivel y agencias gubernamentales como Google, Tor, la CIA y el Servicio Secreto Israelí, el Mossad.
Las redes sociales han jugado también un papel determinante en la diseminación de malware y distribución de noticias falsas sobre muertes de personalidades relevantes como la de Muammar Gaddafi o Steve Jobs. De particular relevancia fueron las campañas malintencionadas creadas alrededor de la supuesta película de la ejecución de Gaddafi o del obsequio conmemorativo en honor del difundo Steve Jobs.
Descargar ahora la completa Informe Panorama de E-Amenazas H2 2011 (pdf)
Descargar ahora el resumen ejecutivo Informe Panorama E-Amenazas H2 2011 - Resumen Ejecutivo (pdf)
Archivo Comprimido
2011
Descargar ahora Informe Panorama E-Amenazas H1 2011 - Resumen Ejecutivo (pdf)
2010
Descargar ahora Informe Panorama E-Amenazas H2 2010 - Resumen Ejecutivo (pdf)
Descargar ahora Informe Panorama de E-Amenazas H2 2010 (pdf)
Descargar ahora Informe Panorama E-Amenazas H1 2010 - Resumen Ejecutivo (pdf)
Descargar ahora Informe Panorama de E-Amenazas H1 2010 (pdf)
2009
Descargar ahora Resumen Ejecutivo de Revisión de Malware y Spam H1 2009 (pdf)
Descargar ahora Informe Panorama de E-Amenazas H1 2009 (pdf)
Descargar ahora Revisión de Malware y Spam H2 2009 (pdf)
Descargar ahora Informe Panorama E-Amenazas H2 2009 - Resumen Ejecutivo (pdf)
2008
Descargar ahora Informe Panorama de E-Amenazas H1 2008 (pdf)
Descargar ahora Informe Panorama de E-Amenazas H2 2008 (pdf)
¿A quién preguntar? Debajo tiene una lista de todos nuestros representantes, que estarán encantados de responder a cualquier pregunta que les quiera formular.
Director PR Mundial