EstadoCuantico
Usuario (Argentina)
Dispositivo cuántico termoeléctrico convierte calor desperdiciado en energía. Físicos de la Universidad de Arizona han descubierto una nueva manera para recolectar el calor desperdiciado para convertirlo en energía eléctrica. Por medio del uso de un modelo teórico de un dispositivo molecular termoeléctrico, esta tecnología contiene una gran promesa de hacer más eficientes tanto automóviles, como plantas de poder, y paneles solares. Un "bosque" de moléculas ofrece la promesa de convertir electricidad del desperdicio de calor. La termoelectricidad hace posible convertir de manera limpia el calor directamente en energía eléctrica en un dispositivo sin partes móviles”, dijo Justin Bergfield, de UA College of Optical Sciences. Bergfield diseño un circuito de anillo de benceno de tal manera que en una dirección el electrón es forzado a viajar una distancia mayor que en la dirección contraria. Esta condición causa que las dos ondas del electrón estén desfasadas cuando se reúnen en la parte final del anillo. Cuando las ondas se reúnen, se cancelan una con la otra en un proceso que se conoce como interferencia cuántica. Esta interrupción en la carga del fluido eléctrico ocasiona una diferencia de temperatura y ocasiona un voltaje entre dos electrodos. “Los paneles solares se calientan mucho y su eficiencia se ve mermada por ese motivo”, dijo Charles Stafford. “Podríamos recolectar ese calor y usarlo para generar energía eléctrica adicional al mismo tiempo que enfriamos el panel solar y hacer más eficiente el proceso fotovoltaico.”
Acá les traigo los virus informáticos más destructivos que hubieron en toda la historia. 1 - CIH (1998) Este peligroso virus ha sido llamado por varios nombres, tales como "CIH", "NetworkNuke" y "Chernobyl". El virus W32.CIH, se detectó en Taiwán a principios de Junio de 1998 y al cabo de una semana ya estaba expandido en todo el mundo, según la versión del mismo, puede ser activado el día 26 de Abril, o los días 26 de cada mes (o sea que se puede tener el virus sin consecuencias directas, más que el contagio, hasta esa fecha). El virus infecta los archivos ejecutables de 32 bits de Windows®95/98 e infectará todos los archivos de este tipo que encuentre. Si se ejecuta un archivo infectado, el virus quedará residente en la memoria e infectará los archivos que sean copiados o abiertos. Los archivos infectados serán del mismo tamaño que los originales, debido a las técnicas especiales que utiliza dicho virus, lo cual hace más difícil la detección del mismo. Este virus busca espacios vacíos dentro del archivo y los va llenando con su propio código viral, en pequeños segmentos. De todas formas el virus tiene algunos bugs que hacen que pueden bloquear la PC cuando se ejecutan archivos infectados. Todas las variantes de este virus borran los primeros 2048 sectores del disco duro, esencialmente, y luego formateándolo, además intenta re-escribir el BIOS de la computadora, dejándola inutilizable hasta el cambio de BIOS o de placa madre. Este último tan solamente ocurre con placas madres que tienen un BIOS sobre-escribible (Flash-Bios). El virus tiene dos consecuencias en la fecha de activación: La primera es que borra o sobre-escribe la información del disco duro usando llamadas de escritura directa, saltándose las protecciones antivirus de BIOS, sobre-escribiendo asimismo el MBR (MASTER BOOT RECORD) y el sector del BOOT. Estas son sus características básicas: El CIH está programado para activarse el 26 de Abril (aniversario del accidente en Chernobyl). Algunas variantes de este virus se activarán el 26 de Junio y la versión 1.4 lo hará el dia 26 de cualquier mes. Este virus infecta los archivos ejecutables de Windows®95/98 (archivos .EXE) Su código viral se integra como parte del archivo EXE ocupando un espacio no usado para de este modo evitar su detección. Trabaja bajo la modalidad de "disparo", que le permite no evidenciarse hasta que se activa en la fecha indicada. El virus CIH destruye archivos en el disco duro y la memoria del BIOS en computadoras que cuentan con un Flash BIOS con capacidad de ser actualizable y que que se encuentre configurado como write-enabled. Chen Ing-Hou, el creador del virus CIH, que lleva sus iniciales, muestra su amplia sonrisa en el Criminal Investigation Bureau en Taipei, Taiwan. Manifiesta que siente mucho por lo desbastante de su creación viral, pero ello fue motivado por una venganza en contra de los que llamó "incompetentes desarrolladores de software antivirus". "El no es un criminal aquí, mientras que no exista una denuncia formal", dijo un vocero de la policía y "todo lo que sabemos acerca del virus es por las noticias provenientes del extranjero.” Chen fue posteriormente acusado de ser sospechoso de haber esparcido en Internet un virus de computadora y de probársele los cargos podría enfrentar una pena de 3 años de prisión, además de daños y perjuicios reaclamados por posibles víctimas. Por esos motivos, Chen fue inmediatamente puesto en libertad. Cuando Chen creó el virus era un estudiante de Ingeniería de Computación en el Instituto Tecnológico de Taipé y después graduarse, está cumpliendo el Servicio Militar Obligatorio en su país. CIH en accion LINK 2 - Melissa (1999) Virus Melissa o W97M/Melissa.A Aproximadamente a las 2:00 PM GMT-5 del Viernes 26 de Marzo de 1999 empezó a propagarse Melissa. El nuevo macro virus de Word se expande a una velocidad increíble. Funciona en combinación con Microsoft Word y Microsoft Outlook, tanto para versiones de MS Office 97/98 y MS Office 2000. Efectos del virus: El nuevo virus Melissa infecta archivos de Word aprovechando su capacidad de ejecutar Scripts de Visual Basic. Sus acciones principales son las siguientes: Infecta a MS Word y éste a todos los archivos que se abren. Cambia ciertas configuraciones para facilitar la infección. Se auto-envía por correo, como un mensaje proveniente del usuario a las primera 50 buzones de la libreta de direcciones de su correo. Cuando un documento de Word infectado es abierto, Melissa infecta la plantilla de documentos normal.dot, que es donde se encuentran todos los valores y macros predeterminadas del programa. A partir de este momento todos los archivos serán infectados por el virus. Versiones que infecta Melissa verifica la versión de Word que la PC contenga, y se adapta a la misma. Sólo funciona con Word97 y Word 2000. Las versiones 95 y anteriores no sufren riesgo. Forma de auto-distribuirse Si se tiene instalada la versión completa de Microsoft Outlook (no Outlook Express), el virus se envía a los primeros 50 contactos en la libreta de direcciones como un archivo adjunto, a un email que figura como proveniente de parte suya. Y en general figura en el cuerpo del mensaje, este texto: Here is that document you asked for ... don't show anyone else ;-) Si la persona tiene varias libretas de direcciones, se enviará a los primeros 50 contactos de cada una. A su vez éste envío tendrá un efecto multiplicador, vale decir que cada una de los buzones que recepcionen el mensaje lo distribuirán a los 50 que le correspondan. El Chiste de Bart Simpson Además de todo lo que el virus realiza, en determinados casos cuando la fecha y la hora en la computadora coinciden (por ejemplo, las 3:33pm del 03 de Marzo), escribe la frase "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here." en el documento activo. El 8 de Abril de 1999, David L. Smith, de 30 años, natural de Aberdeen, New Jersey y sospechoso de ser el autor del virus Melissa hizo su primera aparición en público en la Corte Superior del condado de Monmouth para escuchar las acusaciones en su contra. El sospechoso permaneció silencioso cuando escuchó los cargos. Las autoridades de New Jersey acusaron a Smith de interrupción de las comunicaciones públicas, conspiración para cometer el delito, intento de delito y robo de servicios de computadoras, en tercer grado. Todo esto lo hace enfrentar una posible pena de varios años de cárcel y al pago de una multa de US $ 480,000. Pero aún, a pesar de haber aparecido en la corte, han surgido cuestionamientos sobre si él es el verdadero autor del virus. Posteriormente David L. Smith, programador de computadoras, alegó su inocencia y manifestó que creó el virus en su departamento de Aberdeen y lo llamó así en memoria de una bailarina Topless, del estado de Florida.. Jonathan James, un joven de 18 años de edad y analista de virus de Suecia, quien estuvo ayudando al FBI con la investigación, afirma haber identificado a un segundo sospechoso, al cual cree estuvo involucrado en la creación de Melissa. James no ha dicho mucho acerca del otro sospechoso, pero lo describe como un autor de virus, de sexo masculino, que reside en algún lugar de Europa y que que ya ha informado al FBI el lugar donde ubicarlo. James dijo también que este creador de virus habla alemán. Partes de código fuente del virus Melissa incluye palabras que tienen orígenes en este lenguaje. Esto significaría que Smith no escribió Melissa? De acuerdo a James, parece ser que Smith estuvo involucrado en difundir el virus, pero que no parecía el ser el autor. La más simple explicación daría a entender que el escritor del virus no sabía como enviar el virus por E-mail y que Smith lo habría hecho a solicitud del verdadero autor. Por otro lado, una investigación de la dirección del Protocolo de Internet de un e-mail enviado por un sospechoso apodado VicondinES ha descubierto una enorme coincidencia: ambos Smith y VicondinES son usuarios de un pequeño proveedor de servicios de Internet en el condado de Monmouth, New Jersey. Papa.A Virus o X97M/Papa.A Virus El X97M/Papa.A viene a ser el equivalente al macro virus W97M/Melissa.A., pero para MS Excel 97 y 2000. Fue difundido el 29 de Marzo de 1999 en los newsgroup de alt.sex.bondage y alt.binaries.pictures.erotica, dentro de un archivo de nombre PASS.XLS, pretendiendo contener passwords. Este archivo, una vez abierto con el Excel 97 ejecuta una macro que en vez de iniciar una sesión de Outlook (como se supone debería ser) ejecuta Outlook Express y se auto-envía a las primeras 60 direcciones en cada libro de direcciones, utilizando obviamente para ello, el código del virus W97M/Melissa.A. Comportamiento: El archivo se envía como un documento adjunto al E-Mail. El tema del mensaje es el siguiente: "Fwd: Workbook from all.net and Fred Cohen". El Cuerpo del mensaje dice así: "Urgent info inside. Disregard macro warning." Luego (se supone que en forma aleatoria, con una probabilidad de 1 a 3), envía un PING con 60.000 bytes de basura a una de dos direcciones IP: 207.222.214.225 o 24.1.84.100. Existe una posibilidad de 1 a 3 de elegir cualquiera de las dos direcciones y una probabilidad de 1 a 3 de no elegir nada. El programa no intenta infectar otros libros de trabajo de Excel 97, solo intenta enviar copias masivas de si mismo por E-Mail (técnicamente es un gusano). Afortunadamente el archivo infectado que fue subido se encuentra dañado y por lo tanto el programa en el no funciona. El virus X97M/Papa.A no representa una amenaza inmediata, ya que es imposible que pueda ejecutarse. De cualquier modo, los errores en el pueden ser fácilmente reparados, lo que seguramente indica que podemos llegar a ver mas virus de este tipo en un futuro no muy lejano. X97M/Papa.B Virus El virus macro X97M/Papa.B es una variante del X97M/Papa.A. La diferencia radica en que uno de sus bugs (el mas importante) esta arreglado. En efecto, funciona y puede hacer lo que la variante A intenta hacer. Fue difundido el 30 de Marzo de 1999 en el newsgroup alt.sex.stories y alt.sex.incest. Comportamiento: La variante B es un gusano, un archivo que se replica a si mismo sobre las redes que utilizan correo electrónico (al igual que la variante A, requiere Microsoft Outlook). No infecta otros archivos, es el propio archivo que lo contiene quien es enviado una y otra vez. El archivo que contiene este virus se encuentra dañado intencionalmente de tal forma que el editor de VBA no puede mostrar el código fuente de los módulos VBA. Sin embargo, el código de estos virus puede ejecutarse y replicarse. Durante experimentos realizados, el virus falló al trabajar con Excel 97 SR-1 y SR-2. Al parecer solo corre en Excel 97, probablemente como resultado del daño del archivo. Por otro lado tampoco puede ser abierto por Excel 95 o versiones anteriores. Melissa en accion LINK 3 - ILOVEYOU (2000) El Viernes 4 de Mayo del 2000, fue propagado a través de mensajes de correo, un virus desarrollado en Visual Basic Script, denominado LOVE LETTER, constituyéndose a las pocas horas en el más grande ataque viral de la historia de la computación. Ha causando daños en la información de millones de computadoras en todo el mundo, con pérdidas cuantiosas de dinero estimadas hasta la fecha en más de 7 billones de dólares, según la National Security Agency, incluyendo ataques al Pentágono y a algunos sistemas secretos del Ejército de los Estados Unidos. Al 5 de Mayo del pte. se reportaron variantes con los asuntos Very Funny, Joke y Mother's Day, en los nuevos mensajes. Plataformas afectadas: Windows®95, Windows®98, Windows®2000 y Windows®NT. Sobre-escribe archivos, haciéndolos irrecuperables y no tiene fecha de activación, ya que infecta inmediatamente después que es ejecutado. La infección se produce a través de mensajes de correo y el mIRC, con el asunto "I LOVEYOU" y el archivo adjunto (attached) LOVE-LETTER-FOR-YOU.TXT.vbs. Se propaga a través del cliente mIRC, enviando vía DCC el archivo "LOVE-LETTER-FOR-YOU.HTM" a todos los usuarios conectados en la misma línea de Chat. La extensión VBS (Visual Basic Script) puede permanecer oculta en las configuraciones por defecto de Windows, lo cual puede hacer pensar que se trata de un inocuo archivo de texto. Cuando se abre el archivo infectado, el gusano procede a infectar el sistema, y expandirse rápidamente enviándose a todos aquellos contactos de la libreta de direcciones del MS-Outlook del usuario, incluidas las agendas globales corporativas. Esta especie viral procede de Manila, Filipinas, y su autor se autodenomina "Spyder", sin embargo no existen pruebas de que lo sea. Debido a que el servicio del ISP (Proveedor de Servicios de Internet) fue usado por medio de tarjetas pre-pago, no existe forma de identificar al dueño de las 2 cuentas desde las cuales fué enviado el gusano, y podría haber sido hecho desde cualquier parte del mundo, haciendo uso de estas cuentas de correo. rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / [email protected] / @GRAMMERSoft Group / Manila,Philippines El virus crea las siguientes claves en el registro, que deberán ser borradas para evitar que el virus se ejecute en forma automática cuando se re-inicie el sistema: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32] [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL] También será necesario borrar los archivos: WIN32DLL.VBS, ubicado en el directorio de Windows, por defecto WINDOWS WIN32DLL.VBS, ubicado en el directorio de Windows, por defecto WINDOWS MSKERNEL32.VBS LOVE-LETTER-FOR-YOU.VBS, ubicado en el directorio de sistema, por defecto WINDOWSSYSTEM El gusano modifica la página de inicio de Internet Explorer con una de 4 direcciones URL, que elige aleatoriamente bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al archivo WIN-BUGSFIX.EXE, que una vez descargado modifica el registro de Windows, para que este programa también sea ejecutado en cada inicio del sistema y modifique nuevamente la configuración de Internet Explorer, presentando en esta ocasión una página en blanco como inicio. Si el gusano ha conseguido realizar el paso anterior también se debe borrar el archivo: WIN-BUGSFIX.EXE, ubicado en el directorio de descarga de Internet Explorer y la entrada del registro: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX] El gusano también detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema, el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI, donde se encontrará, entre otras líneas, las siguientes instrucciones: n0=on 1:JOIN:#:{ n1= /if ( $nick == $me ) { halt } n2= /.dcc send $nick "&dirsystem&"LOVE-LETTER-FOR-YOU.HTM n3=} Estas líneas causan que el gusano se autoenvíe vía DCC, a través del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de mIRC que entren en el mismo canal de conversación donde se encuentre el usuario infectado. En este caso se deben borrar los archivos: LOVE-LETTER-FOR-YOU.HTM, ubicado en el directorio de sistema, por defecto WINDOWSSYSTEM SCRIPT.INI (si contiene las instrucciones comentadas), ubicado en el directorio de mIRC El virus sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en los que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, haciéndolos irrecuperables, y crea otros con un nuevo nombre formado por el nombre y la extensión anterior, más .VBS, como la nueva extensión real. Cabe mencionar que este mismo gusano puede presentarse bajo otros nombres de archivo con tan sólo unas simples modificaciones en su código. Es sumamente fácil modificarlo y crear un sinnúmero de variantes. El llamado "gusano del amor" ha infectado millones de computadoras en todos los continentes, superando a los ataques virales registrados a la fecha, incluyendo al del virus Melissa, el Viernes 26 de Marzo de 1999. Esto se debe a que no todos los software antivirus desarrollaron la inmediata solución. Tenemos la gran satisfacción de informar, que el mismo día 4 de Mayo, a las 11:30 AM colocamos en nuestra página web, a disposición de los usuarios de la versión vigente de nuestro producto, las correspondientes rutinas de detección y eliminación de este peligrosísimo virus. El lunes 8 de Mayo el Philiphine National Bureau of Investigation (NBI) arrestó al empleado bancario Reonel Ramones, de 27 años, quien vivía acompañado de su hermana y su novia Irene de Guzmán de 23, acusados de ser los autores del virus, el mismo que según algunas primera evidencias, habría empezado como un conjunto de rutinas para penetrar en otros sistemas, con el objeto de sustraer la información de tarjetas de crédito de terceros. Ramones y De Guzmán asistían al AMA Computer College (AMACC) en Manila y el FBI de los Estados Unidos que también participa en las investigaciones manifestó que por lo menos 8 personas más intervinieron en la creación del primer gusano. A pesar de las supuestas evidencias, el Fiscal de la Corte de Manila el Martes 9, ordenó la liberación del detenido Ramones, aduciendo "falta de pruebas". El 11 de Mayo Onel de Guzmán, de 24 años, hermano de Irene de Guzmán y ex-estudiante de AMACC, acompañado de su abogado, ofreció una conferencia de prensa en Manila y manifestó que él había desarrollado un proyecto de tesis, en el cual describía un programa similar al destructivo virus y que era "posible" que alguien hubiese "mal utilizado su trabajo". Las investigaciones prosiguen sin haberse realizado acusaciones formales. ULTIMA VARIANTE: GUSANO FRIEND MESS Al 10 de Mayo son 20 las variantes del gusano del Amor, siendo la más temible el FRIEND MESS, debido a que ha sido totalmente re-escrita y es enviada con un archivo anexado llamado FRIEND_MESSAGE.TXT.vbs. Si este archivo es ejecutado, activa al gusano inmediatamente, el cual inserta comandos en el AUTOEXEC.BAT y cuando el sistema es re-iniciado borra todos los archivos en el directorio de Windows, el Windows System y el Windows Temp. Esto hará que Windows no pueda ejecutarse y debe ser reinstalado. Mientras tanto, este nuevo gusano muestra un mensaje con el siguiente texto: If you receive this message remember forever: A precious friend in all the world like only you! So think that! (Si tú recibes este mensaje recuerda para siempre: A un precioso amigo en todo el mundo le gustas solamente tú! Piensa en ello!) Después de ello, proceder a enviar mensajes de correo a la Libreta de Direcciones de Microsoft Outlook del usuario infectado y así continuará haciéndolo en cadena. Tema del Mensaje: FRIEND MESSAGE Cuerpo de Mensaje: A real friend send this message to you. (Un amigo verdadero te envía este mensaje) VARIANTES DEL VIRUS I LOVE YOU: (al 10 de Mayo del 2000) Reiteramos nuestra recomendación de no abrir, mucho menos leer, los mensajes de correo de origen desconocido o sospechoso, ni ejecutar sus archivos anexados. Con toda seguridad, LOVE LETTER y sus nuevas variantes seguirán difundiéndose, ya no desde Manila, Filipinas, sino desde cualquier ciudad del mundo. I love you en accion LINK 4 -Code Red (2001) "Gusano" que explota una vulnerabilidad del Microsoft Internet Information Server NT o Windows 2000 El CodeRed no es un gusano o virus contenido en un archivo. Es un código lógico ejecutado en memoria dinámica que hace uso del desbordamiento (overflow) del buffer, contenido en el archivo IDQ.DLL del MS IIS el cual genera los mensajes de error de acceso a un URL, motivado por diversas causas. http://www.microsoft.com/technet/security/bulletin/MS01-033.asp Este gusano, por denominarlo de algún modo, invoca al Puerto 80 y envía su código usando una petición HTTP. El código no es guardado como archivo en el disco, sino que a través del IIServer se posiciona en memoria dinámica integrándose al propio sistema. Una vez que CodeRed ha infectado un servidor empieza a buscar en forma aleatoria direcciones IP, con el propósito de infectar otros servidores que tengan instalado el MS IIServer. Una vez que ha logrado infectar un servidor web, el CodeRed actúa de la siguiente forma: 1- Se integra en la plataforma del sistema infectado. 2-Genera 100 "hilos" (sub-procesos) del gusano. 3-Los primeros 99 hilos son usados para propagarse en otros servidores web. *El gusano crea una secuencia aleatoria de direcciones IP. Sin embargo, no todos estos IP's a ser atacados son aleatorios ya que emplea una "semilla estática", vale decir una dirección IP inicial que siempre es la misma, que el gusano usa cuando genera nuevas direcciones IP. Por consiguiente cada sistema infectado tiene que usar la misma lista inicial de direcciones IP, supuestamente "aleatorias". *Debido a esta característica, el gusano terminará re-infectando los mismos sistemas, múltiples veces y el tráfico de información se producirá de ida y vuelta, una y otra vez entre los servidores web, creando al final un efecto de "negación del servicio" (DoS), a causa de la enorme cantidad de datos que serán transferidos entre todas las direcciones IP involucradas. 4-El Centésimo hilo verifica si el sistema Windows NT/2000 es una versión en idioma inglés. *De ser así, el gusano procederá a desconfigurar el sitio web del sistema infectado. La página web de Inicio del servidor será cambiada a un mensaje que presentará este gráfico: *"Welcome to http://www.worm.com!, Hacked By Chinese!". Este mensaje en la página infectada, permanecerá activa por 10 horas y luego desaparecerá. El mensaje no se volverá a mostrar, a menos que el servidor sea re-infectado por otro sistema. *Si el sistema no tiene Windows NT/2000 en inglés, el hilo 100 es usado para infectar otros servidores. *Cada hilo del gusano busca el archivo c:notworm y si éste es hallado, el gusano permanecerá inactivo. *Si este archivo no es hallado, cada hilo continuará intentando infectar más servidores web. 5-Cada hilo del gusano verifica la fecha del sistema del servidor infectado. *Si la fecha es posterior al día 20 del mes, el hilo dejará de buscar sistemas para infectar y en su lugar atacará el servidor web de La Casa Blanca de los Estados Unidos: www.whitehouse.gov. El ataque consiste en el envío de 100k bytes of datos al puerto 80 de www.whitehouse.gov. Este aluvión de información (410 megabytes cada 4 horas y media) provocará la saturación de los servicios infectados. *Si la fecha es entre el 1o y el día 19 del mes. el gusano no intentará atacar al sitio web de la Casa Blanca y continuará tratando de infectar nuevos servidores web en todo el mundo. Una información oportuna a los responsables del sitio web de la Casa Blanca, hizo que cambiaran la dirección IP de su servidor y de este modo evitaron los estragos. Se estima que CodeRed puede infectar medio millón de direcciones IP al día, lo cual podría crear un caos en Internet. Por lo pronto se ha notado la caída de muchos servidores web y/o la extrema lentitud de los mismos, en su navegación. Los usuarios de servidores con MS Internet Information Server deberán descargar e instalar a la brevedad posible los parches creados por Microsoft desde los siguientes URL: Windows NT 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833 Windows 2000 Professional, Server y Advanced Server: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800 Una vez descargados estos parches, se deberá reiniciar los sistemas en forma inmediata. El 07 de Agosto del 2001, a causa del gusano CodeRed, los servidores de la Casa Blanca, sede de la Presidencia de los Estados Unidos migraron a Linux: http://linuxsecurity.org/articles/government_article-3392.html Los servidores web que no tengan instalado el Microsoft Internet Information Server NT o Windows 2000 no serán infectados. Code Red en accion LINK 5 -SQL Slammer (2003) SLAMMER, gusano abstracto infecta servidores SQL de Windows 2000, provoca Negación de Servicio. W32/SQL.Slammer, SQLP1434, W32/SQL.Elkern Slammer no es un gusano o virus contenido en un archivo. Es un código lógico reportado el 25 de Enero del 2003 que ejecutado en memoria dinámica aprovecha una vulnerabilidad del MS SQL Server provocando una Negación de Servicio (DoS) por saturación. Desarrollado en código binario, con 376 bytes infecta exclusivamente a los servidores Windows 2000 que tengan instalado el SQL Server, a través del puerto 1434/UDP, correspondiente al Microsoft-SQL-Monitor. Intentaremos dar una breve explicación: Un puerto UDP (User Datagram Protocol) es una codificación abstracta de software, no es física como la que controla o direcciona a un puerto USB, por ejemplo. En los protocolos TCP/IP de Internet los sistemas contienen un conjunto de puntos abstractos de destino, cada uno de ellos identificado por un número entero positivo. El protocolo TCP/IP emplea uno o más puntos para diferenciarlos entre un sinnúmero de procesos de destino, dentro de un servidor. Algo similar al anexo o extensión de una central telefónica. Los servicios de conectividad orientados, tales como el de correo electrónico, usan el protocolo TCP para establecer la conexión específica dentro de los servidores, mientras que otras aplicaciones y servicios pueden hacer uso del protocolo de puertos UDP para transportar los mensajes entre los sistemas. En este caso, el código no es guardado como un archivo en el disco, sino que a través del puerto 1434/UDP, es posicionado en memoria dinámica y se integra al propio sistema. Una vez que ha infectado un servidor empieza a generar envíos masivos de paquetes, en forma aleatoria a direcciones IP, en forma infinita (loop), con el objetivo de saturar servidores y ruteadores, logrando volver muy lento el tráfico o hasta la Negación del Servicio. Este gusano abstracto, no envía mensajes de correo ni infecta los sistemas de los usuarios finales, quienes tan solo notarán, en el mejor de los casos, una lentitud en los servicios de Internet, hasta que se provoque el "bloqueo" del servidor. El código de este gusano, en un sistema infectado, contiene las siguientes cadenas: * kernel32.dll * GetTickCount * ws2_32.dll * socket * sendto Únicamente se propaga como un proceso en memoria dinámica, con un accionar muy parecido al CodeRed, que en Julio del 2001 amenazó a la Casa Blanca, del gobierno de los Estados Unidos. La manera más simple de evitar su ataque, consiste en bloquear el acceso al puerto 1434/UDP en el Firewall físico (hardware) o lógico (software), luego re-iniciar el sistema e instalar inmediatamente los parches SP2 y SP3 del MS SQL Server. Conexión normal Ataque de DoS (Denial of Service) Proceso de bloqueo por "filtrado" A través de su Boletín de seguridad MS02-039, publicado el 24 de Julio del 2002, Microsoft Corporation colocó en su Portal, un parche de seguridad adicional al que previamente fuese publicado en su Boletín MS02-034 del 10 de Julio del 2002 para su servidor SQL. Servidores afectados: * Microsoft SQL Server 2000 todas las ediciones * Microsoft SQL Server Desktop Engine (MSDE) 2000 Los payloads de este gusano abstracto son los siguientes: * Se propaga vía un proceso de memoria dinámica a través del puerto 1434/UDP. * Auto-envía masivamente paquetes de información a direcciones IP en forma aleatoria e infinita. * Satura los servidores que tengan instalado el SQL de MS Windows 2000, sin los parches actualizados. * Ocasiona una Negación de Servicio o "bloqueo" en los servidores atacados. 6 -Blaster (2003) Blaster, (o también llamado Lovsan o LoveSan) es un gusano de red de Windows que se aprovecha de una vulnerabilidad en el servicio DCOM para infectar a otros sistemas de forma automática. El gusano fue detectado y liberado el día 11 de agosto de 2003. La tasa de infecciones aumentó considerablemtne hasta el día 13 de agosto de 2003. Gracias al filtrado por las ISP's y la gran publicidad frente este gusano, la infección pudo frenarse. El 29 de agosto de 2003, Jeffrey Lee Parson, de 18 años de Hopkins, Minnesota fue arrestado por crear la variante B del gusano Blaster; admitió ser el responsable y fue sentenciado a 18 meses en prisión en enero de 2005. Efectos principales El método con el que infecta los sistemas vulnerables es bastante parecido a la que usó el gusano Sasser, aparte, deja una puerta trasera que permite la intrusión a terceros, haciendo que la máquina infectada sea fácilmente atacada por otros virus, o accesos remotos no autorizados. El gusano se disemina al explotar un desbordamiento de buffer en el servicio DCOM para los sistemas operativos Windows afectados, para los cuales se liberó un parche un mes antes en MS03-026 y luego en MS03-039. Está programado para realizar un ataque organizado de denegación de servicio al puerto 80 de "windowsupdate.com". sin embargo, los daños fueron mínimos debido a que el sitio era redirigido a "windowsupdate.microsoft.com". Aparte, Microsoft apagó sus servidores para minimizar los efectos. El gusano tiene en su código los siguientes mensajes: I just want to say LOVE YOU SAN!! (Solo quiero decir que te amo SAN!!) es por eso que a veces es llamado el gusano LoveSan o LovSan. El segundo: billy gates why do you make this possible ? Stop making money and fix your software!!(Billy Gates, ¿Porqué haces esto posible?, deja de hacer dinero y corrige tu software!!) Es un mensaje a Bill Gates, el fundador de Microsoft, y el objetivo del gusano. Efectos secundarios En algunas versiones de Windows, puede generar inestabilidad del sistema, e incluso una ventana que advierte al usuario de que se debe reiniciar el ordenador: *Apagando el sistema: *Se está apagando el sistema. Guarde todo trabajo en progreso y cierre la sesión. Cualquier cambio sin guardar se perderá. El apagado fue ordenado por NT AUTHORITYSYSTEM *tiempo Restante: hh:mm:ss *Mensaje: *Windows debe reiniciar ahora porque Remote Procedure Call *(RPC) Service Terminó inesperadamente. Un manera fácil de evitar el reinicio es ejecuntando el comando shutdown -a desde la línea de comandos. Blaster en accion LINK 7 -Sobig.E (2003) SOBIG.E, gusano supuestamente enviado por Soporte de Yahoo infecta vía correo y redes compartidas. [email protected], [email protected] Sobig.E es un gusano reportado el 25 de Junio del 2003 de alta propagación masiva vía mensajes de correo, con diversos Asuntos y archivos anexados. Pese a no tener efectos destructivos se difunde rápidamente en Redes con recursos compartidos, incluso en aquellas conectadas en forma remota. El gusano es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión de 84.5 KB y comprimido con los utilitarios Aspack y tElock, este último escrito por el hacker ruso tHE EGOiSTE, cuyo portal ha sido clausurado, sin embargo es posible descargar ese compresor de diversos sitios web "Underground". Emplea aleatoriamente la técnica Email spoofing, disfrazando al Remitente como [email protected] El mensaje tiene las siguientes características: Asuntos, uno de los siguientes: * referer.pif * 004448554.pif * re.document.pif * new_document.pif * submited.pif * Screensaver.scr * movie.pif * Applications.pif * Application.pif * Your application * Re: Re: Document * Re: Re: Application ref. 003644 * Re: Documents * Re: Screensaver * Re: Submited (Ref: 003746) * Re: Movies * Re: Movie * Re: Application Contenido: Please see the attached file. Anexado, uno de los siguientes: * Your_details.zip (contiene el archivo Details.pif) * Application.zip (contiene el archivo Application.pif) * Document.zip (contiene el archivo Document.pif) * Screensaver.zip (contiene el archivo Sky.world.scr) * Movie.zip (contiene el archivo Movie.pif) Al ejecutar el archivo infectado, el gusano se auto-copia al directorio %Windir% como winssk32.exe y libera el archivo de configuración msrrf.dat. Para ejecutarse la próxima vez que se inicie el sistema el gusano genera la siguiente llave de registro: [HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run] "SSK Service" = "%Windir%winssk32.exe" En Windows NT/2000/XP el gusano agrega además la siguiente llave: [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun] "SSK Service" = "%Windir% winssk32.exe" %Windir% es una variable que corresponde a C:Windows en Windows 95/98/Me/XP/Server 2003 y C:Winnt en Windows NT2000. Una vez re-iniciado el sistema, el gusano, que posee su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a todos las direcciones de correo contenidos en los archivos con las siguientes extensiones: * .WAB * .DBX * .HTM * .HTML * .EML * .TXT También puede hacerlo desde la dirección [email protected], usando la técnica Spoofing. Para propagarse en redes compartidas, el gusano enumera sus recursos y se auto-copia a las siguientes carpetas en los equipos remotos: * %Windir%All UsersStart MenuProgramsStartup * Documents and SettingsAll UsersStart MenuProgramsStartup Finalmente el gusano intenta actualizarse a través de los puertos 995 y 999 descargando archivos de páginas web alojadas en Geocities, que ya han sido desactivadas. Sus payloads son los siguientes: * Se propaga masivamente en mensajes de correo, haciendo uso de su propio servidor SMTP. * Se auto-envía a las direcciones que captura en archivos de ciertas extensiones. * Emplea aleatoriamente la técnica "Spoofing" para disfrazar al verdadero remitente. * Se propaga en redes compartidas, incluso las conectadas remotamente. * Satura servidores de Correo y de archivos (File Servers) en Redes LAN. * Se conecta a los puertos 995 y 999 para intentar actualizarse remotamente, descargando nuevos archivos. * Se auto-destruye el 14 de Julio del 2003 8 - Bagle (2004) BAGLE.AI gusano/backdoor de Correo y P2P deshabilita antivirus recibe comandos vía puertos TCP/UDP, etc. [email protected], [email protected], [email protected] Bagle.AI es un gusano/backdor residente en memoria variante de la familia Bagle, reportado el 20 de Julio del 2004, de alta propagación masiva en mensajes de correo con Remitentes falsos, Contenidos y archivos Anexados de nombres y extensiones aleatorias. También se difunde vía redes de compartimiento de archivos P2P. Termina los procesos de antivirus, firewalls y software de control, asi como de variantes del gusano Netsky. Abre un componente Backdoor a través del puerto UDP 1040 (Netartx) y del TCP 1080 (Socks) que le permite establecer contacto con el autor del virus y recibir comandos en forma remota. Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con extensión variable y comprimido con el utilitario PeX: http://protools.anticrack.de/packers.htm El mensaje tiene las siguientes características: Remitente: emplea la técnica Email Spoofing con direcciones falsas. Asunto: Re: Contenido, uno de los siguientes: * >foto3 and MP3 * >fotogalary and Music * >fotoinfo * >Lovely animals * >Animals * >Predators * >The snake * >Screen and Music Anexado, uno de los siguientes nombres: * Cat * Cool_MP3 * Dog * Doll * Fish * Garry * MP3 * Music_MP3 * New_MP3_Player Con una de las siguientes extensiones: * EXE * COM * SCR * CPL * ZIP En el caso de que el archivo anexado tenga la extensión .ZIP, el Contenido del mensaje será: * Password: [gráfico_del_password] * Pass: [gráfico_del_password] * Key: [gráfico_del_password] El [gráfico_del_password] es mostrado en formato BMP. Al ser activado el gusano crea uno de los siguientes mutex (Exclusión Mutua) para evitar ser ejecutado en memoria más de una vez y para detener la ejecución de variantes del gusano Netsky, en caso existiesen: * 'D'r'o'p'p'e'd'S'k'y'N'e't' * _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ * [SkyNet.cz]SystemsMutex * AdmSkynetJklS003 * ____--->>>>U<<<<--____ * _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_ Luego se copia a la carpeta %System% con el nombre de WinXp.exe y libera los siguientes archivos: * winxp.exe * winxp.exeopen * winxp.exeopenopen * winxp.exeopenopenopen * winxp.exeopenopenopenopen Para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro: [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "key" = "%System%WinXP.exe" Al siguiente re-inicio el gusano se activa en memoria y termina con los procesos de cualquiera de los sistemas de seguridad que tengan los siguientes archivos: # AGENTSVR.EXE # ANTI-TROJAN.EXE # ANTI-TROJAN.EXE # ANTIVIRUS.EXE # ANTS.EXE # APIMONITOR.EXE # APLICA32.EXE # APVXDWIN.EXE # ATCON.EXE # ATGUARD.EXE # ATRO55EN.EXE # ATUPDATER.EXE # ATWATCH.EXE # AUPDATE.EXE # AUTODOWN.EXE # AUTOTRACE.EXE # AUTOUPDATE.EXE # AVCONSOL.EXE .................... la lista sigue pero para no hacerla tan largo el post visita el siguiente ENLACE El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos en los archivos con las extensiones: # adb # asp # cfg # cgi # dbx ...... lo mismo que antes...... Evitando enviarse a aquellas que tengan las siguientes cadenas: # @avp. # @foo # @iana # @messagelab # @microsoft # abuse # admin # anyone@ ...... lo mismo que antes...... Para propagarse a través de las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, y se copia con los siguientes nombres: # ACDSee 9.exe # Adobe Photoshop 9 full.exe # Ahead Nero 7.exe # Kaspersky Antivirus 5.0 # KAV 5.0 # Matrix 3 Revolution English Subtitles.exe # Microsoft Office 2003 Crack, Working!.exe ...... lo mismo que antes...... Actuando como Backdoor el gusano abre y se conecta remotamente a través del puerto UDP 1040 (Netartx) y del TCP 1080 (Socks) para recibir comandos del autor del virus intentado además contactar varios sitios web ubicados en Alemania a los cuales invoca un Script con extensión PHP, el mismo que no existe: # http://abtacha.wirebrain.de # http://begros.de # http://deepiceman.de # http://dfk-crew.clanintern.de # http://die-cliquee.de # http://edwinf.surfplanet.de # http://knecht.cs.uni-magdeburg.de # http://login.rz.fh-augsburg.de # http://niematec.de # http://obechmann.de ...... lo mismo que antes...... Sus payloads son los siguientes: * Se propaga en mensajes de correo con Remitentes falsos, Contenidos y archivos Anexados de nombres y extensiones aleatorias. * Usa la técnica Spoofing para disfrazar al Remitente. * Al ser activado, el gusano crea varios mutex, con el objeto de evitar ejecutarse en memoria más de una vez y terminar la ejecucíon de las variantes del gusano Netsky. * Termina los procesos de antivirus, firewalls y software de control. * Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía haciendo uso de direcciones de correo extraídas de archivos de ciertas extensiones. * Evita enviarse a buzones de correo con determinadas cadenas. * Para propagarse a través de las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, y se copia con diversos atractivos nombres de archivos. * Actuando como backdoor el gusano abre y se conecta remotamente a través del puerto UDP 1040 (Netartx) y del TCP 1080 (Socks) para recibir comandos del autor del virus. * Intenta conectarse a diversos sitios web ubicados en Alemania tratando de ejecutar un Script .PHP inexistente. Bagle en accion LINK 9 - MyDoom (2004) MYDOOM.M, gusano/backdoor de Correo captura información de sistemas que transmite vía puerto TCP. [email protected], [email protected], [email protected] MyDoom.M es un destructivo gusano/backdoor reportado el 27 de Julio del 2004, variante de Mydoom, de alta propagación masiva a través de mensajes de Correo con Remitentes disfrazados bajo la técnica Spoofing, Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria. Los Contenidos son muy complejos y están compuestos por textos o frases encerradas y separadas con algunos signos ASCII, que aparentan ser mensajes de errores del sistema o correo SPAM. Contiene un componente Backdoor que envía información al autor del virus vía el puerto TCP 1034 (ActiveSync Notifications) a través del cual controla los sistemas infectados, en forma remota. Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 28 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables): http://upx.sourceforge.net Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direciones de Windows (WAB), la carpeta Temporal de Internet o de archivos con las siguientes extensiones: * adb * asp * dbx * htm * html * php * pl * sht * tbb * txt * wab Evitando infectar direcciones de correo que tengan las siguientes cadenas: # spam # abuse # master # sample # accoun # privacycertific # bugs # listserv # submit # ntivi # support .................... la lista sigue pero para no hacerla tan largo el post visita el siguiente ENLACE El mensaje tiene las siguientes características: Remitente: emplea la técnica Email spoofing que disfraza las verdaderas direcciones de los Remitentes. Asunto, uno de los siguientes: * The original message was included as attachment * The/Your m/Message could not be delivered * hello * hi error * status * test * report * delivery failed * Message could not be delivered * Mail System Error - Returned Mail * Delivery reports about your e-mail * Returned mail: see transcript for details * Returned mail: Data format error Contenido, son complejas combinaciones de textos compuestos por palabras o frases encerradas entre los símbolos "{" y "}", separadas por una "|". Anexado, es generado por la composición del nombre del dominio o la dirección de correo de la víctima, así como también puede ser una de las siguientes palabras: * readme * instruction * transcript * mail * letter * file * text * attachment * document * message Con cualquiera de estas extensiones: * bat * cmd * com * exe * pif * scr * zip aleatoriamente puede tener una de las siguientes extensiones adicionales: * doc * txt * htm * html El gusano se copia al directorio %Windir% con los nombres Java.exe y Services.exe y crea las llaves de registro: * [HKEY_LOCAL_MACHINESoftwareMicrosoftDaemon] * [HKEY_CURRENT_USERSoftwareDaemon] Las cuales utiliza para almacenar la información extraída en la carpeta %Temp% del sistema, en los siguientes archivos: * %Temp%zincite.log * %Temp%[nombre_aleatorio].log Crea un mutex con el nombre del Host del sistema infectado y al cual agrega la siguiente cadena: "winxprootwinxprootwwinxprootwinxprootww" Para activarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "JavaVM" = "%Windows%java.exe" [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "Services"= "%Windows%services.exe" %Windir% es una variable que corresponde a C:Windows en Windows 95/98/Me/XP/Server 2003 y C:Winnt en Windows NT2000. %Temp% es la variable C:WindowsTemp en Windows 95/98/Me, C:WinntTemp en Windows NT2000 y Cocument and Settings[nombre_de _usuario]Local SettingsTemp en Windows XP/Server 2003. Al siguiente inicio del sistema el gusano se conecta a las siguientes direcciones en la web para intentar extraer direcciones de correo para su distribución masiva: * search.lycos.com * search.yahoo.com * www.altavista.com * www.google.com En caso de que el gusano encuentre una ventana vulnerable del software de correo Outlook, se auto-enviará a los buzones de correo que encuentre en su Libreta de Direciones. Actuando como Backdoor abre el puerto TCP 1034 a través del cual realiza transmisiones entre el sistema infectado y el autor del virus. Sus payloads son los siguientes: * Se propaga masivamente en mensajes de correo con Remitentes disfrazados bajo la técnica Email Spoofing, con asuntos, contenidos y archivos anexados aleatorios. * Se auto-envía a las direcciones de correo que extrae de la Libreta de Direcciones de Windows, archivos de la carpeta temporal de Internet y archivos de determinadas extensiones. * Evita enviarse a direcciones con ciertas cadenas de texto. * Hace uso de su propio servidor SMTP que construye los mensajes combinando los nombre y cadenas de textos de sus complejos Contenidos. * Libera un componente Backdoor que abre el puerto 1034, a través del cual intercambiará información con el autor del virus, pudiedo capturar las teclas digitadas y tomar control en forma remota de los sistemas infectados. Mydoom en accion LINK 10 - Sasser (2004) W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS VSantivirus No. 1395 Año 8, sábado 1 de mayo de 2004 Nombre: W32/Sasser.A Tipo: Gusano de Internet Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A, WORM_SASSER.A Fecha: 1/may/04 Plataforma: Windows NT, 2000, XP, 2003 Tamaño: 15,872 bytes (PECompact) Puertos: TCP 445, 5554 y 9996 Se trata de un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)" Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado. LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza. El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre: c:windowsavserve.exe NOTA: La carpeta "c:windows" puede variar de acuerdo al sistema operativo instalado ("c:winnt" en NT, "c:windows", en 9x, Me, XP, etc.). También crea los siguientes archivos: c:win.log c:windowssystem32#_up.exe (varias copias) Donde # es un número de cuatro o cinco dígitos, ejemplos: c:windowssystem3215643_up.exe c:windowssystem3212383_up.exe c:windowssystem3221730_up.exe Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLMSoftwareMicrosoftWindowsCurrentVersionRun avserve = avserve.exe El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block). Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado. En Windows XP, se muestra una ventana con un mensaje muy similar al siguiente: LSA Shell (Export Version) ha encontrado un problema y debe cerrarse. Sentimos los inconvenientes ocasionados. En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan): Apagar el sistema Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHYSYSTEM Tiempo restante para el apagado: xx:xx:xx Mensaje El proceso del sistema C:WINNTsystem32lsass.exe terminó de forma inesperada indicando código 0 Windows debe reiniciar ahora. El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit). Windows 9x, Me y NT, no son vulnerables. Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996. A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección. El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados. El archivo C:WIN.LOG registra todas las transacciones FTP realizadas. El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria: Jobaka3l Sasser en accion LINK YAPA Y como se que hay muchos chantas en Taringa, acá les dejo un resumen de todo lo visto. LINK FUENTE FUENTE FUENTE FUENTE FUENTE