wiki soporte |
** | wiki Soporte |
Tópicos |
29-05-06
por Daniel
04-03-04
por -f
biol05-ch.unsl.edu.ar
box127-r.unsl.edu.ar
box60b-4bl.unsl.edu.ar
box8701-4bl.unsl.edu.ar
box8702-4bl.unsl.edu.ar
darycp01-r.unsl.edu.ar
dptofis15-ch.unsl.edu.ar
enormal40-ch.unsl.edu.ar
fono07-r.unsl.edu.ar
genetica02-bl1.unsl.edu.ar
geologia01-ch.unsl.edu.ar
histopsi01-4bl.unsl.edu.ar
imasl15-r.unsl.edu.ar
intequi2.unsl.edu.ar
liaem12.unsl.edu.ar
mineria03-ch.unsl.edu.ar
quimfis07-b.unsl.edu.ar
radio03.unsl.edu.ar
05-06-03
por Pedro
A variant of W32.Bugbear@mm.
A mass-mailing worm that also spreads through network shares.
Polymorphic and also infects a select list of executable files.
Possesses keystroke-logging and backdoor capabilities.
Attempts to terminate the processes of various antivirus and firewall programs.
The worm uses the Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability to cause unpatched systems to auto-execute the worm when reading or previewing an infected message.
Because the worm does not properly handle the network resource types, it may flood shared printer resources, which causes them to print garbage or disrupt their normal functionality.
Also Known As: Win32.Bugbear.B [CA], W32/Bugbear.b@MM [McAfee], PE_BUGBEAR.B [Trend], W32/Bugbear-B [Sophos], I-Worm.Tanatos.b [KAV], W32/Bugbear.B [Panda], Win32/Bugbear.B@mm [RAV]
Type: Virus, Worm
Infection Length: 72,192 bytes
Systems Affected: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Systems Not Affected: Windows 3.x, Macintosh, OS/2, UNIX, Linux
CVE References: CVE-2001-0154
****** de Symantec security response ********
Mas informacion en: http://www.grisoft.com/html/us_faq.php?action=6&co=bugbearb&session=e1d9502fa284022bc724864de92d31b9
20-11-2002
por Andrea
07-11-2002
por Andrea
usc01-fmn 48:54:E8:28:A4:2D
usc04-fmn 00:00:1c:d2:c6:08
imasl13 00:d0:09:5c:3d:4d (desinfectada y reasignada de nuevo a la 170)
his 00:00:21:66:18:C3 (desinfectada y reasignada de nuevo a la 170)
orome 00:00:21:CA:78:3F (desinfectada y reasignada de nuevo a la 170)
bromat03-ch 00:30:21:0b:9c:ef (desinfectada y reasignada de nuevo a la 170)
solar01-b 00:10:dc:00:b2:0f (desinfectada y reasignada de nuevo a la 170)
solar04-ch 00:00:21:2d:52:c7 (desinfectada y reasignada de nuevo a la 170)
consup03-r 00:01:02:c6:9d:35 (desinfectada y reasignada de nuevo a la 170)
superfic02-ch 00:80:ad:90:ac:7f (desinfectada y reasignada)
finan05-r 00:50:04:02:16:db
enormal-2-5 00:80:AD:40:6E:EA
electro01-2b 00:10:dc:00:af:7a
box90c-4bl 00:03:47:89:02:68 (desinfectada y reasignada)
leis04-b 00:c0:df:e2:d6:05 (desinfectada y reasignada)
06-11-2002
por Andrea
30-10-2002
por Pedro
10-10-2002
por Zamo Daniel
04-10-2002
por Zamo Daniel
http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html
http://www.f-secure.com/bugbear/
las siguientes maquinas tienen el puerto 36794 de infeccion abierto:
radio03.unsl.edu.ar (170.210.173.158):3-10-2002 instale el norton Zamo Daniel
saadabento2.unsl.edu.ar (170.210.174.176):3-10-2002 instale el norton Zamo Daniel
EN la maquina de la radio tuve varios problemas para sacar el klez.
Primero le instale el inoculate con la ultima actualizacion, esto al
pasarlo en modo prueba de fallos solo me advertia de que estaba el virus
pero no lo eliminaba; a esto baje el tool de Panda y lo pase. Este tool
saca varios virus, es bastante bueno, y me saco casi 25 virus; la mayoria
de correo. Pero este tool aunque me elimino el klez.I no me detecto el
klez.H que estaba rondando en la maquina. AL iniciar Windows wn modo
normal, quise pasar el Inoculate y se me colgo la maquina, al reiniciar la
pc el virus me reescribio el antivirus. Intente con el tool de F-prot pero
como no era muy actualizado, solo lo detecta pero no lo elimina( no probe
ponerlo en cuarentena). Pase el tool de Norton y no me detecto nada. Pero
el inoculate aun seguia diciendo que habia virus(el klez.H). Al final lo
detecte en una carpeta de c:\windows\temp donde habian varios archivos
.exe. En la CArpeta de archivos de programa tambien( varios .exe) Asi
que borre el vet**.exe del Inoculate, el messenger.exe y el
msaccess.exe.
La maquina quedo sin virus y en espera de otros. Zamo le instalo el norton
antivirus, creo que la ultima actualizacion lo saca definitivamente.
29-4-2002
por -f
que tal es: http://updates.pandasoftware.com/pq/gen/sircam/pqremove.com ?
24-4-2002
por -f
En symantec tienen la receta y el FixKlex.com que lo saca.
Prueben y cuenten si funciona!
Lo probé en un win98 en modo a prueba de fallos. Aparentemente lo saco al principio. Volvi a modo normal, el registro estaba limpio. Use el outlook y se volvio a infectar. Cuando trate de correr el FixKlex nuevamente, dio error y no corrio ni en modo a prueba de fallos.
mt: El virus se vuelve a contagiar al Usar el Outlook pq el antivirus no lo saco del correo o llego otro email con virus. Uno se infecta con solo previsualizar el correo, por eso se recomienda desactivar la previsualizacion del Outlook.
dzamo Lo probé en tres win Me y dos win XP y una vez ejecutada esta utilidad hay que acordarse de desactivar la opcion de que no haga respaldo del sistema, en el panel de control, para recien luego instalar el antivirus nuevamente. O hay que entrar al modo solo DOS y borrar a mano los archivos que quedan infectados en el directorio _RESTORE que es oculto para este sistema op.
4-3-2002
por -f
Todas estas maquinas tienen el SirCam:
quimfis04-b
fono08-r lista por polaco
maquinas limpias
el filtro de virus esta instalado en inter10.
VIRUS de e-mail (SirCam)
informacion descriptiva:
Aca estan los pasos para sacarlo:
mas informacion:
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html
http://vil.mcafee.com/dispVirus.asp?virus_k=99141&
http://www.sophos.com/virusinfo/analyses/w32sircama.html
http://www.europe.f-secure.com/v-descs/sircam.shtm
NUNCA execute attachements. Pida firma digital en los mensajes: http://www.gnupg.org y el plugin para el MS Outlook.
VIRUS Sircam una manera más cómoda de eliminarlo
este archivo se debe guardar como "sircam.inf"
----
|
mt -- mt@unsl.edu.ar -- 00:05:54 04/26/02 |
mt -- mt@unsl.edu.ar -- 00:06:41 04/26/02 |