browse virus

wiki soporte  
** wiki Soporte
         
 

Tópicos
Linux
Redes
Routers & Enlaces
Wireless

Windows
Reparaciones
Modems
LDAP

Virus
Digesto


Otros Links
info.unsl.edu.ar:
Sistemas de Información en la UNSL


  29-05-06 por Daniel
"Maquinas en Cuarentena"
Estado actualEstado Anterior
192.168.200.11 edubor 00:0c:76:19:64:d9
192.168.200.12 aulafisica13-1bl 00:10:DC:00:B0:EB
192.168.200.13 dias-pc14 00:00:21:C9:0A:76
192.168.200.14 dias-pc40 52:54:00:dd:08:9d
192.168.200.22 fict12 00:10:dc:00:af:7a
192.168.200.28 box55b-4bl 00:80:ad:84:d2:02
192.168.200.29 box26-4bl 00:00:21:27:20:d4
192.168.200.31 area-qbf-ch 00:50:4D:02:01:BE
192.168.200.36 m2-nose 00:C0:DF:12:6B:75
192.168.200.37 geologia08-ch 00:00:21:29:1a:cf
 192.168.105.108 edubor 00:0c:76:19:64:d9
192.168.101.104 aulafisica13-1bl 00:10:DC:00:B0:EB
192.168.100.78 dias-pc14 00:00:21:C9:0A:76
192.168.100.100 dias-pc40 52:54:00:dd:08:9d
192.168.101.105 aulafisica14-1bl 00:10:DC:00:AF:7A
170.210.172.142 box55b-4bl 00:80:ad:84:d2:02
170.210.173.166 box26-4bl 00:00:21:27:20:d4
170.210.174.33 area-qbf 00:50:4D:02:01:BE
No hay registro anterior
No hay registro anterior

04-03-04 por -f
candidatos con virus 


biol05-ch.unsl.edu.ar
box127-r.unsl.edu.ar
box60b-4bl.unsl.edu.ar
box8701-4bl.unsl.edu.ar
box8702-4bl.unsl.edu.ar
darycp01-r.unsl.edu.ar
dptofis15-ch.unsl.edu.ar
enormal40-ch.unsl.edu.ar
fono07-r.unsl.edu.ar
genetica02-bl1.unsl.edu.ar
geologia01-ch.unsl.edu.ar
histopsi01-4bl.unsl.edu.ar
imasl15-r.unsl.edu.ar
intequi2.unsl.edu.ar
liaem12.unsl.edu.ar
mineria03-ch.unsl.edu.ar
quimfis07-b.unsl.edu.ar
radio03.unsl.edu.ar

05-06-03 por Pedro
mail con "W32.bugbear.b@mm" 

                         "W32.Bugbear.B@mm" worm is: 


A variant of W32.Bugbear@mm. 
A mass-mailing worm that also spreads through network shares. 
Polymorphic and also infects a select list of executable files.
Possesses keystroke-logging and backdoor capabilities.
Attempts to terminate the processes of various antivirus and firewall programs.
The worm uses the Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability to cause unpatched systems to auto-execute the worm when reading or previewing an infected message.


Because the worm does not properly handle the network resource types, it may flood shared printer resources, which causes them to print garbage or disrupt their normal functionality.


Also Known As: Win32.Bugbear.B [CA], W32/Bugbear.b@MM [McAfee], PE_BUGBEAR.B [Trend], W32/Bugbear-B [Sophos], I-Worm.Tanatos.b [KAV], W32/Bugbear.B [Panda], Win32/Bugbear.B@mm [RAV] 
Type: Virus, Worm 
Infection Length: 72,192 bytes 
Systems Affected: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me 
Systems Not Affected: Windows 3.x, Macintosh, OS/2, UNIX, Linux 
CVE References: CVE-2001-0154 


****** de Symantec security response ********


Mas informacion en: http://www.grisoft.com/html/us_faq.php?action=6&co=bugbearb&session=e1d9502fa284022bc724864de92d31b9
12-04-2003 por Zamo

Up dates de Windows XXXX
Estube renegando con una pc que tiene instalado el Windows 2000 Server con el virus Troyan.VirtualRoot encontrado por el norton antivirus, y durante el laburo aprendi un par de cosas que quiero comentar, es buena idea una vez que se termina de instalar el sistema operativo Windows (en cualquiera de sus versiones) ir al URL de microsoft y hacer un Updates del sistema que estemos configurando (para el caso de Windows 98 Seg. edicion hay actualmente unos 48 paquetes de seguridad y service pack a instalar y al menos hay que actualizar el Internet explorer 6.1 con service pack 1)(en el caso de Windows 2000 Server hay unos 20 parches, updates y service pack a descargar, y al menos se aconseja hacerlo a la version Internet explorer 6.1 con el service pack 3, en este ultimo caso la instalacion tarda muchisimo, un dia tardo en esta pc, ademas en esta version de Windows 2000 server aconsejan si o si cerrar todos los puertos que no se utilizen y desabilitar o desinstalar el Internet Information Services (IIS) y colocar un firewall en el sistema), yo a estos laburitos lo he hecho pero realmente llevan muchisimo tiempo
En estos URL hay referencias o se pueden hacer busquedas de lo que comente
URL http://www.symantec.com/search/
URL http://windowsupdate.microsoft.com/
URL http://http://seguridad.internautas.org/puertos.php

20-11-2002 por Andrea
Mas maquinas 

box76-4bl 00:03:47:88:fd:3c (filtrada hasta que le saquen el virus)
modem06-adv 200.51.40.90
enormal-2-2 170.210.174.109
intequi12 170.210.175.199
dptofis19-ch 170.210.175.179 (filtrada hasta que le saquen el virus)
usc05-fmn 00:60:6e:34:fe:1f (desinfectada y reasignada)
dptometod06-fmn 170.210.174.25 (desinfectada)
pecosa 170.210.173.7 (mankoc avisado, filtrada hasta que le saquen el virus)

07-11-2002 por Andrea

Creamos una clase C ficticia en el DHCP para que las maquinas con virus no puedan rutear. 
Esta clase es la 192.168.200.x y tiene como gateway 192.168.200.1 que no existe y asi no puedan 
rutear (a menos que hayan configurado su ip en la 170 fijo en la maquina). 
Las maquinas siguientes estan en la clase 192.168.200.x y si bootean en DHCP no deben tener red, de lo 
contrario puede que el dhcp tarde en reasiganrle el ip en esta nueva clase o tiene el ip fijo en la maquina.


usc01-fmn 48:54:E8:28:A4:2D  
usc04-fmn 00:00:1c:d2:c6:08 
imasl13 00:d0:09:5c:3d:4d (desinfectada y reasignada de nuevo a la 170)
his 00:00:21:66:18:C3     (desinfectada y reasignada de nuevo a la 170)
orome 00:00:21:CA:78:3F   (desinfectada y reasignada de nuevo a la 170)
bromat03-ch 00:30:21:0b:9c:ef (desinfectada y reasignada de nuevo a la 170)
solar01-b 00:10:dc:00:b2:0f   (desinfectada y reasignada de nuevo a la 170)
solar04-ch 00:00:21:2d:52:c7  (desinfectada y reasignada de nuevo a la 170)
consup03-r 00:01:02:c6:9d:35  (desinfectada y reasignada de nuevo a la 170)
superfic02-ch 00:80:ad:90:ac:7f (desinfectada y reasignada)
finan05-r 00:50:04:02:16:db
enormal-2-5 00:80:AD:40:6E:EA
electro01-2b 00:10:dc:00:af:7a
box90c-4bl 00:03:47:89:02:68 (desinfectada y reasignada)
leis04-b 00:c0:df:e2:d6:05  (desinfectada y reasignada)

06-11-2002 por Andrea

Los proxies estan afectados por el virus brasil. Este virus hace conecciones
http al proxy configurado en la pc al sitio http://www.n3t.com.br (que no
existe) provocando que los logs del squid se saturen.
Las maquinas (nombre/ip) afectadas por este virus son:
- finan05-r 170.210.175.158
- usc01-fmn 170.210.172.160
- usc04-fmn 170.210.172.244
- imasl13   170.210.172.154 esta en el hub imasl boca 1.4
- his       170.210.175.193 esta en el hub imasl boca 3.1
- orome     170.210.173.27 esta en el hub del barco 1.6
- bromat03-fmn 170.210.172.29 esta en el hub de chacabuco norte en la boca 1.2
- solar01-b 170.210.172.13 esta en el hub barco en la boca 3.11
- solar04-b 170.210.175.206 esta en el hub barco en la boca 2.21
- consup03-r 170.210.173.128 esta en el hub que figura como Informatica-2 en
 la boca 1.8
- superfic02-ch 170.210.173.23 esta en el hub del barco en la boca 3.18

30-10-2002 por Pedro
Estuve en la maquina de Oscar Segura de SEc. Gral y tenia el virus W32.Opaserv.Worm que crea un archivo llamado Brasil.pif en la carpeta de Windows. Este entra por una vulnerabilidad de win95/98/Me. Hay un parche para windows que esta en http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-072.asp El tool de Norton no me funciono, asi que coloque el parche y pase el Ez Trust actualizado y lo borro

10-10-2002 por Zamo Daniel
lei en el home de f-prot que se aconseja cambiar todos los pasword de los recursos compartidos que se tengan en la pc, los pasword de los usuarios (archivos extension pwl en el directorio windows) y si la pc tiene administracion remota habilitada cambiar tambien la contraseña.

Name: cyt03-fmm.unsl.edu.ar Address: 170.210.172.53
Name: cyt07-r.unsl.edu.ar Address: 170.210.174.222
Name: vicerec-enormal.unsl.edu.ar Address: 170.210.175.27
Name: diploma-r.unsl.edu.ar Address: 170.210.175.31
Name: sacad08-r
Name: concurso-r.unsl.edu.ar Address: 170.210.175.84
Name: sacad05-r.unsl.edu.ar Numero de IP: (170.210.175.227)

04-10-2002 por Zamo Daniel
yo al virus lo he sacado sin problemas siguiendo los pasos que aconseja la gente de norton:
1) Actualizar el antivirus que se tenga en la PC
2) Rebootear la pc a prueba de fallos y ejecutar el antivirus, heciendo un escaneo completo del rigido
Nota: He comprobado lo siguiente que el virus afecta al spool de windows de manera que si Yo tengo compartida la impresora de mi PC y me imprime los chirimbolos no es necesariamnete mi pc la que esta infectada sino la pc que manda a imprimir a mi computadora
 2-10-2002 por -f
Virus de Email que desconecta impresoras

http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html

http://www.f-secure.com/bugbear/

las siguientes maquinas tienen el puerto 36794 de infeccion abierto: 

dptofis07-ch.unsl.edu.ar (170.210.172.71):
dptofis06-ch.unsl.edu.ar (170.210.172.149):
ajr12.unsl.edu.ar (170.210.172.231):
presup02-r.unsl.edu.ar (170.210.173.51):
olmos.unsl.edu.ar (170.210.173.111):
modem2.unsl.edu.ar (170.210.173.202):
liaem13.unsl.edu.ar (170.210.173.249):
quimica08-b.unsl.edu.ar (170.210.174.10):
mineria02-ch.unsl.edu.ar (170.210.174.212):
box64a-4bl.unsl.edu.ar (170.210.174.216):
dptoserv01-fmn.unsl.edu.ar (170.210.175.8):
analit05-qbf.unsl.edu.ar (170.210.175.63):
dptoserv02-fmn.unsl.edu.ar (170.210.175.76):
inorg02-ch.unsl.edu.ar (170.210.175.106):


radio03.unsl.edu.ar (170.210.173.158):3-10-2002 instale el norton Zamo Daniel 
saadabento2.unsl.edu.ar (170.210.174.176):3-10-2002 instale el norton Zamo Daniel

15-5-2002 por Pedro

EN la maquina de la radio tuve varios problemas para sacar el klez. Primero le instale el inoculate con la ultima actualizacion, esto al pasarlo en modo prueba de fallos solo me advertia de que estaba el virus pero no lo eliminaba; a esto baje el tool de Panda y lo pase. Este tool saca varios virus, es bastante bueno, y me saco casi 25 virus; la mayoria de correo. Pero este tool aunque me elimino el klez.I no me detecto el klez.H que estaba rondando en la maquina. AL iniciar Windows wn modo normal, quise pasar el Inoculate y se me colgo la maquina, al reiniciar la pc el virus me reescribio el antivirus. Intente con el tool de F-prot pero como no era muy actualizado, solo lo detecta pero no lo elimina( no probe ponerlo en cuarentena). Pase el tool de Norton y no me detecto nada. Pero el inoculate aun seguia diciendo que habia virus(el klez.H). Al final lo detecte en una carpeta de c:\windows\temp donde habian varios archivos .exe. En la CArpeta de archivos de programa tambien( varios .exe) Asi que borre el vet**.exe del Inoculate, el messenger.exe y el msaccess.exe.

La maquina quedo sin virus y en espera de otros. Zamo le instalo el norton antivirus, creo que la ultima actualizacion lo saca definitivamente.

29-4-2002 por -f

que tal es: http://updates.pandasoftware.com/pq/gen/sircam/pqremove.com ?

24-4-2002 por -f
virus Klez.h

En symantec tienen la receta y el FixKlex.com que lo saca.

Prueben y cuenten si funciona!

Lo probé en un win98 en modo a prueba de fallos. Aparentemente lo saco al principio. Volvi a modo normal, el registro estaba limpio. Use el outlook y se volvio a infectar. Cuando trate de correr el FixKlex nuevamente, dio error y no corrio ni en modo a prueba de fallos.
-f

mt: El virus se vuelve a contagiar al Usar el Outlook pq el antivirus no lo saco del correo o llego otro email con virus. Uno se infecta con solo previsualizar el correo, por eso se recomienda desactivar la previsualizacion del Outlook.

dzamo Lo probé en tres win Me y dos win XP y una vez ejecutada esta utilidad hay que acordarse de desactivar la opcion de que no haga respaldo del sistema, en el panel de control, para recien luego instalar el antivirus nuevamente. O hay que entrar al modo solo DOS y borrar a mano los archivos que quedan infectados en el directorio _RESTORE que es oculto para este sistema op.
Un buen antivirus para sacar a este virus es el norton version full: 7.61.928, aunque un poco lento.

4-3-2002 por -f
SirCam de nuevo!

Todas estas maquinas tienen el SirCam:

quimfis04-b

fono08-r lista por polaco
galileo
enormal-3
cyt01-4bl

maquinas limpias
box7003-4bl ESTA ESTA LIMPIA -sergio-
box47-4b2 por pedro
biblio-2 ---lista, por dzamo
hem2-bib ---lista por dzamo
ctce-2 ---lista por dzamo
quimfis01-b polaco
quimfis02-b polaco
aula13-ch polaco

el filtro de virus esta instalado en inter10.

VIRUS de e-mail (SirCam)
(el virus solo ataca al sistema operativo windows de microsoft)

LISTA DE MAQUINAS INFECTADAS

informacion descriptiva:
http://ar.news.yahoo.com/75141529/010720/568556.html

Aca estan los pasos para sacarlo:
http://www.antivirus.com/vinfo/print/print.asp?VName=TROJ_SIRCAM.A
otra version: http://www.datafull.com/alertavirus/index.php

mas informacion:

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html http://vil.mcafee.com/dispVirus.asp?virus_k=99141& http://www.sophos.com/virusinfo/analyses/w32sircama.html http://www.europe.f-secure.com/v-descs/sircam.shtm

NUNCA execute attachements. Pida firma digital en los mensajes: http://www.gnupg.org y el plugin para el MS Outlook.

VIRUS Sircam una manera más cómoda de eliminarlo

este archivo se debe guardar como "sircam.inf"


Guardarlo en un diskette e instalarlo en la máquina infectada Luego chequear por virus con un antivirus actualizado. y borrar si existe la línea "@win \recycled\sirc23.exe" en el archivo autoexec.bat.

----
prueben AD-WARE para ver si tenemos virus de propaganda.

 



comments on this topic:

mt -- mt@unsl.edu.ar -- 00:05:54 04/26/02
El virus se vuelve a contagiar al Usar el Outlook pq el antivirus no lo saco del correo o llego otro email con virus. Uno se infecta con solo previsualizar el correo, por eso se recomienda desactivar la previsualizacion del Outlook.

mt -- mt@unsl.edu.ar -- 00:06:41 04/26/02
El virus se vuelve a contagiar al Usar el Outlook pq el antivirus no lo saco del correo o llego otro email con virus. Uno se infecta con solo previsualizar el correo, por eso se recomienda desactivar la previsualizacion del Outlook.