[FT] Virus Mydoom en fase C

31/01/2004 - 16:03 por Jorge Zeledon | Informe spam
Esto realmente nos compete, pues según un investigador ruso, este virus en
su siguiente fase será capaz de escribir en el Flash BIOS lo que puede
provocar la apertura de una puerta trasera en el TCP, solucionable sólo
volviendo a cargar o actualizar el Flash BIOS. Es de preocuparse, cierto?
Saludos :.


Pego la info de VSantivirus:

VSantivirus No. 1303 Año 8, sábado 31 de enero de 2004
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_________________________________________________________

1 - Investigador ruso dice que el Mydoom sería más peligroso
_____________________________________________________________

http://www.vsantivirus.com/31-01-04.htm

Investigador ruso dice que el Mydoom sería más peligroso

Por Angela Ruiz
angela@videosoft.net.uy

El investigador independiente Juari Bosnikovich, publicó en
una lista de seguridad, nuevos detalles de la acción
destructiva del gusano Mydoom, desconocidos hasta ahora.

Según Bosnikovich, las compañías antivirus podrían haber
ocultado cierta información por simple omisión, o por alguna
otra extraña razón.

Por ejemplo, el componente backdoor (shimgapi.dll), abre una
puerta trasera por un puerto TCP. Pero esto sería solo para
ocultar sus verdaderas intenciones, de las que nada se ha
escrito. No está claro en el mensaje del investigador ruso,
cuáles serían estas intenciones, y que relación tendrían con
el Outlook Express.

Por otra parte, las descripciones del Mydoom.A, dicen que el
virus sería operativo hasta el 12 de febrero. Sin embargo,
esto no sería así. A partir de esa fecha el gusano pasaría a
una nueva fase que Bosnikovich cataloga como Mydoom.C, y en
la cuál se convertiría en mucho más peligroso.

En esta fase, el gusano podría "infectar" el Flash BIOS de la
computadora, inyectando un código de 624 bytes en él. Según
Bosnikovich, esto sería un backdoor escrito en forth, con el
que se abriría un puerto TCP cada vez que Mydoom se ejecute
después de la fecha mencionada.

No hay manera de "reparar" el BIOS infectado, salvo
restaurando el original (flashing), después de que se haya
desinfectado la computadora, o ésta volvería a infectarse.

Siendo el procedimiento de flashing (cargar o actualizar la
memoria Flash BIOS), algo no muy al alcance de un usuario
medio, de funcionar realmente esta característica, la misma
convertiría al virus en una variante muy destructiva.

Y finalmente, de ser cierta toda esta información, es muy
extraño que nadie la haya revelado. Y mucho más lo sería que
los laboratorios de las compañías antivirus no lo hayan
descubierto aún; o que lo hayan ocultado, como insinúa el
investigador.

El comentario completo de Bosnikovich en el siguiente enlace
(en inglés):

http://lists.netsys.com/pipermail/f...16353.html


* Relacionados:

W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm

Mydoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm

Mydoom.B, nuevo protagonista de una batalla sin treguas[
http://www.vsantivirus.com/29-01-04.htm

W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
http://www.vsantivirus.com/mydoom-b.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows] ·
31/01/2004 - 17:25 | Informe spam
hombre... si es tal y como lo cuentas me suena a ciencia ficcion o a inventiva de ese "investigador".

De todas maneras, esa porquería dará guerra todavia...

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Jorge Zeledon" wrote in message news:
Esto realmente nos compete, pues según un investigador ruso, este virus en
su siguiente fase será capaz de escribir en el Flash BIOS lo que puede
provocar la apertura de una puerta trasera en el TCP, solucionable sólo
volviendo a cargar o actualizar el Flash BIOS. Es de preocuparse, cierto?
Saludos :.


Pego la info de VSantivirus:

> VSantivirus No. 1303 Año 8, sábado 31 de enero de 2004
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_________________________________________________________

1 - Investigador ruso dice que el Mydoom sería más peligroso
_____________________________________________________________

http://www.vsantivirus.com/31-01-04.htm

Investigador ruso dice que el Mydoom sería más peligroso

Por Angela Ruiz


El investigador independiente Juari Bosnikovich, publicó en
una lista de seguridad, nuevos detalles de la acción
destructiva del gusano Mydoom, desconocidos hasta ahora.

Según Bosnikovich, las compañías antivirus podrían haber
ocultado cierta información por simple omisión, o por alguna
otra extraña razón.

Por ejemplo, el componente backdoor (shimgapi.dll), abre una
puerta trasera por un puerto TCP. Pero esto sería solo para
ocultar sus verdaderas intenciones, de las que nada se ha
escrito. No está claro en el mensaje del investigador ruso,
cuáles serían estas intenciones, y que relación tendrían con
el Outlook Express.

Por otra parte, las descripciones del Mydoom.A, dicen que el
virus sería operativo hasta el 12 de febrero. Sin embargo,
esto no sería así. A partir de esa fecha el gusano pasaría a
una nueva fase que Bosnikovich cataloga como Mydoom.C, y en
la cuál se convertiría en mucho más peligroso.

En esta fase, el gusano podría "infectar" el Flash BIOS de la
computadora, inyectando un código de 624 bytes en él. Según
Bosnikovich, esto sería un backdoor escrito en forth, con el
que se abriría un puerto TCP cada vez que Mydoom se ejecute
después de la fecha mencionada.

No hay manera de "reparar" el BIOS infectado, salvo
restaurando el original (flashing), después de que se haya
desinfectado la computadora, o ésta volvería a infectarse.

Siendo el procedimiento de flashing (cargar o actualizar la
memoria Flash BIOS), algo no muy al alcance de un usuario
medio, de funcionar realmente esta característica, la misma
convertiría al virus en una variante muy destructiva.

Y finalmente, de ser cierta toda esta información, es muy
extraño que nadie la haya revelado. Y mucho más lo sería que
los laboratorios de las compañías antivirus no lo hayan
descubierto aún; o que lo hayan ocultado, como insinúa el
investigador.

El comentario completo de Bosnikovich en el siguiente enlace
(en inglés):

http://lists.netsys.com/pipermail/f...16353.html


* Relacionados:

W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm

Mydoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm

Mydoom.B, nuevo protagonista de una batalla sin treguas[
http://www.vsantivirus.com/29-01-04.htm

W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
http://www.vsantivirus.com/mydoom-b.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com


Preguntas similares