Re: yo también iloveyou(Aclaración)
Hola a todos, On Fri, May 05, 2000 at 03:56:43PM +0200, Joan Cirer wrote: Por cierto... Conoceis el filtro para sendmail Amavis (http://aachalon.de/AMaViS) ? Es un mailer que escanea todos los mensajes que pasan a traves del servidor para detectar virus no es tan sofisticado como los antivirus para MS Exchange o Lotus Domino, pero os puede sacar de apuros en el curro ;-) Yo utilizo un interceptador de ejecutables con procmail, no es exactamente un antivirus, pero me va bien... (excepto los autoextraibles nadie envia nunca ejecutables a mis usuarios... excepto los virus) Ademas he intentado detectar macros dentro de archivos word (funciona al menos con el virus de macro de word-97 que le llegó a la secre de mi jefe ;-) No conozco todos los formatos de correo (de adjuntos) asi que he preparado estos recipientes por ensayo-y-error ¿Que os parece? ¿Hay mas formatos de añadir adjuntos? Agradeceré comentarios ;-) 8 # CAPTURA DE CORREO CON EJECUTABLES .EXE , ETC... (VIRUS DE E-MAIL) # Esto captura todos los mensajes con añadidos exe, com, hta, vbs, js y reg # y los envia al recipiente exemacros para su desactivación # ¿Hay mas formatos de adjuntos? # # Capturo adjuntos MIME :0 HB * .*filename=.*(\.exe|\.com|\.hta|\.vbs|\.js|\.reg) ! exemacros # Captuto adjuntos ¿uuencode? # (lo he tomado del virus de e-mail Happy.exe) # que es: ^begin 644 Happy99.exe$ (expresión regular) # :0 HB * ^begin.*(\.exe|\.com|\.hta|\.vbs|\.js|\.reg) ! exemacros # CAPTURA DE ADJUNTOS CON MACROS (MS-Word 97 como minimo) # Lo que vamos a hacer es detectar en el cuerpo la cadena # 0x00 M 0x00 a 0x00 c 0x00 r 0x00 o 0x00 s 0x00 que parece estar siempre # presente cuando hay macros... # Como los adjuntos siempre vienen codificados hay que buscar esa cadena # ya codificada # En la codificacion base64 (3 en 4) hay tres cadenas resultantes en funcion # de la posicion relativa de la cadena desde el inicio del texto # Aunque la codificacion quoted-printable no suele ser la usada en los .doc # la añado por si acaso (es el cuarto valor) :0 B * .*(TQBhAGMAcgBvAHM|E0AYQBjAHIAbwBz|BNAGEAYwByAG8Acw|M=00a=00c=00r=00o=00s=00) ! exemacros 8 Mas detalles: Me bajo el correo de mis usuarios con fetchmail y lo entrego a procmail, le paso estos filtros y luego lo envio a los recipiente de mis usuarios a traves del MTA del sistema (exim) La idea no es detectar virus, sino detectar ejecutables o la presencia de macros en documentos microchof, aunque con Excel no he tenido exito... Saludos, -- - Manel Marin e-mail: [EMAIL PROTECTED] Linux Powered (Debian 2.1 slink) kernel 2.2.14 Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3 - Mi petición de drivers para Linux es la nº 33126 (Pasate por http://www.libranet.com/petition.html ;-)
yo también iloveyou(Aclaración)
Hola Debians. Como alguien pide información sobre esto ahí va lo que sé. Parece que ha sido creado en Filipinas y en poquísimo tiempo está haciendo de las suyas en todo el mundo, NASA , Cadena SER en España, ... parece que incluso ha colgado el sistema en UK cuando estaban contando los votos de unas elecciones. ¡Qué imagen!. Así que ya sabes. Cuidado en WXX, sin problemas en Linux. Hasta pronto. Diego.
yo también iloveyou(Aclaración)
Alerta: VBS.LoveLetter infecta miles de sistemas
Un gusano escrito en Visual Basic Script está infectando a miles de
ordenadores a través del correo electrónico y el IRC. Si recibe un
mensaje con el asunto ILOVEYOU y el fichero adjunto
LOVE-LETTER-FOR-YOU.TXT.vbs, bórrelo directamente. Así mismo, los
usuarios de IRC deberán tener precaución ya que el gusano también
se propaga a través del cliente mIRC enviando vía DCC el fichero
LOVE-LETTER-FOR-YOU.HTM.
El gusano llega en forma de mensaje, con el asunto ILOVEYOU y un
archivo adjunto con el nombre de LOVE-LETTER-FOR-YOU.TXT.vbs,
aunque la extensión VBS (Visual Basic Script) puede permanecer
oculta en las configuraciones por defecto de Windows, lo cual puede
hacer pensar que se trate de un inocente archivo de texto.
Cuando se abre el archivo infectado el gusano procede a infectar el
sistema, y expandirse rápidamente enviándose a todos aquellos
contactos que tengamos en la agenda del Outlook, incluidas las
agendas globales corporativas. Es importante no ejecutar ningún
archivo adjunto que venga con dicho mensaje y avisar de forma
inmediata a los administradores de la red de la llegada de dicho
email.
Según las primeras líneas de código el gusano procede de Manila,
Filipinas, y el autor se apoda spyder:
rem barok -loveletter(vbe) i hate go to school
rem by: spyder / [EMAIL PROTECTED] / @GRAMMERSoft Group /
Manila,Philippines
El virus crea las siguientes claves en el registro, que deberán ser
borradas para evitar que el virus se ejecute de forma automática
nada más iniciar el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel3
2
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\W
in
32DLL
También será necesario borrar los archivos:
WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto \WINDOWS)
MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
El gusano modifica la página de inicio de Internet Explorer con una de
las 4 direcciones, que elige según un número aleatorio, bajo el
dominio http://www.skyinet.net. Estas direcciones apuntan al fichero
WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows
para que este ejecutable también sea lanzado en cada inicio del sistema
y modifica de nuevo la configuración de Internet Explorer situando en
esta ocasión una página en blanco como inicio.
Si el gusano ha conseguido realizar el paso anterior también deberemos
borrar el archivo:
WIN-BUGSFIX.EXE
ubicado en el directorio de descarga de Internet Explorer
y la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSF
IX
El gusano también detecta la presencia del programa mIRC, buscando
algunos de los siguientes archivos: mirc32.exe, mlink32.exe,
mirc.ini y script.ini. En caso de que se encuentren en el sistema
el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI
donde podemos encontrar, entre otras líneas, las siguientes
instrucciones:
n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick dirsystem\LOVE-LETTER-FOR-YOU.HTM
n3=}
Las cuales provocan que el gusano se autoenvíe vía DCC, a través del
archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que
entren en el mismo canal de conversación donde se encuentre el
usuario infectado.
En este caso debemos de borrar los archivos:
LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
SCRIPT.INI (si contiene las instrucciones comentadas)
ubicado en el directorio de mIRC
El virus sobrescribe con su código los archivos con extensiones .VBS
y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH,
.SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el
que introduce su código. También localiza los archivos con extensión
.JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo
nombre está formado por el nombre y la extensión anterior más VBS como
nueva extensión real.
Por último, recordar a todos nuestros lectores la posibilidad de que
este mismo gusano pueda presentarse bajo otros nombres de fichero con
tan sólo unas simples modificaciones en su código. Recordamos una vez
más que no debemos abrir o ejecutar archivos no solicitados, aunque
estos provengan de fuentes confiables. En caso de duda, cuando la
fuente es confiable, siempre deberemos pedir confirmación al remitente
para comprobar que el envío ha sido intencionado y no se trata de
un gusano que se envía de forma automática.
-
* ULTIMA HORA SOBRE VBS/LoveLetter *
RE: yo también iloveyou(Aclaración)
Por cierto... Conoceis el filtro para sendmail Amavis (http://aachalon.de/AMaViS) ? Es un mailer que escanea todos los mensajes que pasan a traves del servidor para detectar virus no es tan sofisticado como los antivirus para MS Exchange o Lotus Domino, pero os puede sacar de apuros en el curro ;-) Funciona con los antivirus Mcaffee viruscan, Dr Solomon, Sophos y unos cuantos mas... y no como es un script sh funciona con bastantes Unix y con demonios sendmail y qmail Saludos -Original Message- From: Diego Bote [mailto:[EMAIL PROTECTED] Sent: Friday, May 05, 2000 3:44 PM To: debian-user-spanish@lists.debian.org Subject: yo también iloveyou(Aclaración) Hola Debians. Como alguien pide información sobre esto ahí va lo que sé. Parece que ha sido creado en Filipinas y en poquísimo tiempo está haciendo de las suyas en todo el mundo, NASA , Cadena SER en España, ... parece que incluso ha colgado el sistema en UK cuando estaban contando los votos de unas elecciones. ¡Qué imagen!. Así que ya sabes. Cuidado en WXX, sin problemas en Linux. Hasta pronto. Diego. -- Unsubscribe? mail -s unsubscribe [EMAIL PROTECTED] /dev/null
