Your SlideShare is downloading. ×
Virus recibido en correo electrónico
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Virus recibido en correo electrónico

4,104

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
4,104
On Slideshare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Virus enviado por correo electrónico¡Cuidado! No abra correos de personas que no conoce, no descargue, descomprima niabra o ejecute documentos en formato de Word u otro documento de office conextensión .exe1. Primer mensaje (El de la flechita roja)
  • 2. 2.- Viene supuestamente del Departamento de Facebook. (de Daniel@facebook.com) En el que te avisa que tucuenta de Facebook está enviando virus, por lo que te informan que han cambiado tu contraseña por seguridad.Cuidado: Adjunto a este correo viene un archivo que esta comprimido en formato .Zip con elnombre Attached_SecurityCode81942.zip, al descomprimir se genera una carpeta con elmismo nombre (El numero cambia porque se envía desde una computadora ya infectadadonde el virus controla información que sale) en el interior de la carpeta se encuentra undocumento en forma de Word, pero con extensión .exe, como se muestra en la siguienteimagen.3.- El cuerpo del mensaje es el siguiente: (lo pongo en imagen tal como viene en el correo, para no hacercambios)
  • 3. 4.- Mensaje traducido:Buenas tardesEl spam es enviado desde su cuenta de Facebook.Su contraseña ha sido cambiada por seguridad.La información relativa a su cuenta y una contraseña nueva se une a la carta.Lea esta información a fondo y cambiar la contraseña a una complicada.Por favor, no responda a este mensaje, es notificación por correo electrónico automático!Gracias por su atención.FaceBook servicio.Spam = Correo o mensaje no deseado.Análisis del mensaje:1.- Yo no estoy registrado en Fecebook…. Así que ni para que me preocupo, inmediatamente pienso que se tratade un mensaje no deseado con posible virus.2.- Si fuera personal el mensaje con el documento adjunto, pensando que fuera mi nueva contraseña, (por lo quedice code… código, llave o contraseña) no lo enviarían a otros correos. Si se fijan en el mensaje se envía copiaa otras personas.3.- El Norton antivirus no detectó el documento infectado que se envía por correo.4.- Como no conozco a Daniel, ni tengo contacto con Facebook, y con fines de informar a usted sobre éstaamenaza. Investigué sobre este archivo adjunto recibido vía correo electrónico. Encontré lo siguiente.
  • 4. "El spam de su cuenta de Facebook" contiene mensajes troyanohttp://blog.mxlab.eu/2011/04/28/spam-from-your-facebook-account-messages-contains-trojan/5.- Version en Ingles:MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with tone of thefollowing subjects:Spam from your account:Spam from your Facebook accountYour password has been changedThe email is from “Facebook Abuse Department” containing a spoofed email address in the format***@facebook.com, where the part before the @-sign contains different names starting with a capital, and has thefollowing body:Dear clientSpam is sent from your FaceBook account.Your password has been changed for safety.Information regarding your account and a new password is attached to the letter.Read this information thoroughly and change the password to complicated one.Please do not reply to this email, it’s automatic mail notification!Thank you for using our services.FaceBook Service.The attached ZIP file has the name Attached_SecurityCode08592.zip, where the number is choosen randomly,and contains the 33 kB large file Attached_SecurityCode.exe.
  • 5. The trojan is known as W32/Trojan2.NNGG (Commtouch) and Troj/DwnLdr-IZR (Sophos). This trojan will installitself on the infected computer and has a build in SMTP engine for spreading its payload further by email.The following files will be created:%Temp%_check32.bat%Windir%s32.txt%System%aspimgr.exe%System%document.doc%Windir%ws386.ini6.- Traducción en español (la traducción puede contener errores de concordancia)Several Windows registry changes will be exectued and the trojan can establish connection with the followingIPs:… Continua lo sombreado en color amarillo.MX Lab, http://www.mxlab.eu, comenzó a interceptar una campaña troyano nueva distribución por correoelectrónico con el tono de las siguientes materias:Spam de su cuentaSpam de su cuenta de FacebookSu contraseña se ha cambiadoEl correo electrónico es de "Facebook Departamento de Abuso" que contiene una dirección de correo electrónicofalso en el formato facebook.com *** @, donde la parte anterior al signo @ contiene nombres diferentes a partirde un capital, y tiene el cuerpo lo siguiente:Estimado clienteEl spam es enviado desde su cuenta de Facebook.Su contraseña ha sido cambiada por seguridad.
  • 6. La información relativa a su cuenta y una contraseña nueva se une a la carta.Lea esta información a fondo y cambiar la contraseña a una complicada.Por favor, no responda a este mensaje, es notificación por correo electrónico automático!Gracias por usar nuestros servicios.FaceBook servicio.El archivo adjunto ZIP tiene la Attached_SecurityCode08592.zip nombre, donde el número es elegido al azar, ycontiene el 33 kB archivo grande Attached_SecurityCode.exe.El troyano es conocido como W32/Trojan2.NNGG (Commtouch) y Troj / DwnLdr-IZR (Sophos). Este troyano seinstalará en el ordenador infectado y tiene una estructura en motor SMTP para la difusión de su carga útil máspor correo electrónico.Los siguientes archivos se crearán:% Temp% _check32.bat% Windir% s32.txt% System% aspimgr.exe% System% documento.doc% Windir% ws386.iniVarios cambios en el registro de Windows se exectued y el troyano puede establecer la conexión con lasdirecciones IP siguientes:Remote Host Port Number148.223.242.243 25 161.132.8.44 25 200.157.233.13 25148.244.121.6 25 174.120.139.92 25 200.57.129.65 25
  • 7. 200.57.129.66 25 207.193.205.1 25 194.247.183.170 80204.200.167.219 25 216.200.145.36 25 91.207.178.169 80Data can be obtained from following URLs:hxxp://cl63amgstart.ru:80/board.phphxxp://campaigncommunications.ru/connect/load.php?file=documenthxxp://campaigncommunications.ru/connect/load.php?file=2hxxp://campaigncommunications.ru/connect/load.php?file=3hxxp://campaigncommunications.ru/connect/load.php?file=4hxxp://campaigncommunications.ru/connect/load.php?file=5hxxp://campaigncommunications.ru/connect/load.php?file=6hxxp://campaigncommunications.ru/connect/load.php?file=7hxxp://campaigncommunications.ru/connect/load.php?file=8hxxp://campaigncommunications.ru/connect/load.php?file=9hxxp://campaigncommunications.ru/connect/load.php?file=uploaderhxxp://campaigncommunications.ru/connect/load.php?file=0hxxp://campaigncommunications.ru/connect/load.php?file=0&luck=1hxxp://campaigncommunications.ru/connect/load.php?file=1hxxp://campaigncommunications.ru/connect/load.php?file=1&luck=1At the time of writing, only 2 of the 41 AV engines did detect the trojan at Virus Total.Virus Total permalink and MD5: 72a45688ba03a9bfd3b3755c33843dcd.7.- Segundo mensaje (El de la flechita morada) Proviene de un correo de una persona conocida. Envío sus mensajes a la carpeta Spam de correos no deseados.
  • 8.  También el adjunto es un virus informático, así que no lo abro, además los números que se encuentran tanto en el apartado de asunto como en el cuerpo del mensaje, son muy semejantes a los que se encuentran y registran en los registros del sistema operativo, mismos que se encuentran en los documentos ocultos de la carpeta Recycler o $Recycle.Bin ¿Por qué se envía a otros correos?, seguramente Marcelino Pérez Zapote, ni se imagina que su computadora envía correos duplicando el virus en su nombre usando su correo
  • 9. bUENAS: http://www.forospyware.com/t333755.htmlMe mandaron un email desde la libreta de contactos de un amigo que tiene hotmail, yo lo abri con el outlook yresulta que era un virus, del outlook mio han desaparecido todas las carpetas que tenia creadas en las cuales ibaguardando los emails, solo me ha dejado los enviados y los recibidos, pero las carpetas estas desaparecidas, hereseteado el ordenador al dia antes del virus pero nada, necesito ayuda urgente.Gracias.Nota: el siguiente texto y sugerencias son tomadas de la red, no están comprobadas, es un ejemplo de lapreocupación de la gente que por descuido abre un correo electrónico no deseado, enviado desde unacomputadora infectada. Así que tome sus precauciones. Tenga cuidado al descargar supuestos antivirus, hayvirus que se hacen pasar por antivirus y si los ejecutas o instalas en tu computadora, se daña el sistemaoperativo, pierdes toda la información del disco duro.¿Como quitar este virus nuevo? ¡¡¡CUIDADO!!!?http://es.answers.yahoo.com/question/index?qid=20100620131551AAVV1OaOs aviso de este nuevo virus cuidado con el si lo recibís no abrirloEl mensaje contiene archivos adjuntos1Archivo (18KB)Foto del virus foto05.bmpOs paso como se borrar el nuevo virus que se propaga a traves de laagenda de los correos.Fotos 05/06 – ES UN VIRUSSi te ha llegado el siguiente correo:1 anexo(s) | Baixar anexo (198,7 KB) Imagem.jpg (198,7 KB)
  • 10. tem você ai...Con asunto: Fotos 05/06No lo habras! Es un virus. Si ya lo has abierto estás infectado.El virus abre un nuevo proceso oculto del Internet Explorer, que hace uso de tus credenciales de tu clientewebmail (hotmail o gmail) y reenvía a todos tus contactos el virus, varias veces.A día de hoy, no hay un antivirus que lo limpie, así que debes borrarlo manualmente.Los pasos son:1. Cerrar sesión en hotmail para que el virus deje de reenviarse a todos tus contactos.2. Eliminar toda la información privada de Internet Explorer, pulsando Ctrl+Mayúsculas+Del3. Matar los procesos del virus desde el Administrador de tareas: Ctrl+Alt+Del / Iniciar el Administrador de Tareas/ Procesos / Ver procesos de todos los usuarios / Ordenar por nombre (Pinchar en la columna "Nombre deImagen") y buscar:- xlr.exe- xlr2.exe(Con el botón derecho / Finalizar el árbol de tareas)4. Borrar las claves de registro, para que al reiniciar el equipo no se vuelva a abrir el virus: TeclaDeWindows+R /regedit.exe / Edición / Buscar y escribimos xlr.exe. Cuando lo encuentre, borrar todo lo que empiece por xlr.Serán 2 o 4 claves, dependiendo de las veces que hayamos intentado abrir la foto.5. Borrar la carpeta donde están copiados los ficheros del virus (C:CMOS): Abrir el explorador de archivos. Lacarpeta está oculta, por lo que debes tener configurado el explorador de archivos para que permita ver archivosocultos. Si no ves una carpeta que se llame CMOS dentro de C:, haz lo siguiente: Pulsa tecla Alt / Herramientas /Opciones de Carpeta / Ver / Archivos y Carpetas Ocultos / Mostrar Archivos, carpetas y unidades ocultos.Ahora que ves la carpeta intenta eliminarla. Si da error, cámbiale el nombre a CMOSKKKKKK.6. Reinicia el ordenador.
  • 11. Si todo ha ido bien, ya no aparecerá el proceso xlr.exe en la lista de procesos, ni habrá aparecido de nuevo lacarpeta C:CMOS, y lo más importante, tus amigos dejarán de recibir el virus.Si alguno de tus amigos ya ha abierto el correo y está también infectado, mándale este artículo. Los Virus se ocultan en el Sistema Operativo y bloquean el antivirus para protegerse. ¿Qué hacer para eliminar los virus si no los podemos ver?Es común que, al introducir memorias o unidades extraíbles USB a computadoras de compañeros, oficinas,escuelas, universidades, cibercafé, etc., se contaminen con programas que pueden dañar archivos de éstosextraíbles o el sistema operativo de nuestras computadoras sino tenemos el cuidado apropiado al introducir lasunidades extraibles en computadoras propias después de haberlos insertado en computadoras infectadas.A continuación voy a explicar pasos sencillos para eliminar los virus de manera manual………… Tienes interés en saber cómo eliminar los virus…. Entra en el siguiente enlace: (Documento enconstrucción, pero sirve, sólo que al descargar los antivirus recomendados busque los mas actualizados)http://academiasefcnayarit.blogspot.com/2009/08/antivirus.htmlBlog: http://academiasefcnayarit.blogspot.com/ Parte derecha del blog… en la etiqueta novedades, hay un enlace titulado: Eliminar virus. Para quejas, sugerencias, felicitaciones o dudas, deja comentario en el blog.

×