Alguien está enviando virus peligrosos en mi nombre

Re: Virus??

Re: Virus??

Originalmente enviado por: gerardocb
Estimados amigos:

Sé que esta persona (timoteo, creo) no ha sido precisamente bien vista en estos foros, pero creo que deben tener mucho cuidado al lanzar acusaciones de este tipo.

Por lo que dice Webmaster, puedo observar fácilmente que dichos mensajes tienen todas las características del virus/gusano Klez-H, el cual, al enviarse, utiliza direcciones de correo encontradas en la máquina del usuario infectado y los envía bajo estas direcciones, sin que éste se percate.

Si quieren mas información del gusano, la pueden encontrar en:
http://www.sophos.com/virusinfo/analyses/w32klezh.html

Saludos, y por favor, extremen precauciones; no vayamos a dar falso testimonio...
Hacer clic para expandir...






El Webmaster SABE MUY BIEN la diferencia entre un virus, y la comprobación de dos IP's exactamente iguales.


Cuando el Webmaster hace esa afirmación es porque tiene pruebas, no es persona de ir acusando sin tener pruebas; si llevaras tiempo en estos foros, sabrías de su honestidad y prudencia.
 
Re: Virus??

Re: Virus??

Originalmente enviado por: gerardocb
Estimados amigos:

Sé que esta persona (timoteo, creo) no ha sido precisamente bien vista en estos foros, pero creo que deben tener mucho cuidado al lanzar acusaciones de este tipo.

Por lo que dice Webmaster, puedo observar fácilmente que dichos mensajes tienen todas las características del virus/gusano Klez-H, el cual, al enviarse, utiliza direcciones de correo encontradas en la máquina del usuario infectado y los envía bajo estas direcciones, sin que éste se percate.

Si quieren mas información del gusano, la pueden encontrar en:
http://www.sophos.com/virusinfo/analyses/w32klezh.html

Saludos, y por favor, extremen precauciones; no vayamos a dar falso testimonio...
Hacer clic para expandir...

Quizas webmaster pudiera darte clases a ti de como es posible saber la procedencia de una nota . Y si dice que es de TIMOTEO . ES QUE ES DE TIMOTEO : El señor que es mal visto en todos los foros cristianos del internet , y no solo en este

Y cuida tu de tu propio testimonio .
 
Amigos:

Lo que menos me esperé fué este tipo de respuesta. No intento en ningún momento desacreditar al Webmaster (el cual merece todos mis respetos). Únicamente pretendo explicar el posible orígen de dichos mensajes.

Como ya lo dije, el virus Klez-H se manifiesta de esa manera. Verán: yo trabajo en la administración del servicio de correo electrónico en mi organización, y constantemente recibimos preguntas de usuarios que dicen nunca haber enviado virus por correo electrónico, y sin embargo, reciben notificaciones de que así lo hicieron. Esa es justa la forma de trabajar no solo del virus del que hablo, sino de muchos otros. De esto también me doy cuenta, ya que administro el antivirus que filtra el correo electrónico dirigido a mi institución.

Por lo de la dirección IP, estimado Webmaster, me parece que de la cual proviene el mensaje que publicaste, es una dirección dinámica, de las que se asignan automáticamente a los usuarios que se conectan vía telefónica. Si es así, estaremos de acuerdo en que es muy difícil determinar a que usuario en Internet pertenece exactamente. Sería muy raro que no coincidiera con alguna de las que están registradas en el sistema de foros.

Aún cuando hubiese sido el ya odiado por todos ustedes "Timoteo", muy probablemente este distinguido personaje ni siquiera esté percatado de que se están enviando virus desde su equipo; de ser así, ya hubiera desinfectado su máquina de este virus.

Mil disculpas si he herido susceptibilidades; confío en el buen criterio del Webmaster, de quien espero dentro de poco tiempo aclare todo esto.

Saludos a todos.
 
Nunca hables por los demas Gerardo, el Webmaster sabe de informática muchísimo más de lo que tu puedes llegar a imaginarte.

Lo que ha hecho Timoteo NO ES porque no esté percatado, ya que si te fijas en la muestra quien nos ha puesto el Webmaster, envía los correos como "[email protected]", aparte de que tenga IP fija y sea exactamente la misma.
 
"Van a enseñar a padre a tener hijos"

:dnormal: :clown: :beso:
 
Originalmente enviado por: gerardocb
Amigos:

Lo que menos me esperé fué este tipo de respuesta. No intento en ningún momento desacreditar al Webmaster (el cual merece todos mis respetos). Únicamente pretendo explicar el posible orígen de dichos mensajes.

Como ya lo dije, el virus Klez-H se manifiesta de esa manera. Verán: yo trabajo en la administración del servicio de correo electrónico en mi organización, y constantemente recibimos preguntas de usuarios que dicen nunca haber enviado virus por correo electrónico, y sin embargo, reciben notificaciones de que así lo hicieron. Esa es justa la forma de trabajar no solo del virus del que hablo, sino de muchos otros. De esto también me doy cuenta, ya que administro el antivirus que filtra el correo electrónico dirigido a mi institución.

Por lo de la dirección IP, estimado Webmaster, me parece que de la cual proviene el mensaje que publicaste, es una dirección dinámica, de las que se asignan automáticamente a los usuarios que se conectan vía telefónica. Si es así, estaremos de acuerdo en que es muy difícil determinar a que usuario en Internet pertenece exactamente. Sería muy raro que no coincidiera con alguna de las que están registradas en el sistema de foros.

Aún cuando hubiese sido el ya odiado por todos ustedes "Timoteo", muy probablemente este distinguido personaje ni siquiera esté percatado de que se están enviando virus desde su equipo; de ser así, ya hubiera desinfectado su máquina de este virus.

Mil disculpas si he herido susceptibilidades; confío en el buen criterio del Webmaster, de quien espero dentro de poco tiempo aclare todo esto.

Saludos a todos.
Hacer clic para expandir...

Gerardo : Yo no conozco gran cosa de informática , virus , etc , pero si conozco al webmater .

Y vamos ¡ eso de mandarle a cuidar su testimonio ! Es como que demasiado .

¿ Porqué no le escribiste en privado mostrándole tus dudas ?

Los asuntos donde se ponen en juego la integridad , sabiduria o ignorancia de una persona , no se tratan en publico .

Supongo que estarás de acuerdo conmigo . :dnormal:
 
Hola a tod*s, vamos a aclarar unas cuantas cosas :).

Cada vez que alguien se conecta y valida en los foros TODAS sus IP de cada conexión quedan grabadas y vinculadas a su usuario.

Timoteo/Vicente Mercado utiliza siempre un mismo rango de IP´s de su mismo proveedor de Internet (menos cuando se conecta desde un proxy), y realizando una búsqueda en la base de datos de todas las ip´s que aparecen en los cientos de Emails que me están llegando de protesta o de aviso, han coincidido varias.

Imaginemos que Timoteo, no está enviando los virus de forma voluntaria... (es posible) cuando un virus infecta al sistema/programa de correo, lo que hace es buscar primero en la "libreta de direcciones", y luego en los emails recibidos y enviados, y luego se propaga utilizando todas esas direcciones recolectadas, revelando su identidad. A no ser que hayan creado una variante del Klez-H, que sea [email protected] y que se propaga con mi remite :D :D

Lo que quiere decir es que dicha persona TIENE CONFIGURADO EN SU PROGRAMA DE CORREO una dirección que es mía, por lo que ahora, o en un momento pasado ha ursurpado mi identidad y que el virus se propague con mi Email y su IP le ha delatado.

Timoteo/Vicente Mercado, si lees estas lineas, pásate el antivirus que he puesto en http://www.iglesia.net/software/

:D.

DLBM.

--
Webmaster
 
Originalmente enviado por: Maripaz
Nunca hables por los demas Gerardo, el Webmaster sabe de informática muchísimo más de lo que tu puedes llegar a imaginarte.

Lo que ha hecho Timoteo NO ES porque no esté percatado, ya que si te fijas en la muestra quien nos ha puesto el Webmaster, envía los correos como "[email protected]", aparte de que tenga IP fija y sea exactamente la misma.
Hacer clic para expandir...

Gracias, Maripaz. Eso es justamente lo que hace el virus Klez-H. Toma direcciones aleatorias de remitente y de destinatario.

Creeme que se de lo que estoy hablando.
 
Originalmente enviado por: Elisa


Gerardo : Yo no conozco gran cosa de informática , virus , etc , pero si conozco al webmater .

Y vamos ¡ eso de mandarle a cuidar su testimonio ! Es como que demasiado .

¿ Porqué no le escribiste en privado mostrándole tus dudas ?

Los asuntos donde se ponen en juego la integridad , sabiduria o ignorancia de una persona , no se tratan en publico .

Supongo que estarás de acuerdo conmigo . :dnormal:
Hacer clic para expandir...

Claro que estoy de acuerdo, y lo que dije, no fué específicamente por Webmaster. Lo dije por todo el contexto de este tópico, en el cual ya hasta se está pensando en hacer una DENUNCIA PÚBLICA sin pruebas suficientes (mas que un mensaje típico del virus Klez-H), lo cual redundaría en poner en juego la integridad, sabiduría o ignorancia de otra persona (por mas "latosa" que pueda ésta resultar).

Si se quiere hacer una denuncia ante autoridades informáticas, se tendrán que mostrar pruebas mucho mas robustas que esa. En mi buzón, como administrador de correo electrónico, tengo miles de pruebas (literalmente) de la forma en que actúa el virus Klez-H, y es exactamente igual a la del mensaje que envió Webmaster.

Si alguien quiere ver alguno de estos mensajes, con gusto se lo hago llegar.

Saludos.
 
Originalmente enviado por: Webmaster
Imaginemos que Timoteo, no está enviando los virus de forma voluntaria... (es posible) cuando un virus infecta al sistema/programa de correo, lo que hace es buscar primero en la "libreta de direcciones", y luego en los emails recibidos y enviados, y luego se propaga utilizando todas esas direcciones recolectadas, revelando su identidad. A no ser que hayan creado una variante del Klez-H, que sea [email protected] y que se propaga con mi remite :D :D

Lo que quiere decir es que dicha persona TIENE CONFIGURADO EN SU PROGRAMA DE CORREO una dirección que es mía, por lo que ahora, o en un momento pasado ha ursurpado mi identidad y que el virus se propague con mi Email y su IP le ha delatado.

Timoteo/Vicente Mercado, si lees estas lineas, pásate el antivirus que he puesto en http://www.iglesia.net/software/

:D.

DLBM.

--
Webmaster
Hacer clic para expandir...

Estimado Webmaster:
Disculpa mis comentarios, pero creo que se está llegando demasiado lejos con esto.
Si Timoteo lo está haciendo de forma voluntaria, que Dios lo perdone.

Pero insisto: esa es justamente la forma de trabajar del virus Klez. Verifica lo que dice la descripción del virus:

"El gusano buscará direcciones de email en el libro de direcciones de Windows y en archivos con las extensiones TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 y PDF. "

O sea que, como sabrás, también buscará en el "caché" de su explorador, en donde seguramente está no solamente la dirección de [email protected], si no cualquier otra que sea visible desde los foros (hasta la de Maripaz, si la tiene pública ;)).

De todas estas direcciones, tomará una para remitente y otra para destinatario, por lo que ni siquiera es requisito que el usuario tenga configurado su cliente de correo con la dirección de alguno de ellos. Puedo decirles con un buen grado de seguridad que a Timoteo le pegó el virus Klez-H, y que no ha enviado al menos ese mensaje en forma intencional.

De nuevo, les envío la dirección donde pueden encontrar información:
Sophos antivirus

Mil disculpas de nuevo por todas las incomodidades causadas. No volveré a insistir; simplemente les repito lo que ya comenté: necesitarán pruebas mas robustas ante cualquier autoridad.

Saludos.
 
¿Porque nomas entro a los foros y empiezo a recibir ataques?





% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
inetnum: 80.32.0.0 - 80.35.255.255
netname: RIMA
descr: TELEFONICA DE ESPANA
descr: Provider Local Registry
country: ES
admin-c: AFG2-RIPE
admin-c: JB986-RIPE
tech-c: FLT14-RIPE
tech-c: FSB3-RIPE
status: ASSIGNED PA
mnt-by: MAINT-AS3352
mnt-lower: MAINT-AS3352
mnt-routes: MAINT-AS3352
changed: [email protected] 20011112
changed: [email protected] 20020212
changed: [email protected] 20020227
changed: [email protected] 20020513
source: RIPE
route: 80.34.0.0/16
descr: RIMA (Red IP Multi Acceso)
origin: AS3352
mnt-by: MAINT-AS3352
changed: [email protected] 20011115
source: RIPE
person: Antonio Fuentes
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5846497
fax-no: +34 91 5842650
e-mail: [email protected]
nic-hdl: AFG2-RIPE
notify: [email protected]
changed: [email protected] 20020225
changed: [email protected] 20020325
source: RIPE
person: J Benet
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5846497
fax-no: +34 91 5842650
e-mail: [email protected]
nic-hdl: JB986-RIPE
notify: [email protected]
changed: [email protected] 20020220
changed: [email protected] 20020325
source: RIPE
person: Francisco Lorenzo de Tuero
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5194446
fax-no: +34 91 5846936
e-mail: [email protected]
nic-hdl: FLT14-RIPE
notify: [email protected]
changed: [email protected] 20020225
changed: [email protected] 20020325
source: RIPE
person: Fernando S. Burriel
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5194446
fax-no: +34 91 5846936
e-mail: [email protected]
nic-hdl: FSB3-RIPE
notify: [email protected]
changed: [email protected] 20020221
source: RIPE
---------------------------------------------------------------------------------------------------------
 
Originalmente enviado por: SolaGratia
¿Porque nomas entro a los foros y empiezo a recibir ataques?

---------------------------------------------------------------------------------------------------------
Hacer clic para expandir...

¿Alguien conoce tu dirección IP? El único lugar donde se queda registrado es al enviar mensajes a los foros, y eso no está disponible a todo público.

Saludos.
 
Estimado Gerardo, gracias por escribir.

El Virus Klez está basado y copiado en virus como el Melissa, Nimda, Sircam y todas sus mutaciones y clones.

Si analizas el código, verás que utilizando los parámetros:

"A %s %s game."
"A %s %s tool."
"A %s %s website."
"A %s %s patch."

utiliza una combinación de frases para que nunca sea igual el campo del título y el del mensaje (como ya hacía el Sircam en su versión que atacaba a los clientes).

Como ya te he comentado antes, este virus no es original, es una modificación/mejora de los que antes te he citado y comparten bastante código, sobre todo del Sircam.

Te aseguro que si te infectas, los Emails que envies, serán con tu remitente que tengas en tu programa de correo, y no es generado aleatoriamente por el virus.

He puesto sólo un Email de ejemplo, pero he recibido cientos.

Respecto Timoteo/Vicente Mercado, este individuo, ya ha ursurpado mi personalidad en otras ocasiones y la de otros foristas.

¿Necesita que le pegue esos Emails también, demostrando las ursurpaciones o me cree a la primera?. Si lo prefiere pegamos el código fuente del virus y analizamos línea por línea.

DLBMM.

--
Webmaster




Originalmente enviado por: gerardocb


Estimado Webmaster:
Disculpa mis comentarios, pero creo que se está llegando demasiado lejos con esto.
Si Timoteo lo está haciendo de forma voluntaria, que Dios lo perdone.

Pero insisto: esa es justamente la forma de trabajar del virus Klez. Verifica lo que dice la descripción del virus:

"El gusano buscará direcciones de email en el libro de direcciones de Windows y en archivos con las extensiones TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 y PDF. "

O sea que, como sabrás, también buscará en el "caché" de su explorador, en donde seguramente está no solamente la dirección de [email protected], si no cualquier otra que sea visible desde los foros (hasta la de Maripaz, si la tiene pública ;)).

De todas estas direcciones, tomará una para remitente y otra para destinatario, por lo que ni siquiera es requisito que el usuario tenga configurado su cliente de correo con la dirección de alguno de ellos. Puedo decirles con un buen grado de seguridad que a Timoteo le pegó el virus Klez-H, y que no ha enviado al menos ese mensaje en forma intencional.

De nuevo, les envío la dirección donde pueden encontrar información:
Sophos antivirus

Mil disculpas de nuevo por todas las incomodidades causadas. No volveré a insistir; simplemente les repito lo que ya comenté: necesitarán pruebas mas robustas ante cualquier autoridad.

Saludos.
Hacer clic para expandir...
 
Estimado Sola Gratia, con ese volcado de la base de datos del Ripe no podemos hacer nada, ni tiene valor.

Primero me gustaría saber qué clase de ataques está recibiendo, si están buscando puertos abiertos, si es un ataque por ICMP, si es un DoS, si buscan troyantos tipo Netbus.

Seguramente esas alarmas se las esté dando un cortafuegos como pueda ser el "Zone Alarm", o el Norton Firewall, Mcafee Firewall... todos estos programas guardan un log, con los ataques.

No especificas si esa alarma te la ha dado una vez que has entrado a los foros, o si es CADA VEZ QUE ENTRAS A LOS FOROS.

Si es cada vez que entras en los foros, por favor, mándame el log, que te he mencionado antes.

Puede ser cualquier persona que esté realizando un "barrido de ip´s" buscando puertos abiertos para intentar atacar un ordenador, pero ningún usuario de los foros puede ver su dirección IP, sólo puedo verlo yo, y le aseguro que si yo tuviera que atacar a alguien no utilizaría mi IP de acceso a Internet, y más siendo fija ;). Puede ser coincidencia.

Le pido que por favor dé más información sobre el tema, porque al leer su mensaje por encima, parece que recibes el ataque por el mero hecho de entrar en los foros y técnicamente eso no es posible, ni siquiera en el chat.

Por lo menos dígame la IP y si puede mándeme el log y lo investigamos juntos.

DLBM.

--
Webmaster


Originalmente enviado por: SolaGratia
¿Porque nomas entro a los foros y empiezo a recibir ataques?


% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
inetnum: 80.32.0.0 - 80.35.255.255
netname: RIMA
descr: TELEFONICA DE ESPANA
descr: Provider Local Registry
country: ES
admin-c: AFG2-RIPE
admin-c: JB986-RIPE
tech-c: FLT14-RIPE
tech-c: FSB3-RIPE
status: ASSIGNED PA
mnt-by: MAINT-AS3352
mnt-lower: MAINT-AS3352
mnt-routes: MAINT-AS3352
changed: [email protected] 20011112
changed: [email protected] 20020212
changed: [email protected] 20020227
changed: [email protected] 20020513
source: RIPE
route: 80.34.0.0/16
descr: RIMA (Red IP Multi Acceso)
origin: AS3352
mnt-by: MAINT-AS3352
changed: [email protected] 20011115
source: RIPE
person: Antonio Fuentes
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5846497
fax-no: +34 91 5842650
e-mail: [email protected]
nic-hdl: AFG2-RIPE
notify: [email protected]
changed: [email protected] 20020225
changed: [email protected] 20020325
source: RIPE
person: J Benet
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5846497
fax-no: +34 91 5842650
e-mail: [email protected]
nic-hdl: JB986-RIPE
notify: [email protected]
changed: [email protected] 20020220
changed: [email protected] 20020325
source: RIPE
person: Francisco Lorenzo de Tuero
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5194446
fax-no: +34 91 5846936
e-mail: [email protected]
nic-hdl: FLT14-RIPE
notify: [email protected]
changed: [email protected] 20020225
changed: [email protected] 20020325
source: RIPE
person: Fernando S. Burriel
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5194446
fax-no: +34 91 5846936
e-mail: [email protected]
nic-hdl: FSB3-RIPE
notify: [email protected]
changed: [email protected] 20020221
source: RIPE
---------------------------------------------------------------------------------------------------------
Hacer clic para expandir...
 
Webmaster aqui tiene lo que el log que me pide, Gracias por sus aclaraciones


Date: 5/14/2002 Time: 12:17:24
Security alert displayed for rule Default Block Backdoor/SubSeven Trojan horse.
Remote computer (80.34.154.233, 3686)
 
Originalmente enviado por: Webmaster
Estimado Gerardo, gracias por escribir.

Te aseguro que si te infectas, los Emails que envies, serán con tu remitente que tengas en tu programa de correo, y no es generado aleatoriamente por el virus.

He puesto sólo un Email de ejemplo, pero he recibido cientos.

Respecto Timoteo/Vicente Mercado, este individuo, ya ha ursurpado mi personalidad en otras ocasiones y la de otros foristas.

¿Necesita que le pegue esos Emails también, demostrando las ursurpaciones o me cree a la primera?. Si lo prefiere pegamos el código fuente del virus y analizamos línea por línea.

DLBMM.

--
Webmaster
Hacer clic para expandir...

Estimado Webmaster:

Te envío información no inventada por mi, sino de Symantec:

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

" The subject line, message bodies, and attachment file names are random. The From address is randomly-chosen from email addresses that the worm finds on the infected computer.

The worm will search files that have the following extensions for email addresses:

* mp8
* .exe
* .scr
* .pif
* .bat
* .txt
* .htm
* .html
* .wab
* .asp
* .doc
* .rtf
* .xls
* .jpg
* .cpp
* .pas
* .mpg
* .mpeg
* .bak
* .mp3
* .pdf"

"La dirección del remitente es escojida aleatoriamente de todas las direcciones que el gusano encuentra en el equipo infectado".

Por otro lado, el W32/Klez no está codificado en VisualBasic script, como otros, sino que se difunde en su forma compilada. Si tienes el código, me gustaría mucho que lo compartieras conmigo, aunque no sé si las políticas de los foros permitan ese tipo de intercambio.

Sobre Timoteo, no me extraña que haya usurpado tu dirección... Basta con leer las participaciones que hace. Pero no se le puede acusar de algo es sumamente probar intencionalidad.

Te transcribo uno de los mensajes que he recibido como administrador de correo:

---
Mensaje puesto en cuarentena
Fecha: Mon, 13 May 2002 14:42:07 -0600 (MDT)
De: [email protected]
Para: <[email protected]>
Client: MailMonitor for SMTP v1.0.1a

Email data:
Sender's host: localhost[127.0.0.1]
Sender: <[email protected]>
Recipient(s): <[email protected]>

Problem description:
Email data:
MessageID: <[email protected]>
From: iflores <[email protected]>
To: [email protected]
Cc:
Subject: A powful tool
Scanning part []

Scanning part []
Virus identity found: W32/Klez-G
---

Como puedes observar, la dirección original de quien envió este mensaje (Sender) es "[email protected]", pero la dirección de remitente que Klez "escogió" (en To:) es iflores <[email protected]>. Justo como mencionas en el mensaje (Dice "Klez-G" porque el antivirus que uso identifica el Klez-H como Klez-G).

Como este, tengo alrededor de 3000. Igual, con el mismo patrón de comportamiento.

Una cosa: estoy hablando ESPECIFICAMENTE del tópico actual: un mensaje con virus enviado probablemente por Timoteo. Si ha usurpado direcciones con otros fines, es algo que no discuto.

Saludos.
 
Estimado Gerardo, te pido disculpas, porque al final no se trataba de ese virus, he estado analizando los que me han llegado, y el virus es el W32.Elkern propagado por el W32.Klez.A y creíamos que era el Klez.H.

De todas formas, muchísimas gracias por la información.

DTBMM.

--
Webmaster



Originalmente enviado por: gerardocb


Estimado Webmaster:

Te envío información no inventada por mi, sino de Symantec:

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

" The subject line, message bodies, and attachment file names are random. The From address is randomly-chosen from email addresses that the worm finds on the infected computer.

The worm will search files that have the following extensions for email addresses:

* mp8
* .exe
* .scr
* .pif
* .bat
* .txt
* .htm
* .html
* .wab
* .asp
* .doc
* .rtf
* .xls
* .jpg
* .cpp
* .pas
* .mpg
* .mpeg
* .bak
* .mp3
* .pdf"

"La dirección del remitente es escojida aleatoriamente de todas las direcciones que el gusano encuentra en el equipo infectado".

Por otro lado, el W32/Klez no está codificado en VisualBasic script, como otros, sino que se difunde en su forma compilada. Si tienes el código, me gustaría mucho que lo compartieras conmigo, aunque no sé si las políticas de los foros permitan ese tipo de intercambio.

Sobre Timoteo, no me extraña que haya usurpado tu dirección... Basta con leer las participaciones que hace. Pero no se le puede acusar de algo es sumamente probar intencionalidad.

Te transcribo uno de los mensajes que he recibido como administrador de correo:

---
Mensaje puesto en cuarentena
Fecha: Mon, 13 May 2002 14:42:07 -0600 (MDT)
De: [email protected]
Para: <[email protected]>
Client: MailMonitor for SMTP v1.0.1a

Email data:
Sender's host: localhost[127.0.0.1]
Sender: <[email protected]>
Recipient(s): <[email protected]>

Problem description:
Email data:
MessageID: <[email protected]>
From: iflores <[email protected]>
To: [email protected]
Cc:
Subject: A powful tool
Scanning part []

Scanning part []
Virus identity found: W32/Klez-G
---

Como puedes observar, la dirección original de quien envió este mensaje (Sender) es "[email protected]", pero la dirección de remitente que Klez "escogió" (en To:) es iflores <[email protected]>. Justo como mencionas en el mensaje (Dice "Klez-G" porque el antivirus que uso identifica el Klez-H como Klez-G).

Como este, tengo alrededor de 3000. Igual, con el mismo patrón de comportamiento.

Una cosa: estoy hablando ESPECIFICAMENTE del tópico actual: un mensaje con virus enviado probablemente por Timoteo. Si ha usurpado direcciones con otros fines, es algo que no discuto.

Saludos.
Hacer clic para expandir...
 
Originalmente enviado por: Webmaster
Estimado Gerardo, te pido disculpas, porque al final no se trataba de ese virus, he estado analizando los que me han llegado, y el virus es el W32.Elkern propagado por el W32.Klez.A y creíamos que era el Klez.H.

De todas formas, muchísimas gracias por la información.

DTBMM.

--
Webmaster
Hacer clic para expandir...

No hay nada que disculpar. Pero mas información, aún (esto es todavía sobre Klez.H):
"Virus Insertion:
This worm (Klez.H) inserts the virus W32.Elkern.4926 as a file with a random name in the \%Program Files% folder and executes it."

Toda la familia Klez contiene alguna variante del virus Elkern. De hecho, el "virus" propiamente dicho es Elkern (es quien realiza las acciones destructivas en el computador). Klez es el gusano que hace posible la propagación por correo electrónico. Aún el Klez-H utiliza el virus Elkern para hacer "maldades".

Por lo tanto, quien llega por correo es el gusano Klez (en cualquiera de sus versiones); al ejecutarse, activa al virus Elkern (igualmente, en cualquiera de sus versiones).

En definitva, me parece que el mensaje que enviaste la primera vez, si contiene el Klez-H (nada raro, dada la epidemia actual con este gusano).

Saludos Webmaster, y hasta la próxima, Maripaz, Toni y Elisa.
 
Hay que estar conectado o registrado para responder aquí.
Arriba Pie
Atrás