NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior



Nuevo virus worm (gusano) tipo VBS con texto en castellano

Nombre de virus:  VBS/Timofonica.worm

Alias conocidos:   Timofonica

Riesgo Infección:  Bajo/Alto según pais (Bajo, Alto, Muy Alto)

Activación:             Envía mails a listas Outlook y crea troyano.

Propagación:         Por apertura fichero infectado anexado al e-mail

Detección:              VIRUSCAN  Desde 4082 o ejecución Timofoni.reg

Motor necesario:    Engine 4.0.70 o superior

Infección actual:      Inicial    (Inicial, Media, Elevada)
 

Un nuevo virus del tipo VBS pero con el agravante de que parece ser nacional por su texto en castellano, ha sido controlado como TIMOFONICA

Si bien nuestros asociados que hayan ejecutado el VBSFIX.reg que ya les enviamos recientemente, (para los que no lo tengan, accedan a nuestra web www.satinfo.es), no correrán el riesgo de infectarse, pues la apertura del fichero que anexa el e-mail vírico no será realizada con doble clic sobre el fichero VBS, siempre cabe el riesgo de máquinas en las que no haya sido ejecutado la tan preciada utilidad, que nos libra de todos los virus de VBS tan de moda, y por ello entregamos anexo el fichero TIMOFONI.REG, el cual, una vez ejecutado, impedirá infectarse con dicho virus, por creer que ya está infectado, al encontrar su firma en el Registro de Sistema.

Pulse aqui para descargar el TIMOFONICA.ZIP (timofoni.reg)

Además de quedar “vacunados” (nunca mejor aplicada la palabra de vacuna en este caso, pues gracias a la inoculación de su firma tal y como lo hace el virus, nos evita de una infección posterior), si ya hubieramos sido infectados pero no hubieramos reiniciado el equipo, nos salvaría  de la pérdida de datos que ocasionaría dicho rearranque, gracias a la eliminación de la clave de ejecución del fichero troyano CMOS.COM, que habría colocado el virus en el Registro de Sistema. Dicho troyano, creado por el propio virus dentro de C:\Windows\System, tiene un tamaño de 689 bytes, de los cuales los últimos 174 son los que tienen el código máquina de destrucción de datos, borrado de la CMOS y borrado del MBR de cada disco duro físico así como MBR’s y Boot de cada una de las particiones extendidas, a través de la Int 13, sin necesidad del sistema operativo.

El virus crearía luego el C:\TIMOFONICA.TXT.vbs con el código vírico, que es el fichero worm que autoenvía anexado a los e-mails, y además crearía otro fichero TXT puro, en el mismo directorio raiz, C:\Timofonica.txt que es una carta contra Telefónica, con el siguiente contenido:

Comentarios
==========....
   Tarifa plana de 6000 pts/mes.
   Extorsión.
   A principio de 1.998 tras un seguimiento de su gestión se
   descubrieron numerosas irregularidades en su gestión, amparadas
   hasta el momento, en el desconocimiento que nosotros teníamos
   sobre Internet. Compras de materiales, que nunca apareció por
   ningún lado, pero si la factura del proveedor.
   Yo pienso que si Timofonica (ke a fin de kuentas es la dueña de
   Terra) kiere soltar dineros para una ONG, no le hace falta hacer
   este tipo de acto solidario, es mas, me parece misero y ridikula
   la kantidad de un millon de pesetas ..
   Son unos ridikulos de mierda, un millon de pesetas para ellos
   no es nada, pero un millon de hits en sus paginas mas a final
   de mes supone una pekeña subidita en las acciones de Terra en
   Bolsa. Total, ke Terra no son las Hermanitas de los Pobres
   (pobres monjas, kompararlas kon los chupasangres de Timofonica),
   NI NOSOTROS SEMOS GILIPOLLAS !!!
   Podran decir ke estamos obsesionados, ke tamos en kontra de
   Timofonika, ke protestamos por vicio, PERO ES KE EN 3 AÑOS KE
   LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE
   SE LO GANAN A PULSO !!
   Lo dicho , todo lo ke güele a Telefonica SUX, o en castellano
   tradicional , APESTA !
   ....
   Direcciones
   =========
   http://www.telefonica.es/
   http://www.timofonica.com/
   http://100scripts.islaweb.com/scripting-timofonica.html
   http://www.www2.labrujula.net/wwwboard/messages2/1165.html
   http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
   http://area3d.area66.com/forotec/_disc1/0000015b.htm
   http://wwh.itgo.com/Phreaking.htm
   http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
   http://www.areas.org/debate/dp/2/messages/18.html
   http://www.fut.es/mllistes/parlem/January_1999/msg00208.html

   Visita estas páginas. Estás inivitado.

Por otro lado el e-mail que nos llega, también en castellano, reza así:

Subject = "TIMOFONICA"
Body =     "Es de todos ya conocido el monopolio de Telefónica
                pero no tan conocido los métodos que utilizó para llegar
                hasta este punto."
                "En el documento adjunto existen opiniones, pruebas y
                direcciones web con más información que demuestran
                irregularidades en compras de materiales, facturas sin
                proveedores, stock irreal, etc."
                "También habla de las extorsiones y favoritismos a
                empresarios tanto nacionales como internacionales.
                Explica también el por qué del fracaso en Holanda y qué
                hizo para adquirir el portal Lycos."
                "En las direcciones web del documento existen temas
                relacionados para que echéis un vistazo a los
                comentarios, informes, documentos, etc."
                "Como comprenderéis, esto es muy importante, y os
                ruego que reenviéis este correo a vuestros amigos y
                conocidos."
                Attachment ="C:\TIMOFONICA.TXT.vbs"

Un último paso del virus es el de enviar mensajes de texto a telefonos moviles de MOVISTAR en base a un prefijo aleatorio  entre 609, 619, 629, 630, 639, 646, 649, y 696, seguido de seis números entre el 1 y el 10, por ejemplo al 619987321@correo.movistar.net, con el formato:

Subject = "TIMOFONICA"
Body = informa que: Telefónica te está engañando.

Sin que de momento hayamos tenido conocimiento de incidencias entre nuestros asociados, lo avisamos por este medio para que sepan de su existencia y puedan evitar sus consecuencias.
 

SATINFO, VIRUSCAN SPAIN SERVICE                         L.6-6-00
 
 

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior