Alerta Gusano Worm.Autorun-1893 Terra Mensaje MMS (info@hi5.com) Trojan.Win32.Qhost

Worm.Autorun-1893/ Trojan.Win32.Qhost

Alerta con un email enviado desde Mensaje MMS (info@hi5.com). Asunto: Tienes un mensaje enviado desde un celular....‏

Este email enviado supuestamente desde Terra Peru con "Una tarjeta animada" contiene varios link de descarga a un archivo .exe que contiene un Gusano (worm)

El contenido del mensaje es el siguiente

Terra  Peru,18 de junio del 2010

Alguien que te quiere mucho te envia....

Una tarjeta animada, con un mensaje de voz Movistar. Que lo disfrutes!!

Escucha el mensaje que te enviaron aqui (Aqui hay un vínculo)

La imágen de los conejitos (vinculo)

Click aqui para reproducir el contenido multimedia (vínculo)

Enviado por: Escucha mi voz y seguro que te vas a dar cuenta jajaja espero que te guste (Vínculo)

Si deseas escuchar online el mensaje presiona aqui (Vínculo)

Copyright 2010, Terra Movistar Networks, S.A. Peru

NOTA. NO DESCARGAR EL SIGUIENTE VINCULO. PUEDE INFECTAR SU PC
El vinculo de descarga que aparece en cada link es:
http://www.bouncingbilly.com/contact/forms/admin/x.php

El archivo que se descarga, da la impresión de ser una Imagen / Foto de Camara Digital.

img_DC00012.exe

El sitio de descarga, aparentemente es desde http://citglobal.ca
Este Sitio Web, no visualiza ningun contenido, solo queda la página en blanco.
Para mi es una imitación/camuflage para engañar y dar la impresión de ser real, igual al  Site Oficial de la Empresa CIT Global, la cual desde ella nos indica:.

About CIT
CIT Global is an international provider of high quality, innovative eCommerce / mCommerce solutions and services to its clients.
Our extensive suite of solutions and services enables us to lead our clients into the next generation of multi-channel fully secured eCommerce systems.

A través de la pagina Web OnlineLinkScan (http://onlinelinkscan.com/) se pueden scanear los vinculos de los email que recibimos o paginas web y verificar que tipo de peligros representan para nuestro pc.
Solo se ingresa la url y se scanea el link, en este caso con  (http://www.bouncingbilly.com/contact/forms/admin/x.php) el resultado fue el siguiente:

Worm.Autorun-1893 FOUND

--------- LINK SCAN SUMMARY ---------
URL scanned: http://www.bouncingbilly.com/contact/forms/admin/x.php
PhisTank say's: Service not available.
AVG say's: Service not available.
SiteTruth say's: This site is safe.
Google Safe Browsing say's: This site is safe.
Threat Name: Worm.Autorun-1893 FOUND
Threat Definitions: 807018
Engine Version: 0.96.1
Host IP: 74.54.41.178
Link Status: Infected
File Size: 366.37 KB
Time Finished: 6.36 secs
Overall result: This site may not be secure

Cambio el archivo de descarga en el link (http://www.bouncingbilly.com/contact/forms/admin/x.php)

Al día siguiente probe de nuevo el link de descarga del archivo sopechoso y este cambio de nombre y tamaño: Ahora el archivo cambio incluso de icono y ser hace pasar por un video.

MMS.exe (548Kb)

Descargue el archivo y luego verificando con el Escaneador de virus de Jotti ( http://virusscan.jotti.org/es ) eston son los resultados:

	2010-07-19 Generic.19.46942		2010-07-19 No se encontró nada
	2010-07-19 No se encontró nada		2010-07-19 Trojan.Win32.Qhost
	2010-07-19 BackDoor.VB.KJN		2010-07-19 Trojan.Win32.Qhost.nnd
	2010-07-19 DR/Qhost.nnd		2010-07-19 No se encontró nada
	2010-07-19 No se encontró nada		2010-07-19 No se encontró nada
	2010-07-19 No se encontró nada		2010-07-19 No se encontró nada
	2010-07-19 No se encontró nada		2010-07-19 No se encontró nada
	2010-07-19 No se encontró nada		2010-07-19 Trojan.Win32.Qhost.nnd
	2010-07-18 No se encontró nada		2010-07-19 No se encontró nada
	2010-07-19 Trojan.Win32.Qhost.nnd

El link de descarga cambio o el archivo o ahora se cambio el tipo de troyano, es decir esta Tarjeta Animada es dinamica y cambia diariamente la forma de ataque

Resporte:  http://virusscan.jotti.org/es/scanresult/f209aad1cca60251583ffafa8af2bf1b466b430f

Información de los Sospechoso (O algún familiar) 

Trojan.Win32.Qhost.nndTrojan:Win32/Qhost.BI is a trojan that modifies the affected system's hosts file to redirect online banking sites to sites of the attacker's choice (possibly for phishing attempts). It modifies the hosts file periodically.
Programa troyano, que consiste en el fichero de Windows %System%\drivers\etc\hosts modificado, que se usa para convertir los nombres de dominio en direcciones IP. El tamaño del fichero modificado es de 5.942 bytes. El fichero está modificado de tal manera que bloquea las solicitudes del usuario a los sitios indicados.

http://www.f-secure.com/v-descs/qhost.shtml
http://www.bleepingcomputer.com/forums/lofiversion/index.php/t65854.html

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FQhost.BI Leer este foro. (http://www.forospyware.com/t237310.html) (http://www.forospyware.com/t206121.html)

Otro posible Familiar  Worm/Autorun.dhl
http://www.avira.com/es/threats/section/fulldetails/id_vir/4262/worm_autorun.dhl.html

Nombre:	Worm/Autorun.dhl
Descubierto:	10/04/2008
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Bajo
Fichero estático:	Sí
Tamaño:	63.488 Bytes
Suma de control MD5:	51050Da73b0B909dedba99b9886e165e
Versión del IVDF:	7.00.03.145

 General 

Método de propagación:
   • Unidades de red mapeadas
Alias:
   •  Mcafee: W32/Autorun.worm.bc
   •  Kaspersky: Worm.Win32.AutoRun.dhl
   •  F-Secure: Worm.Win32.AutoRun.dhl
   •  Grisoft: Worm/Generic.GRK
   •  Eset: Win32/AutoRun.KE
   •  Bitdefender: Trojan.Autorun.RC
Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

http://www.avira.com/es/threats/section/fulldetails/id_vir/4262/worm_autorun.dhl.html


Información del dominio de descarga (Host IP: 74.54.41.178 ) es la siguiente:
http://whois.domaintools.com/74.54.41.178

IP Information for 74.54.41.178

IP Location:	United States Dallas Theplanet.com Internet Services Inc
Resolve Host:	tesla.websitewelcome.com
IP Address:	74.54.41.178
SSL Cert:	*.websitewelcome.com expires in 1 days.
Reverse IP:	734 other sites hosted on this server.

NetRange:       74.52.0.0 - 74.55.255.255
CIDR:           74.52.0.0/14
OriginAS:       AS36420, AS30315, AS13749, AS21844
NetName:        NETBLK-THEPLANET-BLK-14
NetHandle:      NET-74-52-0-0-1
Parent:         NET-74-0-0-0-0
NetType:        Direct Allocation
NameServer:     NS2.THEPLANET.COM
NameServer:     NS1.THEPLANET.COM
RegDate:        2006-02-17
Updated:        2009-02-24
Ref:            http://whois.arin.net/rest/net/NET-74-52-0-0-1




Como eliminar el Win32/Qhost
(http://www.forospyware.com/t237310.html)

1.-  DESCARGA LO SIGUIENTE:
CCLEANER y su MANUAL

2.- MALWAREBYTE`S ANTIMALWARE Y Su MANUAL
(LO INSTALAS SEGUN SU MANUAL, LO ACTUALIZAS......PERO NO LO EJECUTES AUN)

3.- EJECUTA CCLEANER usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

4.- Deshabilita RESTAURAR SISTEMA (SYSTEM RESTORE) MIRA AQUI


5.- Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI

6.- EJECUTA MALWAREBYTE. Seleccionas hacer un "escaneo completo"
Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ".
Si te pide reiniciar, lo haces y después te vas a la pestaña de "registros" para copiar y pegar el reporte generado en este tema.

7.- Pasas CCLEANER nuevamente

8.- Inicia en modo normal, habilita restaurar sistema

9.- Realizas un scan online con KASPERSKY, desde ACA usando su versiòn en español o en ingles si esta no funciona....

Resultados Google y Trojan.Win32.Qhost.nnd

Otra cosa de mucha importancia y los resultados de google con el troyano Trojan.Win32.Qhost.nnd
Los resultados de google para este troyano son intrigantes, ya que los primeros link son de programas, herramientas o paginas web con software  que supuestamente eliminan el troyano.
Pero utilizo el plugins WOT para verificar la credibilidad y seguridad de las paginas web.
Y las primeras consultas son de myu mala reputación

Tengan cuidad con el software de seguridad que instalan en su Pc, ya que algunas veces tan solo son programasd que al final te dicen que escanean y protegen tu pc y encuentran cientos de archivos peligrosos, y que para limpiarlos debes comprar el programa online, y para colmo estos no se dejan desinstalar.

Vean los reportes de WOT para los primero resultados de google

scanforfree.com: http://www.mywot.com/es/scorecard/scanforfree.com.

Phishing or other scams	11
Contenido malintencionado, virus	8
Infracción de seguridad del navegador	8
Spyware o adware	14

securitystronghold.com: http://www.mywot.com/es/scorecard/securitystronghold.com

Buen sitio	5
Anuncios o mensajes emergentes molestos	1
Phishing or other scams	7
Contenido malintencionado, virus	10
Infracción de seguridad del navegador	3
Ethical issues	1

pcindanger.com: http://www.mywot.com/es/scorecard/pcindanger.com
Comentarios. Cualquier sitio o software que no le dice de antemano que le costará es un engaño y que es casi tan malo como un virus y se debe considerar Greyware y no confiar en él.

User in Yahoo Answers uses it for a source, but, a commercia ...

3

Es comercial y no está permitida. Este es el spam en su mayoría, pero, definitivamente no-ética

 

Falla de Aba Cantv a Nivel Nacional. Virus o Inundación por Lluvias?

Según informaciones reportadas por operadores de cantv, telefonía móvil y reportes de usuarios en Twitter, el servicio ABA (Acceso Banda Ancha) de CANTV está sufriendo una falla a nivel nacional.

Reporte Oficial de Cantv.

El Presidente de la CANTV, Manuel Fernández, se refirió a la falla “masiva” que afecta la conexión de internet en todo el país. La Compañía Anónima Nacional Teléfonos de Venezuela (Cantv) informa a sus usuarios que actualmente se presenta intermitencia en el servicio de acceso a Internet a escala nacional.

 Dijo que “ya está detectado el elemento de red que esta fallando” y aseguró que se está trabajando para solucionar el problema.

Fernandez indicó que no tienen una “estimación precisa” de cuando pueda restablecerse el servicio.

Primicias24.com

Desde las 6:00am de hoy viernes se viene desarrollando una falla en el servicio de de internet ABA, de Cantv, a nivel nacional. Manuel Fernández, presidente de CANTV, informó que “hasta momento no tienen una hora estimada para resolver el problema en el servicio pero ya fue identificada la falla y trabajan para resolverla”.

Fernández aclaró que los servicios de mensajería de texto, telefonía móvil y fija funcionan sin problema. La falla se encuentra en el punto que “conecta las plataformas de CANTV con el exterior. En ese punto se está trabajando a nivel físico y lógico”, indicó.

Señaló que a las 6:00 AM se produjo la degradación del servicio y aproximadamente a las 7:00 AM se produjo la paralización.

Reportes de Usuarios

Usuarios de diferentes ciudades de venezuela reportan que el servico falló desde horas de la madrugrada, otros que desde las 05:00, 06:00 am,

Proveedores distintos a Cantv, como Inter,  Movistar, Digitel, están proporcionando servicio con total normalidad a sus clientes, sin embargo la plataforma ABA es la más popular del país, con la mayoría de los suscriptores de Internet del país.

  

Origen de la Falla. Diversos Comentarios 

Epicentro de la Falla: Central Chacao

El epicentro del problema parece estar en la Central Chacao de CANTV en la ciudad de Caracas. Ahí esta el corazón de la plataforma de ADSL de CANTV.

Según una fuente, la central de Chacao se inundó anoche por fuertes aguaceros que desbordaron sus drenajes.

Supuesto Virus

En twitter salio el siguiente comentario vago:

"El elemento que ocasionó falla en Aba. Un virus llamado Night Exhumator!"

No encontre ninguna otra información sobre este supuesto virus en los servidores de cantv.....
Así que se queda como un rumor de un único usuario...

CANTV confirma restitución del servicio

La Compañía Anónima Nacional Teléfonos de Venezuela (Cantv) informa a sus usuarias y usuarios que el servicio de acceso a Internet fue reestablecido satisfactoriamente en todo el territorio nacional y se encuentra 100% operativo.

Clausura del Mundial de Sudafrica 2010

Clausura del Mundial de Sudafrica 2010.

Ver todas

Consigue el tuyo

Nelson Mandela en la Clausura del Mundial de Sudafrica 2010

Sismo de 5.0 grados en Guiria 06/07/2010

Me acabo de enterar por los avances informativos de Venevisión sobre un sismo de Sismo de 5.0 de magnitud en la escala de Richter, en la población de Güiria del estado Sucre y minutos después se sintió una replica de 2.8  grados, afortunadamente no ocasionarón perdidas ni daños materiales.

Sin embargo en Cumaná no se ha escuchado ningún comentario acerca del sismo ocurrido el día el día de hoy en Güiria, la gente circula tranquilamente por el centro de la ciudad sin ningun nerviosismo y sin saber lo ocurrido.

Fuente: http://www.funvisis.gob.ve/sismo.php?id=3927

Fuente: http://www.funvisis.gob.ve/sismicidad.php

Imprima su Tesis en Cumaná 0.50 BsF

Si deseas imprimir los ejemplares de tu Tesis de Grado le ofrecemos el más bajo costo.

0.50 BsF. por página

Documentos: Le damos formato a su documento y cumplimos con las Normas APA/UPEL.

- Configuración de Márgenes.
- Configuración de Párrafos.
- Citas Bibliográficas.
- Sangrías, Interlineado, Espaciado.
- Indices y Número de Páginas automaticos.
- Numeración de páginas (Preliminares, Capitulos).
- Numeración y Viñetas.
- Paginas Horizontales y Verticales.
- Cuadros y Tablas.
- Gráficas y Tabulación de Datos.
- Anexos.

Trabajamos con diferentes tipos de archivos ya sea en Windows o Linux (Word, Excel, Powerpoint / Writer, Calc, Impress)

Hojas de Cálculo:
- Gráficos.
- Formulas.
- Tablas de Datos.
- Estadísticas.
- Etc.

Presentaciones:
- Animación.
- Efectos.
- Transiciones.
- Mapas Mentales.
- Insertar Imágenes.
- Etc.

_________________________________________________________________________

Errores ortográficos en Páginas Oficiales de Internet

La idea de este post no es criticar a ninguna institución pública o privada. El artículo esta muy bueno.

Por el contrario es un llamado de atención y reflexión para aquellas personas responsables por la redacción de noticias y artículos en WebSite que deben ser modelos y ejemplos para nosotros los usuarios.

El primero en incluirme y como autocrítica, soy yo mismo, soy humano y cometo errores. Y en este blog lo más seguro es que consigan algunos errores ortográficos, de redacción y gramática. Y le agradezco a  aquellas personas que me indican mis errores, así aprendo y los corrijo.

Pero yo escribo en este blog por mi parte, no tengo la responsabilidad de estar encargado de administrar una página web de tanta envergadura, con tantos visitantes, ni ser la cara de una institución frente al público, a nivel local, regional, nacional e internacional.

Esto no debería estar sucediendo en este tipo de páginas web, donde se supone hay un grupo de personas profesionales y capacitadas en todos los niveles.

Yo entiendo que algunas veces a los empleados se les entrega una carga excesiva de trabajo, son muchos artículos a revisar, falta de tiempo, una persona es la que redacta y otra la que publica, y así muchas excusas...

En las imágenes tienen la dirección de la página web, verifiquen ustedes mismos, y si corrigieron los errores, por favor me avisan para modificar este post y felicitarlos por escuchar los comentarios de los lectores.

Pruebas de Visitas Extraterrestres?

Al parecer mi Contador de Visitas creado en Geovisite (http://www.geovisite.com) esta registrando actividad extraterrestre. Vean mi contador a la derecha de este blog.

Si como lo leen, algunos seres Extraterrestres han visitado mi blog en Internet.

Que porque digo tal disparate, hace algunas horas me di cuenta que mi contador de visitas tenia registrada 3 visitas indefinidos (undefined) y el icono de un alíen. Que quiere decir.? Pues Lógico. Un alíen esta leyendo mi blog.

He buscado información para determinar cuales son estos  "lugares" indefinidos, pero no he encontrado mucha información. Abajo les información para contribuir a la búsqueda de vida extraterrestre.

Si alguien sabe de donde provienen estos alíens, raza, y porque nos visitan por favor puede dejar su comentario....

Si algún Extraterrestre lee este post: les envió un mensaje:

        printf ("Hello, Aliens :-)")

Ahora en serio, el SETI esta celebrando 25 años de búsqueda de vida extraterrestre.

"Conmemorando su 25 aniversario este año, el Instituto SETI ha llevado a cabo algunas de las mas profundas investigaciones científicas e influyentes del mundo desde que abrió sus puertas al público en 1985".

(http://www.prweb.com/releases/SETI_Institute/astrobiology/prweb3707784.htm)

Si quieres contribuir a la búsqueda de vida extraterrestre, existe el Proyecto Seti@home (http://setiathome.berkeley.edu/)

"SETI@home es un experimento científico que utiliza ordenadores conectados a Internet en la Búsqueda de Inteligencia Extraterrestre (SETI). Usted puede participar ejecutando un programa gratuito que descarga y analiza datos de radiotelescopios."

Como participar: http://setiathome.berkeley.edu/sah_participate.php

Los requerimientos del sistema:

• Hay una descarga inicial de unos 10 MB.
• Necesitarás unos 20 MB de espacio libre en tu disco duro y 64 MB de memoria RAM.
• Con un ordenador normal (como un Pentium 4 a 2 GHz), necesitarás ejecutar SETI@home al menos durante dos horas semanales (ordenadores más lentos también sirven pero tendrán que funcionar proporcionalmente más tiempo).

Descargas de BOINC: http://boinc.berkeley.edu/download.php

Wikipedia (http://es.wikipedia.org/wiki/SETI)

SETI es el acrónimo del inglés Search for ExtraTerrestrial Intelligence, o Búsqueda de Inteligencia Extraterrestre. Existen numerosos proyectos SETI, que tratan de encontrar vida extraterrestre inteligente, ya sea por medio del análisis de señales electromagnéticas capturadas en distintos radiotelescopios, o bien enviando mensajes de distintas naturalezas al espacio con la esperanza de que alguno de ellos sea contestado. Hasta la fecha (2010) no se ha detectado ninguna señal de claro origen extraterrestre, sin incluir la todavía sin definir Señal WOW!

Mimi Lazo capturada infraganti XXX - Troyano Win32:Downloader-DPD [Trj]

Este resumen no está disponible. Haz clic en este enlace para ver la entrada.

Restaurar Tool Bar (mod_toolbar) en el Panel de Administración de Joomla Versión 1.5.17.

Por error borre el modulo tool bar (mod_toolbar) en el Panel de Administración de Joomla Versión 1.5.17.

 

Buscando en google como instalar de nuevo este modulo, no conseguí nada satisfactorio.

Conseguí varios post donde daban una solución:

(http://forum.joomla.org/)

Tienes que irte a la tabla jos_modules, buscar el elemento cuyo "title" sea "Toolbar" y asegurarte que en su campo "position" tiene el valor "toolbar".

http://ayudajoomla.com/

En concreto es la que tiene el id=8 y tendrías que lanzar una sentencia sql parecida a esta:
update jos_modules set position='toolbar' where id =8

 

Para mi sorpresa ese registro esta eliminado en mi tabla jos_modules

Antes de realizar cualquier cambio, realiza un backup de Joomla.

Entonces, como lo solucione:

Realice una nueva instalación de Joomla, en una nueva carpeta (localhost\JoomlaPruebas)

Luego por phpmyadmin examinamos la tabla jos_modules, y allí por supuesto si aparecía el registro que necesitaba:

Haciendo clic en exportar, nos genera la sentencia en SQL

De allí, solo copiamos la línea que nos interesa:

INSERT INTO `jos_modules` VALUES (8, 'Toolbar', '', 1, 'toolbar', 0, '0000-00-00 00:00:00', 1, 'mod_toolbar', 0, 2, 1, '', 1, 1, '');

Regresamos a la base de datos de nuestro Joomla, y examinamos de nuevo la tabla jos_modules

Luego hacemos clic en SQL, y pegamos la sentencia:

INSERT INTO `jos_modules` VALUES (8, 'Toolbar', '', 1, 'toolbar', 0, '0000-00-00 00:00:00', 1, 'mod_toolbar', 0, 2, 1, '', 1, 1, '');

IMPORTANTE: Verifica que estas en la tabla adecuada (jos_modules),

Hacer clic en el botón continuar.

Y listo.

Si examinamos de nuevo la tabla, el nuevo registro aparecerá al final, cosa que no importa.

Regresas a tu Joomla a actualizas el navegador. Y tenemos el mod_toolbar