Una amenaza de seguridad informática ha mantenido al mundo en vilo durante casi dos semanas, hasta que finalmente el pasado 9 de julio todo transcurrió con normalidad y los desarrolladores del temido virus conocido como DNS Changer no consiguieron su propósito de producir una caída masiva de las conexiones a Internet a escala mundial.

La causa del pánico que comenzó a cundir hace algunos días entre los usuarios de la red viene dada por la decisión de las autoridades estadounidenses de desconectar el dispositivo de protección de los equipos ya infectados, a pesar de las recomendaciones de varios expertos que advertían, probablemente de manera exagerada, de la peligrosidad que conllevaba el permitir que dichos equipos navegasen libremente por Internet.

La madrugada del domingo 8 al lunes 9 fue larga y tensa para los voluntarios del Grupo de Trabajo de DNS Changer, informáticos profesionales que se asociaron para prevenir un contagio a nivel internacional y realizar las primeras operaciones de control de daños en caso de que la pandemia informática se hubiese consumado.

Sin embargo, la temida catástrofe cibernética quedó finalmente en una simple anécdota que algunos relatarán como el día más próximo al Apocalipsis informático. La alerta se había disparado hace tiempo y los más de 200.000 equipos infectados, 42.000 de los cuales se encontraban en Estados Unidos, no pudieron acceder a la red sin primero ser analizados por el sistema de protección.

Dicho dispositivo de seguridad, como medida preventiva, realizaba una copia de seguridad de los discos duros para posteriormente permitir el acceso a Internet mediante un servidor provisional seguro. Este sistema permitió que fuesen muy pocos los usuarios que vieran totalmente restringido su acceso a la red mientras la alerta estuvo vigente.

Una vez que todo parecía estar bajo control, las autoridades decidieron que era seguro deshabilitar la red de protección. Entre otras cosas, porque seis de las siete personas responsables de la amenaza fueron detenidas por la Interpol en Estonia, mientras que el último de ellos, residente en Rusia, se encuentra todavía fugado de la justicia.

El Gobierno de Estonia ha procedido inmediatamente a la extradición de los ciberdelincuentes, quienes serán juzgados por los tribunales de los Estados Unidos de América por delitos de fraude informático.

Sasser (2004)

La historia de este virus comienza cuando un joven alemán decidió celebrar su 18 cumpleaños por todo lo alto propagando este poderoso virus, el cual llegó a afectar al sistema de comunicaciones vía satélite de Francia, dando lugar a la cancelación de numerosos vuelos de varias compañías aéreas de primer nivel y causando unos daños que en su día se estimaron en torno a los 10 millones de dólares.

La particularidad de este código malicioso es que no requería de los usuarios para difundirse, ya que Sasser se replicaba automáticamente cada vez que se topaba con un sistema operativo Windows 2000 o XP que no había sido convenientemente actualizado.

MyDoom (2004)

Muchos usuarios de Internet recordarán todavía con angustia la fecha del 26 de enero de 2004, cuando el virus MyDoom consiguió ralentizar el rendimiento de la red en un 10 por ciento y el tiempo de carga de las páginas en un 50 por ciento.

Este virus, que estaba programado para autodestruirse el 12 de febrero del mismo año, se propagó por millones de ordenadores a través del correo electrónico y las carpetas compartidas de los usuarios de la red Kazaa.

Bagle(2004)

Desde que comenzase su andadura en la red, el virus Bagle y sus más de 100 variantes han producido más de diez millones de dólares en daños. Ese poderoso gusano sigue utilizando hoy en día un mecanismo tradicional de propagación, basado en la transmisión de archivos infectados a través del correo electrónico.

La peligrosidad de Bagle radica en que cuando el código malicioso penetra en el sistema, éste abre automáticamente un puerto TCP que puede ser utilizado por los hackers de manera remota para acceder a la información personal del usuario.

Sobig.F (2003)

El verano de 2003 es recordado por muchos profesionales de la informática como uno de los peores meses en materia de seguridad. El Sobig.F, variante más destructiva del gusano Sobig, fue liberado el 19 de agosto de 2003 logrando replicarse más de un millón de veces en las primeras 24 horas.

La compañía Microsoft llegó a ofrecer en su día un recompensa de 250.000 dólares a quien identificase al pirata que había escrito el código malicioso. Cantidad que se queda pequeña en comparación con los más de 5 billones de dólares en pérdidas que Sobig.F provocó entre las empresas de todo el mundo. El fatídico éxito de este virus radicó en que se transmitía automáticamente después de su activación, la cual se producía al abrir los archivos ‘pplication.pif’ y ‘thank_you.pif’, que se encontraban adjuntos en un correo electrónico.

Blaster (2003)

También durante el verano de 2003 tuvo lugar la propagación del virus Blaster que, en tan solo dos días, logró infectar a millones de usuarios. El código malicioso se transmitía gracias a una vulnerabilidad del sistema operativo Windows 2000 y XP. Al activarse, se abría un cuadro de diálogo en la pantalla del ordenador que avisaba sobre el apagado inminente del equipo.

ILOVEYOU (2000)

Este famoso virus camuflado como una carta de amor ha sido probablemente el que más difusión mediática ha tenido en la historia de Internet. Este potente gusano diseñado como un script de Visual Basic, se sirvió del astuto e irresistible asunto del correo electrónico para propagarse por los ordenadores de todo el mundo.

Este virus dejó más de 10 billones de dólares en empresas de todo el mundo, quedando su creador en libertad sin cargos por carecer su país, Filipinas, de una legislación sobre delitos informáticos.

Melissa (1999)

Probablemente el virus Melissa fue el primero de los grandes códigos maliciosos en propagarse a escala mundial, afectando según las estimaciones a un 20 por ciento de los ordenadores de todo el mundo y llegando a figurar en la portada de varios medios de comunicación internacionales.

El creador de este código malicioso diseñó una estrategia de difusión que se valía de Microsoft Outlook, reenviándose automáticamente a 50 de los contactos que figuraban en la lista del usuario. Melissa supuso un tremendo quebradero de cabeza para los ingenieros informáticos encargados de su erradicación y supuso más de 500 millones de dólares en daños.

Este escurridizo código malicioso ataca muy fácilmente los sistemas operativos de Windows, vulnerando los cortafuegos cuando se accede a páginas de Internet no seguras, al descargar archivos desde sitos de poca confianza o al conectar dispositivos infectados a través de USB. Además, el virus resulta muy difícil de detectar en los escaneos del antivirus y, por si fuera poco, se defiende al ser descubierto, de manera que se hace muy complicado descubrir su presencia.

Lo primero que hace este virus una vez que se encuentra dentro del equipo informático es desactivar tanto el antivirus como sus actualizaciones, además de inhabilitar las actualizaciones automáticas del sistema operativo, desactivar el Firewall y bloquear el acceso a todas las páginas de Internet que estén relacionadas con antivirus.

El Kido también tiene la capacidad de borrar archivos de nuestro disco duro y autoreplicarse para ocupar un espacio cada vez mayor en la memoria RAM de nuestro ordenador. Por otro lado, lo que resulta más peligroso de este código malicioso, es que puede conectarse de manera automática a un servidor desde el que los piratas informáticos pueden obtener información sobre nuestras contraseñas y tráfico de datos.

A continuación ofrecemos una lista de los síntomas característicos de un ordenador infectado por el Conficker, si tu equipo sufre de tres o más de estos problemas, es muy posible que esté siendo atacado por este molesto gusano.

1. El sistema está más lento que nunca para cualquier operación.
2. No podemos ingresar al Firewall de Windows.
3. Nuestra velocidad de conexión a Internet baja bruscamente.
4. No podemos copiar, cortar o pegar archivos.
5. Salen errores del sistema con mucha frecuencia.
6. De repente (con mucha cotidianidad) el sistema se bloquea.
7. Sin razón ni motivo el sistema se reinicia sólo.
8. El administrador de tareas o el editor del registro están deshabilitados(Habilitar administrador de tareas).
9. Aparición de carpetas o archivos extraños en tus directorios.
10. 10. Las carpetas contienen archivos con los mismos nombres de las carpetas.
11. 11. Cuando imprimes documentos, salen raros, a veces ni es posible.
12. 12. Ejecutar aplicaciones se ha vuelto imposible: salen muchos errores.
13. 13. Modificaciones en la longitud de los archivos, y de su fecha de creación.
14. 14. El sistema no reconoce dispositivos USB, o componentes físicos.
15. 15. Algunas unidades lógicas de disco son inaccesibles.
16. 16. El sistema no termina de arrancar correctamente o se tarda mucho.
17. 17. Aparición de aplicaciones con nombres raros en el gestor de procesos.
18. 18. Disminuye el espacio libre en el disco duro.
19. 19. La memoria en uso cada es más grande, aún cuando no usamos el sistema .

Si finalmente descubres que tu equipo está infectado por el virus Kido, una de las herramientas disponibles para su eliminación es el programa Kill Kido, de la compañía de seguridad informática Karpersky Lab. Una pequeña aplicación gratuita que no fue incluida en el software de prueba.

¿Que hace el gusano Peerfrag.FM?

Las acciones que pueden realizarse en forma remota son las siguientes:

• Ataques DoS/DDoSv
• Descargar archivos
• Ejecutar archivos
• Escanear puertos
• Obtener información del equipo
• Robar contraseñas guardadas en Firefox
• Robar Credenciales y contraseñas

¿Como saber si se está infectado con el gusano Peerfrag.FM?

El gusano se conecta a través del UDP:1221 al dominio sub7.ahdjejgf.com

Además, el gusano Peerfrag.FM crea una serie de archivos en los dispositivos extraibles, así como en las carpetas de los siguientes programas:

• eMule
• eMule Plus
• Kazaa
• Ares Galaxy
• BearShare
• DC++
• iMesh
• LimeWire
• Shareaza

Crea los siguientes archivos en los dispositivos extraíbles conectados al sistema comprometido:

• %Unidad de Disco% \system32\wnzip32.exe
• %Unidad de Disco% \system32\Desktop.ini
• %Unidad de Disco% \autorun.inf

Además, crea la siguiente carpeta y los siguientes ficheros en el disco duro

• %Unidad en la que está instalada Windows% \RECYCLER\S-1-5-21-[valor aleatorio]\
• %Unidad en la que está instalada Windows% \RECYCLER\S-1-5-21-[valor aleatorio]\wnzip32.exe
• %Unidad en la que está instalada Windows% \RECYCLER\S-1-5-21-[valor aleatorio]\Desktop.ini

El gusano Peerfrag.FM crea, dentro del explorer, un hilo con su propio código.

Puede propagarse por Messenger enviando un enlace malicioso a todos los contactos del usuario comprometido.

Además, crea las siguientes claves en el registro

• Clave:  HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Clave: HKEY_LOCAL_MACHINE\software\classes\.key\

A los que les otorgan los siguientes valores (respectivamente)

• Valor: 'Taskman' = '[unidad]\S-1-5-21-[valor]\rundll32.exe'

• Valor:  'Shell' = 'explorer.exe,[unidad]\S-1-5-21-[valor]\rundll32.exe'

¿Cómo eliminar el Gusano Peerfrag.FM?

Intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

El vurs hasta ahora sólo se ha presentado en Australia.

Rock Astley

¿Como saber si se está infectado con el gusano Alcan?

Lo primero es que el ordenador intenta conectarse con el sitio www.mininova.org

Normalmente, el gusano Alcan crea los siguientes ficheros dentro de la carpeta de Sistema (normalmente c:\Windows\System, c:\Windows\System32 o c:\Winnt\System32)

• \outlook\bszd4740.tmp
• \outlook\outlook.exe
• \outlook\v.tmp
• \bszip.dll
• \cmd.com
• \netstat.com
• \ping.com
• \regedit.com
• \taskkill.com
• \tasklist.com
• \tracert.com
• \winlog.exe

Dentro de la carpeta temporal del usuario crea el siguiente archivo:

• \setup.exe

Y dentro de la carpeta de Archivos de Programa (también puede ser “Program Files”)

• \outlook

Además, crea las siguientes claves en el registro

• Clave: HKEY_CURRENT_USER\Software\Microsoft\ole\

• Clave: HKEY_LOCAL_MACHINE\software\classes\.key\ 

• Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\currentversion\runservices\  

• Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\currentversion\run\

Al que le otorga el siguiente valor (respectivamente)

• Valor: winlog = winlog.exe

• Valor: (default) = regfile

• Valor: winlog = winlog.exe

• Valor: outlook = c:\program files\outlook\outlook.exe /auto
  Valor: winlog = winlog.exe

¿Cómo eliminar el Gusano Alcan?

Intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Este gusano, denominado Eggdrop.AA (una traduccion bastante libre sería la de “pone huevos”) se propaga a través de redes P2P, es decir, programas P2P o a través de programas de mensajería instantánea de Microsoft MSN Messenger, y permite al atacante ejecutar programas en el equipo infectado, crear o modificar cuentas en los Windows del usuario, recuperar informacion o subir y descargar archivos mediante FTP. Pero lo peor está por venir: El Eggdrop.AA permite cambiar y borrar la configuración del registro de Windows, renombrar, borrar y buscar archivos y recuperar la información almacenada en Internet Explorer, por lo que pueden acceder a claves almacenadas en el ordenador, obtener contraseñas del Outlook (o diferente servicios de correos),…

Así que si está infectado por este gusano, y ya que podría recuperar sus contraseñas, le recomendamos que, una vez que elimine todo rastro de este virus Eggdrop.AA cambie sus contraseñas de sus servicios online: correo, bancos y similares.

¿A quien ataca Eggdrop.AA?

A usuarios del sistema operativo Windows. En especial a los usuarios de Windows Me, Windows Vista o Windows XP pero, y aunque en menor medida, a los usuarios del NT, 95, 98 y 2000.

¿Como se sabe si se está infectado con el Eggdrop.AA?

Normalmente, el gusano Eggdrop.AA crea los siguientes ficheros (uno o los dos) dentro de la carpeta de Sistema (normalmente c:\Windows\System, c:\Windows\System32 o c:\Winnt\System32)

• CSCR.EXE
• FIREWALL.EXE

Además, crea las siguientes claves en el registro

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Al que le otorga el siguiente valor

• Windows Network Firewall = "%System%\%nombre del virus% 

¿Cómo eliminar el Gusano Eggdrop.AA?

Intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Además, el gusano conficker es muy peligroso por su facilidad para mutar y por los daños realizados en la máquina infectada, por lo que si aun no está infectado, le recomendamos se haga con un antivirus totalmente actualizado. Como siempre la infección suele realizarse aprovechando las vulnerabilidades del sistema operativo Microsoft y a pesar de que la empresa de Redmon ha sacado ya el parche correspondiente para bloquear esta vulnerabilidad (Octubre MS08-067(+)), aun hoy en dia son muchos los equipos susceptibles de ser infectados, sobre todo porque el parche de seguridad no impide la propagación del mismo.

Las formas de infección mas frecuentes son:

• A través de la vulnerabilidad de windows
• Carpetas con contenido compartido con contraseñas débiles
• Dipositivos extraibles (discos duros, lápices USB, tarjetas de memoria fotográfica) que contengan un fichero autorun.inf (ojo, no todos los ficheros autorun.inf son virus) que copia el gusano en el ordenador del dispositivo conectado.

Como saber si se está infectado

Cuando downdandup (alias conficker) infecta un equipo ejecuta los siguientes pasos:

1. copia el siguiente fichero
   %System% \[Nombre del fichero aleatorio].dll
2. Borra los puntos de restauración creados por el usuario
3. Crea el servicio netsvcs tal y como sigue:
   • Nombre: netsvcs

   • %SystemRoot%\\system32\\svchost.exe -k netsvcs

4. Crea la siguiente clave en el registro
   • Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\
   • Valor: “ServiceDll” = “[PathToWorm]“
5. El gusano se conecta a las siguientes URL y así consiguen tu direccion IP
   • http://www.getmyip.org
   • http://getmyip.co.uk
   • http://checkip.dyndns.org
6. Descarga un fichero de la siguiente URL:
   • http://trafficconverter.biz/4vir/antispyware/loada[ELIMINADO]
7. Dentro del ordenador infectado, el gusano downandup crea un servidor http, es decir, nuestro ordenador se convierte en un servidor web, en un puerto aleatorio
   • http://[Dirección IP externa de la máquina infectada]:[Puerto aleatorio]
8. Se conecta con otros equipos remotos enviando la direccion que hemos visto en el punto anterior, por lo que consigue que este ordenador se convierta en un nuevo emisor del gusano, infectando otros ordenadores.
9. El router se conecta a algún router UPnP para abrir el puerto http que permitirá, a continuación, encontrar nuestra tarjeta de red y abrir el puerto aleatorio que se creó anteriormente, dejando una puerta abierta a nuestra red a cualquier atacante.
10. El gusano intenta descargar un archivos de datos desde la URL:
    • [http://]www.maxmind.com/download/geoip/database/GeoIP.[Eliminado]
11. Una vez llegados a este punto, el gusano downandup se propaga, explotando la vulnerabilidad del Servidor de Servicio de Microsoft Windows.
12. Siguendo con la obra de ingeniería, contacta con las URL siguientes para capturar la fecha:
    • http://www.w3.org
    • http://www.ask.com
    • http://www.msn.com
    • http://www.yahoo.com
    • http://www.google.com
    • http://www.baidu.com
13. Y utiliza la información resultante para generar una lista de nombres de dominios usados por el atacante para instalar y descargar ficheros adicionales de control en el ordenador atacado.

Una obra de ingenería, ¿no creeis?

Como borrar el gusano Downandup

En caso de que, como hemos dicho, no haya borrado los puntos de restauracion, pruebe a usar la “Restauracion del Sistema” con lo que eliminará el virus volviendo al ultimo punto de restauracion válido de la configuracion del Windows.

En caso de que no pueda volver a un punto de restauracion anterior, desactive temporalmente la Restauracion del Sistema y siga los siguientes pasos para eliminar el gusano Downandup

1. Inicio > Ejecutar
2. Escriba: services.msc y pulse Aceptar
3. Busque el servicio con el nombre “netsvcs” y deténgalo
4. Cambie el “Tipo de Inicio” a Manual (por defecto, sale como automático)
5. Reinicie el equipo en Modo seguro o Modo a prueba de fallos
6. Con un antivirus actualizado, busque todas las copias del virus en su ordenador
7. En caso de que el antivirus no pueda reparar o borrar los ficheros, abra el administrador de tareas de windows y, en la pestaña de Procesos, busque el archivo infectado que está siendo ejecutado y deténgalo.
8. Editar el registro
   • buscar y eliminar la siguiente clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs
9. Eliminar archivos temporales
10. Actualizar el software con el parche de Microsoft MS08-067(+)
11. Reiniciar el ordenador
12. Volver a pasar el antivirus para comprobar que todo está correcto.

Como evitar ser infectados por Downandup

Como siempre, estos virus hacen su trabajo debido a la relajación por parte del usuario a la hora de proteger su equipo. Como ya hemos dicho, un buen antivirus, así como tener actualizado el sistema operativo, son los mejores consejos. Además: proteger con contraseñas fuertes las carpetas compartidas, sobre todo en windows Vista y windows XP y escanear los dipositivos extraibles antes de insertarlos en el ordenadores.

Como es conocido el downandup en internet

• WORM_DOWNAD.A (Trend Micro)
• W32/Confick-A (Sophos)
• W32/Conficker.A.worm (Panda Security)
• Trj/Downloader.VAU (Panda Security)
• W32/Conficker.worm (McAfee)
• W32.Downadup (Symantec)
• Trojan.Downloader-59911 (ClamAV)
• Downadup.AL (F-Secure)
• Worm:W32/Downadup.AA (F-Secure)
• Win32/Conficker.A (Computer Associates)
• W32/Downldr2.EXAE (Authentium)
• Trojan.Downloader.JLIW (Bit Defender)
• Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
• Net-Worm.Win32.Kido.t (Kaspersky)
• W32/Downadup (PerAntivirus)
• Trojan/Downloader.Agent.aqfw (Hacksoft)
• W32/DownAdup (Hacksoft)
• TrojanDownloader.Agent.aqfw (Quick Heal)
• Win32/Conficker.A (ESET)
• Worm.Win32.Conficker!IK (Emsisoft)
• TR/Dldr.Agent.aqfw (AVIRA)
• Trojan.DownLoad.16849 (Doctor Web)
• Downloader.Agent.APKO (AVG)
• W32/Conficker.A!worm (Fortinet)
• Trojan.Win32.Downloader.62976.AJ (Hauri)
• Win32/Conficker.worm.62976 (Ahn Lab)
• Trojan.Disken.B (VirusBuster)
• Trojan.Downloader.JLIW (G DATA)
• Worm.Win32.Conficker (Ikarus)
• Worm:Win32/Conficker.A (Microsoft)
• Trojan-Downloader.Agent (PC Tools)
• Trojan-Downloader.Win32.Agent.aron (VBA (VirusBlockAda))

En caso de que no pueda realizar una restauración del sistema o no funcione el punto de restauracion (se recomienda restaurar, pero en caso de que no pueda restaurar el Sistema Operativo a una versión anterior o no funcione, recomendamos, antes de seguir, deshabilitar la Restauracion del Sistema).

Para eliminar el gusano Rekwoj ha de realizar lo siguiente:

• Reinicie el ordenador en Modo Seguro, en modo A prueba de fallos.
• Pase su Antivirus (en caso de no tener ningun antivirus, no dude en descargar la siguiente versión de prueba de MySecurity Center)
• Elimine los siguientes ficheros que puede encontrar en %Temp%\%Tempfile% (Donde %Temp% es el directorio de archivos temporales de Windows)
  
  • b2e.dll
  • binaries.txt
  • Document.rar
  • Document.bat
• Eliminar todos los archivos temporales del ordenador
• Vaciar la papelera de reciclaje.

En caso de que no se pueda reparar la infección, en caso de no poder borrar los ficheros (es probable que los ficheros estén residentes en memoria) hay que hacer lo siguiente:

• Abrir el Administrador de Tareas (Ctrl + Alt + Supr)
• Buscar Document.bat y pararlo
• Volver al punto de “eliminar los siguientes ficheros que puede encontrar en %Temp%\%Tempfile% (Donde %Temp% es el directorio de archivos temporales de Windows)”
  

Resumen del Gusano Rekwoj

Nombre completo: Trojan.W32/Rekwoj

Tipo: Caballo de Troya. No se propaga solo.

Plataforma: Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003

Alias: Win32/Rekwoj.A o BAT/Rekwoj.A

Los ataques por uso de codigo malicioso, virus, troyanos y similares son los mas usados para hacerse con las transacciones bancarias a través del acceso para posterior robo de sus bases de datos. Así pues el modus operandi es claro: acceso a los sistemas de instituciones financieras para la obtención de cuentas de correo electrónicos y conseguir hacerse con el control de los usuarios de bancos, muchos mas facil de “timar” que una gran entidad bancaria.

También habló Dmitry Bestuzhev, analista de virus para América Latina de Kaspersky Lab.,

estos ataques son producidos en la impunidad total, ya que en la región, en especial en México, no hay una regulación adecuada para atacar a los delincuentes cibernéticos. Si bien en el país existe una Policía Informática, la Agencia Federal de Investigación (AFI) sólo se concentra en investigar redes de criminales de pornografía infantil que utilizan la Internet, sin considerar que existen otras áreas descuidadas como es el robo de identidad y la sustracción de recursos a través de transacciones bancarias, e incluso, en las nuevas modalidades para robar recursos vía SMS en celulares.

A través del engaño a usuarios desprevenidos los cibercriminales cometen sus fechorías. Mediante supuestos premios obtenidos en concursos, se envían mensajes SMS, diciendo que se ganó un premio, y sólo debe reenviar el mensaje con alguna leyenda. Con ello, los delincuentes roban identidad y el saldo del teléfono celular.

La mayor parte de estos robos se deben, sobre todo, al descuido de los usuarios que carecen de una cultura informática que dejan “abiertas las puertas” a los cyber-delincuentes: son los mas propensos a contestar ataques de phishing, contestar mensajes en los teléfonos moviles y similares.

Números de la ciberdelincuencia

Cada dos segundos se genera un virus malicioso (malware) de toda especie, desde troyanos hasta gusanos y códigos spyware. China es la nación que más genera virus en el mundo, con alrededor de 100 mil virus por día, muchos de los cuales violan la seguridad de los antivirus.