SoloCodigo

Sober.O Sigue acechando

Cuando Worm.W32/Sober.O@MM es ejecutado, realiza las siguientes acciones:

   1. Muestra el siguiente mensaje:



Detectado en tránsito un gran número de correos electrónicos con una
nueva variante del gusano Sober. Se recomienda a los usuarios extremen
la precaución a la hora de abrir archivos adjuntos no solicitados, en
este caso especialmente los que nos lleguen en formato ZIP con el
cuerpo del mensaje en inglés.

En primer lugar destacar a los antivirus que han detectado esta nueva
variante desde el primer instante de su aparición, bien por heurística
o firma genérica, y por tanto han protegido a sus usuarios sin
necesidad de una actualización a posteriori.

Detección proactiva:

Antivir :: Worm/Sober.gen
Dr.Web :: BACKDOOR.Trojan
NOD32 :: probably a variant of Win32/Sober
McAfee :: W32/Sober.gen@MM
Panda :: [TruPrevent]

A continuación los tiempos en ofrecer la actualización reactiva, a
posteriori de su aparición, con firmas de detección específicas.

Detección reactiva:

ClamAV 02.05.2005 18:39 :: Worm.Sober.P
Kaspersky 02.05.2005 18:44 :: Email-Worm.Win32.Sober.p
F-Prot 02.05.2005 18:57 :: W32/Sober.O@mm
BitDefender 02.05.2005 19:24 :: Win32.Sober.O@mm
NOD32 02.05.2005 20:15 :: Win32/Sober.O
Panda 02.05.2005 20:55 :: W32/Sober.V.worm
eTrust-Iris 02.05.2005 21:57 :: Win32/Sober.53554!Worm
Antivir 02.05.2005 22:26 :: Worm/Sober.P
Norman 02.05.2005 22:51 :: Sober.O@mm
Trend Micro 02.05.2005 23:17 :: WORM_SOBER.S
McAfee 02.05.2005 23:44 :: W32/Sober.p@MM!zip

El gusano está programado en Visual Basic, el ejecutable original ha
ha sido comprimido con UPX, y a su vez el gusano lo envía adjunto por
correo electrónico comprimido bajo formato ZIP.

Si un usuario abre el archivo y lo ejecuta, aparecerá una ventana
simulando un error de descompresión:

WinZip Self-Extractor
Error: CRC not complete
[OK]

Mientras que el usuario visualiza ese mensaje el gusano ya habrá
comenzado la infección del sistema. Copia en la carpeta Windows
dentro del subdirectorio \Connection Wizard\Status\ los archivos

%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg

Y en la carpeta de sistema de Windows los siguiente:

%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa

Además añade las típicas entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:

" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"

tanto en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
como en
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Para propagarse, busca en el sistema infectado direcciones de correo
electrónico en todos los archivos con extensión:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Evita enviarse aquellas direcciones de correo electrónico que
contengan algunas de las siguientes cadenas:

-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

Para enviarse por correo electrónico, en primer lugar examina la dirección
a la que va a enviarse. Si el dominio es GMX o termina con .AT, .CH, .DE o
.LI se envía con textos en alemán, para el resto de direcciones lo hará
en inglés.

El archivo adjunto puede ser uno de los siguientes:


_PassWort-Info.zip
account_info.zip
account_info-text.zip
autoemail-text.zip
error-mail_info.zip
free_PassWort-Info.zip
Fifa_Info-Text.zip
LOL.zip
mail_info.zip
okTicket-info.zip
our_secret.zip

El remite lo elige entre:

Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster

Mientras que el asunto podrá ser alguno de los siguientes:

mailing error
Re:
Registration Confirmation
Your email was blocked
Your Password

Y en el caso de la versión en alemán:

Glueckwunsch: Ihr WM Ticket
Ich bin's, was zum lachen
Ihr Passwort
Ihre E-Mail wurde verweigert
Mail-Fehler!
WM Ticket Verlosung
WM-Ticket-Auslosung


En cuanto al cuerpo del mensaje, en inglés algunos de los siguientes:

ok ok ok,,,,, here is it

Account and Password Information are attached!
Visit: http:/ /www.[dominio]

This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached

Con una línea al final que elige entre:

Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[dominio]


Mientras que en la versión en alemán los textos pueden ser:

Passwort und Benutzer-Informationen befinden sich in der beigefuegten
Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp


Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail
incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#


Nun sieh dir das mal an
Was ein Ferkel ....

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details
ihrer Daten entnehmen Sie bitte dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Gerd.Graus@ok2006.de

Con una línea final que elige entre:

Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http://www.[dominio]

Hola RadicalEd,

Esto es lo mismo que le paso a Brroz

http://foros.solocodigo.com/index.php?showtopic=14354

Algo habrás puesto en ese mensaje que no le ha gustado al servidor  

Un saludo.

Lo que pasa es que esa respuesta ya la he hecho varias veces, he puesto lo de compilar con gcc y no me falla, acabo de intentar con este mensaje y me sale error tambien

Esto ya lo hice Soultaker, es mas lo del lado ya tambien, pero lo que no trunka es cuando son más de 2 columnas ay viene el chingo problema y no lo he podido acomodar.

A mi no me salió ningún error cuando hice para responder ese post.

 

Lo pudistes responder???, trata de responderlo, no solo escribas lo que vas a decir sino que dale al boton responder, de pronto sea solo a mi.

hola, yo para las imagenes uso esta pagina es muy buena y claro esta es gratis
solo recuerden no poner archivos muy pesados

http://www.imageshack.us/

Yo la conozco como imageshack.ws, y esta al pie de mi firma para que suban imagenes ahi y no gasten espacio en el servidor

mmm sabes que bajar cosas no autorizadas es pirateria, pero te voy a enseñar.

Entra al codigo fuente de la página,  dale buscar .swf, cuando lo encuentres creas un archivo.html en tu pc con la dirección del archivo.swf, le das click derecho sobre este-->Guardar destino como..., asi descargaras el archivo a tu pc, Soultaker esta en todo el derecho de borrar mi post

1.) ado y dao son controles que te permiten conectar a una DB por medio de un lenguaje de programación
2.) Como se conectan a que??????? a un programa, si es asi por medio de los controles que mencionastes antes.
3.) Access, Oracle: Son aquellos que contienen la informacion de las DB (Tablas, Registros, Vistas, Consultas, etc)
4.) ODBC son las siglas de Open DataBase Connectivity, un estándar de acceso a Bases de Datos desarrollado por Microsoft Corporation, el objetivo de ODBC es hacer posible el acceder a cualquier dato de cualquier aplicación, sin importar qué Sistema Gestor de Bases de Datos (DBMS por sus siglas en Ingles) almacene los datos, ODBC logra esto al insertar una capa intermedia llamada manejador de Bases de Datos, entre la aplicación y el DBMS, el propósito de esta capa es traducir las consultas de da
es.wikipedia.org/wiki/ODBC
5.) Si se entendio, pero para estas preguntas esta Google, es mucho pedir

- Agente SoloMicros 2.6 (SSS) Service Secret the Solocodigo

No es que sepa mucho de Ingles pero no es
Secret Service of SoloCodigo.
Digo No no te vayas a  
 

El Width va hacia la derecha y el Height hacia abajo
Ok man, esta muy facil y bonito lo que estas diciendo, es mas lo de colocar debajo del otro es muy facil, pero hay un problema en el que no caes en cuenta, como vistes, se pueden colocar shapes de diferentes tamaños, y aqui es donde entra el problema (POR LO MENOS PARA MI).

¿Como racionar a la perfección el shape grande, para que entren diferentes shapes pequeños?

Mira el codigo tan cochino que tengo para acomodar los shapes dentro del grande, he incluso sigue sin servir.
Ojala me entiendas.
Gracias Chao[/color]

Hola chicos de SoloCodigo, tengo unas cuantas consultas es que estoy un poquito enrredado.

Estoy trabajando con el control shape para unos cortes que le debo hacer a un shape mas largo, el programa consiste asi:

Manejo un control shape de un tamaño grande y otro de tamaños mas pequeños.



En el shape mas grande me deben caber cierta cantidad de los shapes mas pequeños, de acuerdo a esta formula.
Esta formula calcula la cantidad de veces que cabe el shape pequeño en el grande, pero ahora los problemas son:

1.) Acomodar la cantidad de shapes pequeños, que los usos como un array de controles, dentro del grande en la mejor forma, vertical u horizontal, sin pasarme ni del height o el width del grande, uno debajo del otro, y cuando pase el height o el width, seguir al lado de los primeros shapes.

2.) Se pueden dar diferentes tamaños al shape pequeño, y acomodar en diferentes partes del shape grande estos pequeños de la mejor forma, sin gastar espacio para los demas shapes.

PD. sino me entienden me desgloso un poquito mejor
Gracias Chao
[/color]

Se ha reportado una vulnerabilidad en algunos productos de Symantec Antivirus, que puede provocar que el programa deje de responder cuando examina un archivo RAR maliciosamente construido.

El contenido de dicho RAR, podría eludir de esta forma la detección del antivirus. Sin embargo, el componente residente, aún podría detener su ejecución, siempre que el mismo fuera un malware.


Productos vulnerables:

- Symantec Web Security 3.0.1.72
- Symantec Mail Security for SMTP 4.0.5.66
- Symantec AntiVirus Scan Engine 4.3.7.27
- Symantec SAV/Filter for Domino NT 3.1.1.87
- Symantec Mail Security for Exchange 4.5.4.743
- Symantec Norton AntiVirus 2005 11.0.0
- Symantec Norton Internet Security 2005 (NAV 11.0.0)
- Symantec Norton System Works 2005 (NAV 11.0.0)

NOTA: Son vulnerables las versiones indicadas o inferiores.

La vulnerabilidad solo afecta las versiones indicadas si se ejecutan bajo Windows.


Productos NO vulnerables:

- Symantec Web Security 3.0.1.74
- Symantec Mail Security for SMTP 4.1.4.30
- Symantec AntiVirus Scan Engine 4.3.8.29
- Symantec SAV/Filter for Domino NT 3.1.2.91
- Symantec Mail Security for Exchange 4.6.1.107
- Symantec Norton AntiVirus 2005 11.0.9
- Symantec Norton Internet Security 2005 (NAV 11.0.9)
- Symantec Norton System Works 2005 (NAV 11.0.9)


Solución:

Actualizarse a las versiones NO vulnerables. Las actualizaciones están disponibles a través de LiveUpdate o desde la siguiente dirección (Product support):

http://www.symantec.com/techsupp/

Peligrosidad: 3 - Media     
Difusión: Baja   
Fecha de Alta:28-04-2005
Última Actualización:28-04-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm.W32/Mytob.BM-BO@MM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32.Mytob.BN@mm (Symantec), W32.Mytob.BO@mm (Symantec), WORM_MYTOB.CU (Trend Micro)
Detalles

Instalación

Cuando se ejecuta descarga el fichero HELLMSN.EXE en la carpeta raíz que luego ejecutará para crear alguna de las siguientes copias del gusano, también en la carpeta raíz, según la versión del gusano en ejecución:

    * %System%\taskgmr32.exe
    * %System%\winnet32.exe
    * C:\funny_pic.scr
    * C:\see_this!!.scr
    * C:\my_photo2005.scr

Para asegurarse su ejecución automática en cada nuevo reinicio del equipo infectado, añade el siguiente valor a las claves de registro indicadas:

"WINTASK32" = "taskgmr32.exe" Versión BM



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_CURRENT_USER\Software\Microsoft\Ole

Propagación por Correo

El gusano se propaga por correo electrónico enviándose como adjunto en mensajes que tienen las siguientes características:

# Remitente: Falsificado
# Asunto: Podrá ser alguno de los siguientes

    * hello
    * error
    * status
    * Mail Transaction Failed
    * Mail Delivery System
    * SERVER REPORT
    * Good Day
    * Cadenas de texto Aleatorio

# Mensaje:Podrá ser alguno de los siguientes

    * vacío
    * Here are your banks documents.
    * The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
    * The message contains Unicode characters [...]
    * Mail transaction failed. Partial message is available.
    * The attachment name may also contain one of the following lines:
    * The original message was included as an attachment.
    * Here are your banks documents.
    * I have received your document. The corrected document is attached.

# Adjuntos: Podrá estar compuesto por un nombre de fichero y una o dos extensiones:

    * body
    * data
    * doc
    * document
    * file
    * message
    * readme
    * test
    * text
    * Texto aleatorio

Podra tener una o dos, de las siguientes extensiones:

    * .doc
    * .htm
    * .txt
    * .bat
    * .exe
    * .pif
    * .scr
    * .zip
    * .tmp

Cuando contiene 2 extensiones , estarán separadas por numerosos espacios.

En el caso de un archivo con extensión .ZIP, el mismo contendrá el código del gusano con algunas de las otras extensiones.

El gusano busca y captura todas las direcciones de correo que encuentre en diferentes archivos de la máquina infectada. Para ello, examina archivos con las siguientes extensiones:

    * .wab
    * .adb
    * .tbb
    * .dbx
    * .asp
    * .php
    * .sht
    * .htm
    * .pl

También puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:

    * adam
    * alex
    * alice
    * andrew
    * anna
    * bill
    * bob
    * brenda
    * brent
    * brian
    * claudia
    * dan
    * dave
    * david
    * debby
    * fred
    * george
    * helen
    * jack
    * james
    * jane
    * jerry
    * jim
    * jimmy
    * joe
    * john
    * jose
    * julie
    * kevin
    * leo
    * linda
    * maria
    * mary
    * matt
    * michael
    * mike
    * peter
    * ray
    * robert
    * sam
    * sandra
    * serg
    * smith
    * stan
    * steve
    * ted
    * tom

Utiliza alguno de los siguientes nombres de dominio:

    * aol.com
    * cia.gov
    * fbi.gov
    * hotmail.com
    * juno.com
    * msn.com
    * yahoo.com

Para seleccionar el servidor, agrega al principio de los dominios de las direcciones seleccionadas, una de las siguientes cadenas:

    * gate.
    * ns.
    * relay.
    * mail1.
    * mxs.
    * mx1.
    * smtp.
    * mail.
    * mx.

El gusano evita enviarse a aquellas direcciones cuyo nombre contenga alguna de las siguientes cadenas:

    * accoun
    * admin
    * anyone
    * bat
    * bugs
    * ca
    * certific
    * contact
    * feste
    * gold-certs
    * help
    * icrosoft
    * info
    * listserv
    * me
    * no
    * nobody
    * noone
    * not
    * nothing
    * ntivi
    * page
    * postmaster
    * privacy
    * rating
    * root
    * samples
    * service
    * site
    * soft
    * somebody
    * someone
    * submit
    * support
    * the
    * webmaster
    * you
    * your

      También intentará evitar el envío sobre direcciones de los siguientes dominios:

    * .edu
    * .gov
    * .mil
    * acketst
    * arin.
    * borlan
    * bsd
    * example
    * fido
    * foo.
    * fsf.
    * gnu
    * google
    * gov.
    * iana
    * ibm.com
    * icrosof
    * ietf
    * inpris
    * isc.o
    * isi.e
    * kernel
    * linux
    * math
    * mit.e
    * mozilla
    * mydomai
    * nodomai
    * panda
    * pgp
    * rfc-ed
    * ripe.
    * ruslis
    * secur
    * sendmail
    * sopho
    * syma
    * tanford.e
    * unix
    * usenet
    * utgers.ed

Además inserta las siguientes líneas en el fichero Hosts para impedir el acceso a los sitios indicados:

    * 127.0.0.1 www.symantec.com
    * 127.0.0.1 securityresponse.symantec.com
    * 127.0.0.1 symantec.com
    * 127.0.0.1 www.sophos.com
    * 127.0.0.1 sophos.com
    * 127.0.0.1 www.mcafee.com
    * 127.0.0.1 mcafee.com
    * 127.0.0.1 liveupdate.symantecliveupdate.com
    * 127.0.0.1 www.viruslist.com
    * 127.0.0.1 viruslist.com
    * 127.0.0.1 viruslist.com
    * 127.0.0.1 f-secure.com
    * 127.0.0.1 www.f-secure.com
    * 127.0.0.1 kaspersky.com
    * 127.0.0.1 www.avp.com
    * 127.0.0.1 www.kaspersky.com
    * 127.0.0.1 avp.com
    * 127.0.0.1 www.networkassociates.com
    * 127.0.0.1 networkassociates.com
    * 127.0.0.1 www.ca.com
    * 127.0.0.1 ca.com
    * 127.0.0.1 mast.mcafee.com
    * 127.0.0.1 my-etrust.com
    * 127.0.0.1 www.my-etrust.com
    * 127.0.0.1 download.mcafee.com
    * 127.0.0.1 dispatch.mcafee.com
    * 127.0.0.1 secure.nai.com
    * 127.0.0.1 nai.com
    * 127.0.0.1 www.nai.com
    * 127.0.0.1 update.symantec.com
    * 127.0.0.1 updates.symantec.com
    * 127.0.0.1 us.mcafee.com
    * 127.0.0.1 liveupdate.symantec.com
    * 127.0.0.1 customer.symantec.com
    * 127.0.0.1 rads.mcafee.com
    * 127.0.0.1 trendmicro.com
    * 127.0.0.1 www.microsoft.com
    * 127.0.0.1 www.trendmicro.com

Otros detalles

El gusano también puede propagarse explotando las vulnerabilidades en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 y la vulnerabilidad del proceso RPC/DCOM reparada por Microsoft en su parche MS03-026 Para ello busca equipos vulnerables en el puerto TCP 445. Son vulnerables todas las computadoras bajo Windows XP o 2000, sin el parche MS04-011 instalado y sin cortafuegos.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.

Los usuarios de Windows XP SP2 no están afectados por esta vulnerabilidad.

También inicia un servidor FTP sobre un puerto seleccionado al azar.

El componente BOT se conecta vía IRC con canales predeterminados en servidores también predeterminados por el puerto TCP 6667. Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado:

    * Descargar archivos
    * Ejecutar archivos
    * Borrar archivos
    * Actualizarse a si mismo

      Un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos.

lero lero
Ring Tones Nokia