Nuevo virus para MSN Messenger: IMG0024.zip
12 Septiembre 07 — xhiena¡¡¡Nuevo virus en el mercado!!!
Leo en emezeta que hay nuevo virus en el messenger.
se pasa como un archivito zip “IMG0024.zip” o similares y dentro contiene IMG0024-(alguna web .com) lo que hace es que se aprobecha de que los .com son tambien ejecutables en windows.
y ademas el virus se reenvia con frases que todos diriamos. Un colega esta infectado y me lo envio diciendo:
xxxxxx dice:
jaja recuerda cuando tuviste el pelo asi
xxxx le quiere enviar IMG0024.zip
hay mas frases como
oye voy a poner esa foto de nosotros en mi myspace :D
debes poner esa foto como foto principal en tu myspace o algo
oye voy a agregar esa foto a mi blog ya
voy a poner esa foto de nosotros en mi blog ya
el lol mi hermana quisiera que le enviara este álbum de foto
hola esas son las fotos
hey i’m going to add this picture of us to my weblog
jaja recuerda cuando tuviste el pelo asi
lol remember when you used to have your hair like this
y cosas por el estilo
Ante este virus lo mejor es la prevención:
- un zip con un archivo .com (los enlaces a paginas web son .url)
- un zip con un archivo .com que no tiene el icono del explorer …
- una imagen que no tiene extensión de imagen (jpg, fig, jpeg, tiff, png, bmp…)
- si te quiere pasar una imagen, ¿para que coño la comprime?
Si de todas formas te la cuela, para quitarlo puedes hacer unas cuantas cosillas:
- Si tienes antivirus, actualizarlo y pasarlo. (con esto debería bastar)
- si sabes que lo tienes y no te lo detecta hazlo en modo a prueba de fallos.
- si aun así no te lo pilla la mayoria de antivirus tienen un sistema de scaneo en profundidad que pasan el scan antes de iniciar windows, try it.
- Pasarte el Antivirus online que más te guste con el msn cerrado (para más seguridad en modo a prueba de fallos o como se diga en xp ¿modo seguro con funciones de red?)
- Pasarte el MSNCleaner en modo a prueba de fallos sin internet / modo seguro sin funciones de red
EDIT (13/9/2007)
He encontrado en el forospyware que un usuario lo quitó con el MSNCleaner en modo a prueba de fallos:
- Reporte MSNCleaner 1.3.1
- Reporte Creado: 10/09/2007 a las 10:42:53 p.m.
- Sistema Operativo: Windows XP
- Modo de Inicio: Prueba de fallos
_________________________________________Archivos detectados: 3
Archivos eliminados: 3
Archivos no eliminados: 0C:\Archivos de programa\MSN Messenger\msngserv.exe <— Eliminado
C:\WINDOWS\IMG0024.zip <— Eliminado
C:\WINDOWS\system\services.exe <— Eliminado
EDIT (14/9/2007)
Gracias a multani_mh tenemos otra forma de quitarlo:
descargar de la página http://www.zonavirus.com/datos/descargas/78/EliStarA.asp
una vez descargado para hacer arranque seguro inicio>ejecutar
escribir msconfig
pinchar en boot.ini y seleccionar /safeboot
aplicar, cerrar y reiniciar como te pidete arranca en modo seguro, aceptas pantalla al iniciar y ejecutas el archivo descargado
tardará tiempo, y limpiará todo.
puedes ejecutarlo una segunda vez para mayor tranquilidad
posteriormente volver a hacer inicio>ejecutar
msconfig
otra vez boot.ini y quitar la selección de /safebootreiniciar y ya arrancará en modo normal y debe estar limpito.
y mnemosime nos comenta que:
Me contaron que quien este infectado, si tiene en el messenger la contraseña ya puesta en el inicio de sesión que la quite porque estos virus las guardan y después el messenger se te abre solo y empieza a mandar la supuesta foto a todos tus contactos, ojito con esto.
Gracias a ambos :D (se esta haciendo grande el post este xD)
13 Septiembre 07 a las 9:32 am
Ayer me aparecieron 2 ventanas con algunas de esas frases y el consiguiente archivo. Estaba rayadísimo!
Muchas gracias por la información y por cierto, debería avisar a los 2 contactos que me aparecieron en esas ventanas de que están infectados???
13 Septiembre 07 a las 2:34 pm
… yo les avisaba, porque si no van a estar dandote por culo con la fotito xD otra solución es no admitirles xD
13 Septiembre 07 a las 7:00 pm
Gracias ositoo jeje xD
TKM
13 Septiembre 07 a las 9:26 pm
yo estoi terriblemente infectado con esa cosa, me la kiero sakar de encima YAAAA
asi ke bueno , voi a probar con estos metodos ,
desde ya , muchas grcias :), ii voi a pasar la pag , a todos mis contactos
tanto infectados como limpios,
13 Septiembre 07 a las 9:28 pm
otra cosa, ya probe con 2 antivirus , ii ninguno lo pudo detectar ni eliminar,
ke onndaaa?
13 Septiembre 07 a las 10:07 pm
yo no me he infectado así que no se decirte que antivirus. los online suelen ser los que mas actualizados están.
En todos los sitios donde leí recomendaban lo mismo.
He leido en un foro que uno lo quitó con el MSNCleaner. Actualizo el post para que quede constancia
14 Septiembre 07 a las 12:30 am
Yo uso el aMsn y Ubuntu GNU/Linux y me saltaron varias ventanitas de esas del virus… automáticamente se cancela la transferencia de archivos.
A veces me dan pena los que aun usan el Msn y Windows…, es que os gustan los virus? xD
14 Septiembre 07 a las 12:42 am
“el lol mi hermana quisiera que le enviara este álbum de foto”
Esa frase fué la que recibí pero como uso Kopete en Kubuntu no permitió la transferencia… aaahhh que bien se siente ver cómo los demás contactos quieran infectarte (a veces involuntariamente) y no consiguen su objetivo, me rio cada vez que pasa eso :) .
14 Septiembre 07 a las 7:13 am
xD con windows es todo mas excitante, cada dia es una nueva aventura jajajaja
14 Septiembre 07 a las 10:12 am
xhiena, la vida en los ordenadores peredería su aliciente a no saber que te encontrarás por la mañana jaja
A mí también me habló el virus, pero si no le respondes no te envía nada ;)
Aún así si alguien usa Mac o Linux puede abrirlo y ver que tiene ya que no le afecta jojo
Saludos!
14 Septiembre 07 a las 12:55 pm
Y a España ya ha llegado??
Gracias por el aviso
14 Septiembre 07 a las 7:00 pm
yo sufrí el contagio hace ya dos días. El msncleaner no es suficiente, ya que solo se carga el comprimido que se reenvía.
yo encontré la solución de esta manera:
descargar de la página http://www.zonavirus.com/datos/descargas/78/EliStarA.asp
una vez descargado para hacer arranque seguro inicio>ejecutar
escribir msconfig
pinchar en boot.ini y seleccionar /safeboot
aplicar, cerrar y reiniciar como te pide
te arranca en modo seguro, aceptas pantalla al iniciar y ejecutas el archivo descargado
tardará tiempo, y limpiará todo.
puedes ejecutarlo una segunda vez para mayor tranquilidad
posteriormente volver a hacer inicio>ejecutar
msconfig
otra vez boot.ini y quitar la selección de /safeboot
reiniciar y ya arrancará en modo normal y debe estar limpito.
14 Septiembre 07 a las 10:51 pm
Yo lo tuve y no me enteré porque lo peor de esto es que el infectado no sabe que lo tiene porque a él no le sale nada, por eso es bueno que a quien se le manden estas cosas que avise al emisor!
Me contaron que quien este infectado, si tiene en el messenger la contraseña ya puesta en el inicio de sesión que la quite porque estos virus las guardan y después el messenger se te abre solo y empieza a mandar la supuesta foto a todos tus contactos, ojito con esto.
Bueno un saludo ;)
14 Septiembre 07 a las 10:52 pm
Gracias por los comentarios :D, actualizo para que estén accesibles
15 Septiembre 07 a las 1:40 am
llevas casi dos años con el blog y solo has tenido 11.000 hits???? yo llevo dos meses y tengo 4.500 hits.. algo falla aki e bonika..
15 Septiembre 07 a las 7:15 am
Yo elimine a todos. Muajajajajaajajajajajajajajaja!
15 Septiembre 07 a las 3:17 pm
para IBB: no pongas el link de tu blog en el comentario. para eso esta el campo url.
para asa: sip :D de los cuales unos 3000 han sido en este último mes xD. Pero no todo el tiempo el blog ha estado en wordpress, asi que las vistas son solo de un periodo del blog. De todas formas, el blog nació por unos motivos (orientado a 2 o 3 personas) que no son los que me impulsan a mantenerlo actualmente.
Ahora es una forma de avisar a gente sobre cosas sin tener que explicarlo cada vez a una persona distinta. (del palo pones en el msn que hay un virus nuevo y la dirección del post y se enteran ya. no te abren y te preguntan). Para que quede mas fardón: no busco visitas, busco informar, si informo wai, si no te gusta lo que escribo pos no leas xD.
y soy un tio… pero gracias por lo de boniko xD
y por último… ese comentario debería ir en acerca de: o en sugerencias… xD
17 Septiembre 07 a las 7:28 pm
haaaa. toy infectado con este virus, y No soy el unico, en mis contactos tengo como a 4 correos infectados sin que ellos lo sepan…tengan mucho cuidado y no acepten ese fue mi primer error, aceptar…. tengan cuidado…muxho cuido:(
18 Septiembre 07 a las 2:13 am
Vale, todo el mundo preocupado por como quitarlo. BIEN, me parece genial, pero una pregunt que va mas lejos…Si este gusanito se va pasando de ordenador en ordenador, quiere decir que toda vuestra intimidad esta al descubierto, por si no lo sabeis, este gusano ademas incorpora un troyano, lo que significa, acceso remoto a vuestro pc. Es decir, si os infectais, pueden ver popr vuestra webcam(yo de vosotr@s) la pondria mirando cara a la pared si me voy a cambiar de ropa. Si tengo fotos personales, las pasaria a dvd’s, donde estaram fuera de miradas maliciosas, asi como cualquier documento privado con informacion que querais proteger. Todo esto lo digo porque mi pregunta es….Como diablos obtenemos un server para este troyano? es decir, por lo que tengo entendido por lo leido en otras webs, este “amigo” recoge automaticamente nuestra informacion personal, la cifra y la envia a un servidor con direccion….”webmaster.mail.ru” o algo asi, no me acuerdo del nombre exacto(buscarlo si quereis saber mas) y alli, si puedes acceder con el server, puedes ver la informacion del contacto(que ademas como te esta invitando por el msn a recibir las fotos sabes que esta infectado) y ademas solicitarle al troyano que te mande lo que tu quieras…pero como obtengo el server? o simplemente, como funciona exactamente este programa? en vez de server va todo por web? me gustaria que alguien que supiera mas que yo del tema me dijera como funciona. Es pura curiosidad. Y que hay mil millones de paguinas diciendo como quitarlo que en almenos alguna digan como funciona. Ale a ver si alguien responde
18 Septiembre 07 a las 10:10 pm
a mi me parece que pinta de troyano del tipo saco fotos de tu webcam, y te escudriño el pc no es, ¿porque pienso eso? Es una simple deducción, en España hay 44.708.964 habitantes (45 millones para redondear) de esos 45 millones pongamos que 30 millones usan un pc con windows (trabajo, casa,…) de esos 30 millones unos 5 millones se habrán infectado (aproximando usando el ratio de mi msn xD 1/6 de mis contactos están/estaban infectados) sabes lo que pueden llegar a ocupar en espacio en disco los datos de 5 millones de personas? y eso solo en españa…
tiene pinta de ser simplemente el tipico virus jodon del tipo “molesto? molesto?”
Pero bueno es mi opinion.
y respondiendo a tu pregunta de como funcionaria, funcionaria igual que un troyano, solo que con algunas tareas automaticas. y esto lo explico en un post porque se esta haciendo muy largo esto.
18 Septiembre 07 a las 11:01 pm
[...] ¿que son? breve introducción Fandi en un comentario sobre el virus del messenger IMG0024.zip preguntó si en el caso de que fuera un troyano, como [...]
19 Septiembre 07 a las 1:49 am
entiendo que quieres decir, pero he leido en otra web como funciona el problema es que no lo detallan, es decir, el programa guarda datas en modo texto como la IP infectada, el nombre del administrador y la contraseña del administrador por si queremos acceder a el…luego remotamente le puedes pedir datos, pero no es con un server tradicional, es decir el tipico archivo exe, sino que se conecta con un servidor web…a partir de el(si supieramos cual es apra tener acceso9 pues eso le pedimos que nos de mas datos, t los apsa y los borra, digamos k es como si crea un listin telefoniko de infectados…el nombre y la contraseña del administrador, junto con la ip donde encontrarlo no ocuparan mas de un par de kbs…mil son un mega…mil megas un giga…5 millones de abitantes…5 gigas, tienes a casi todos los infectados de españa en poko mas k un dvd(4′7 gigas) asi k si es posible que sea asi y de echop por lo que he leido es asi, solo querria saber cual es la web que da acceso al troyano, y saber si se ha creado por alguien al que el efecto del gusano se le a ido de la mano o quizas se ha usado para tener datos a nivel global e la gente( ya sea para estudios de mercado o para un hacker con ansias de poder acceder a cualquier ordenador de españa que le plazca). bueno me voy mucho por las ramas…pero me gustaria seguir investigando. Si encuentro la fuente de donde obtube esta informacion en mi historial del explorer(aunque este poco detallada) la expondre para el que quiera “husmear” y si alguien sabe mas que yo del tema(cosa facil) que tambien comente lo que sepa. Gracias por vuestra atencion…Xao:)
19 Septiembre 07 a las 1:50 am
PS: perdon por mis faltas gramaticales, me he malacostumbrado a escribir asi :$
19 Septiembre 07 a las 1:54 am
perdon de nuevo y esto puede haber llebado a error a algunos que hayan leido el comentario, yo lo que quero es saber sobre el cleinte, el servidor es lo que teneis los infectados y el que se ocupa de hacer trastadas, yo estoy interesado en el cliente, apra controlar ese servidor. De echo una buena forma de protegerse si estas infectado seria con el cliente, ya que casi cualquier troyano tiene la posibilidad de que cada server que controle tu cliente establezca una contraseña(para que solo tu puedas acceder) a ese puerto de escucha. Le ponemos nuestra contraseña y aunque otro tenga el cliente no podra acceder a nuestro PC sin nuestra contraseña. Mola eh?
19 Septiembre 07 a las 7:30 am
De normal cada tipo de troyano tiene su cliente, solo tienes que saber que troyano es. es decir, si fuera el troyano netbus, deberias usar el cliente netbus. Pero si funciona como dices, a lo mejor por ingeniería inversa podrías saber a que web se conecta, o mirando las conexiones activas que tienes.
No se, es complicado eso ya. si el cliente es una web (ya que lo haria todo automatico y solo tendrias que consultar los reportes que haga el troyano, puede estar en cualquier lado, incluso en local (es decir, solo el que ha echo el troyano podría acceder).
no se que troyano podria ser.
24 Octubre 07 a las 5:33 am
Usen linux y olvidense de estas cosas
18 Diciembre 07 a las 5:53 pm
Hola donde lo puedo encontrar el IMG0024.zip? si me lo podrian decir grax!
20 Marzo 08 a las 7:49 pm
Bueno gente , antes q nada quiero felicitarlos por info. y agradecerles por que realmente me salvaron de formatear la makina. La verdad es q estuve medio año sin inet y al segundo dia me mandaron el virus por msn…conclucion como un peregil acepte y se me hizo muy dificil eliminarlo. En mi caso el msn cleaner no funciono , pero si me dio resultado el Elistara de zona virus .
Bueno kedo realmente agradecido por la ayuda que me brindaron.
exitos y saludos para todos
Di3g0
26 Marzo 08 a las 11:34 am
un placer di3go
18 Junio 08 a las 2:34 am
komo estas komo lo pasaste esa noxe