| VIRUS |
 |
| VBS/Noped |
|
|
|
| Nombre: VBS/Noped |
|
| Aliases: VBS.Noped.A@MM |
|
| Variantes: |
|
| Fecha de Descubrimiento: 23/05/2001 |
|
| Tipo: Gusano de internet |
|
| Gravedad: Baja |
|
| Origen: Desconocido |
|
|
|
|
| Información: Un gusano de internet que no causa ningún daño y busca en
los sistemas afectados la existencia de imágenes que se
relacionen con la pedofilia para reportarlas a agencias
que luchan contra ella.
|
|
|
|
Características: Este gusano de internet puede ser recibido por correo electrónico en
un mensaje como el siguiente:
Asunto: FWD: Help us ALL to END ILLEGAL child porn NOW
Cuerpo: Hi, just a quick e-mail. Please read the attached document as soon as you can.
Thanks.
Adjunto: END ILLEGAL child porn NOW.TXT............vbe
Como la gran mayoría de este tipo de virus, una vez ejecutado, intenta enviarse a todas
las direcciones de correo electrónico de la libreta de direcciones del sistema en un
mensaje como el antes mencionado si la fecha del sistema es menor al 1ero de Mayo del
2001. En cambio, si la fecha es posterior, se enviará en un mensaje cuyo contenido y
archivo adjunto consistirán de carácteres aleatorios.
Este gusano, además, muestra, utilizando el bloc de notas, el siguiente texto en contra
de la pornografía infantil:
"In 1977 the Sexual Exploitation of Children Act (18 U.S.C. 2251-2253) was
enacted. The law prohibits the use of a minor in the making of pornography, the transport
of a child across state lines, the taking of a pornographic picture of a minor, and the
production and circulation of materials advertising child pornography. It also prohibits
the transfer, sale, purchase, and receipt of minors when the purpose of such transfer,
sale, purchase, or receipt is to use the child or youth in the production of child
pornography. The transportation, importation, shipment, and receipt of child pornography
by any interstate means, including by mail or computer, is also prohibited
The Child Protection Act of 1984 (18 U.S.C. 2251-2255) defines anyone younger than the age
of 18 as a child. Therefore, a sexually explicit photograph of anyone 17 years of age or
younger is child pornography.
On November 7, 1986, the U.S. Congress enacted the Child Sexual Abuse and Pornography Act
(18 U.S.C. 2251-2256), that banned the production and use of advertisements for child
pornography and included a provision for civil remedies of personal injuries suffered by a
minor who is a victim. It also raised the minimum sentences for repeat offenders from
imprisonment of not less than two years to imprisonment of not less than five years.
On November 18, 1988, the U.S. Congress enacted the Child Protection and Obscenity
Enforcement Act (18 U.S.C. 2251-2256) that made it unlawful to use a computer to transmit
advertisements for or visual depictions of child pornography and it prohibited the buying,
selling, or otherwise obtaining temporary custody or control of children for the purpose
of producing child pornography.
On November 29, 1990, the U.S. Congress enacted 18 U.S.C. 2252 making it a federal crime
to possess three or more depictions of child pornography that were mailed or shipped in
interstate or foreign commerce or that were produced using materials that were mailed or
shipped by any means, including by computer.
With the passage of the Telecommunications Act of 1996, (18 U.S.C. 2422) it is a federal
crime for anyone using the mail, interstate or foreign commerce, to persuade, induce, or
entice any individual younger than the age of 18 to engage in any sexual act for which the
person may be criminally prosecuted.
The Child Pornography Prevention Act of 1996 amends the definition of child pornography to
include that which actually depicts the sexual conduct of real minor children and that
which appears to be a depiction of a minor engaging in sexual conduct. Computer,
photographic, and photocopy technology is amazingly competent at creating and altering
images that have been "morphed" to look like children even though those
photographed may have actually been adults. People who alter pornographic images to look
like children can now be prosecuted under the law."
Tras esto, crea 3 entradas en el registro de Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
- "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce - "2"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - "Fua"
Una de las características más llamativa es su "campaña" contra la pedofilia.
Si encuentra en el sistema archivos de extensión .jpg o .jpeg que correspondan a ciertos
criterios identificables con fotos de menores las envía a una lista de direcciones de
correo electrónico de agencias en contra de la pornografía infantil en un mensaje como
el siguiente:
Asunto: RE: Child Pornography
Cuerpo: Hi, this is Antipedo2001. I have found a PC with known Child Pornography files on
the hard drive. I have included a file listing below and included a sample for your
convenience.
En este mensaje se adjunta un ejemplo de los archivos encontrados, y un listado de
directorios.
Además de esto, cambia la página de inicio del Internet Explorer para que apunte a la
página del creador del virus.
Como otra rutina adicional, el gusano modifica algunas entradas de registro para
deshabilitar algunas funciones de sonido del sistema:
HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\.Default\.Current\
HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\SystemHand\.Current\
HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\SystemQuestion\.Current\
HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\SystemExclamation\.Current\
HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\SystemAsterisk\.Current\
HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\Open\.Current\
HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\Close\.Current\
Estas no son las únicas modificaciones que realiza al registro de Windows, donde también
agrega las siguientes entradas:
HKEY_CURRENT_USER\Software\Poly\DATE1
HKEY_CURRENT_USER\Software\Poly\DATE2
|
|
|
|
Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí.Pasos para eliminar el virus:
1) Abrir el REGEDIT.EXE y eliminar las siguientes claves de registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce - "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce - "2"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - "Fua"
HKEY_CURRENT_USER\Software\Poly\DATE1
HKEY_CURRENT_USER\Software\Poly\DATE2
2) Reiniciar el equipo.
3) Ejecutar un antivirus actualizado y eliminar los archivos que detecte como infectados.
Para restaurar la configuración de sonido:
1) Ir a Inicio -> Configuración -> Panel de Control
2) Haga doble click sobre el ícono Sonidos.
3) En donde dice Combinaciones, seleccione de la lista desplegable, la opción que desee
utilizar. Por defecto, Windows utiliza la llamada "Predeterminado de Windows"
|
|
|
|
|
| Agregado el: 26/05/2001 |
|
| Modificado el: // |
|
|
|
|
 |
W32/Cuydoc: Solo infecta versiones en Español de Windows. Es capaz de eliminar todos los archivos .doc de Mis documentos y copiarse a la unidad A: si algún disquete es encontrado.  |
|
| W32/IRCBot.B: Se trata de una variante de la familia SDBot. Fue detectado propagándose a través del correo electrónico, como spam, pero no tiene ninguna rutina para propagarse por ese medio. En cambio, puede ser distribuido a través de los canales de IRC. |
|
|
|
 |
Virus más reportados en los últimos 30 días:
|
|
|
 |
|
Podés incorporar nuestras noticias y alertas en tu sitio:
|
|
|
0
|
