From jrodri en iie.edu.uy  Wed Jan  2 15:39:20 2002
From: jrodri en iie.edu.uy (Javier Rodriguez)
Date: Fri Jul 16 17:28:40 2004
Subject: 
In-Reply-To: <200112312132.fBVLWu8I020847@mail.tecnet.com.uy>
Message-ID: <Pine.BSF.4.21.0201021532300.71996-100000@ampere.iie.edu.uy>


Llegó un correo a la lista del nib de parte del destinatario de éste.

Si bien el antivirus no lo detectó, sospecho que es un VIRUS por ser un
archivo adjunto con extensión .mp3.pif, sin asunto y sin texto.

FELIZ AÑO.

Javier



From gcoppola en adinet.com.uy  Thu Jan  3 11:32:08 2002
From: gcoppola en adinet.com.uy (Gustavo Coppola)
Date: Fri Jul 16 17:28:40 2004
Subject: =?iso-8859-1?Q?C=F3digo_de_correo_infectado.?=
Message-ID: <001101c19463$b47627c0$4f3602c8@daniloco>

Es para que vean lo fácil que es infectarse si reciben un mail o incluso si
entran a un sitio web con este código html. Por eso, es imprescindible bajar
e instalar el sp2 del internet explorer 5 o 5.5 (ver código al final del
correo).
Fijense que se declara un marco (iframe) cuyo contenido es el archivo con
extensión .pif que viene en el  attach, pero se lo declara como archivo de
audio.  Al simplemente ver el mail infectado en el panel de vista previa, el
outlook express que usa al internet explorer para renderizar la página, al
mostrar el marco automáticamente ejecuta el virus.
Espero que esto los convenza de que si no actualizan el explorer, van a
seguir expuestos a este tipo de virus... e infectando a todos sus conocidos
(no es el primer mail que llega con este virus a la lista)
Disculpen lo técnico del asunto en esta época del año, pero quienes hayan
abierto el mail, se infectaron si su antivirus no lo detectó.
Y LO MÁS IMPORTANTE: quienes tienen el virus, además infectan a todos
quienes estemos en alguna lista en común.
Cualquier duda a las ordenes.


Content-Type: text/html;
   charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML>
<HEAD></HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0></iframe>
</BODY>
</HTML>

Content-Type: audio/x-wav;
  name="Sorry_about_yesterday.MP3.pif"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

< ACÁ VA EL CÓDIGO DEL EJECUTABLE ATTACHEADO >




From gcoppola en adinet.com.uy  Thu Jan  3 11:32:21 2002
From: gcoppola en adinet.com.uy (Gustavo Coppola)
Date: Fri Jul 16 17:28:40 2004
Subject: 
References: <Pine.BSF.4.21.0201021532300.71996-100000@ampere.iie.edu.uy>
Message-ID: <001201c19463$b6648a40$4f3602c8@daniloco>

Lamento decirles que el mail está armado para que quienes no tengan
instalado el service pack 2 de internet explorer y lo abran con outlook o
outlook express, el virus se activa con solo mirarlo en la vista previa.
Para quienes no se les detectó el virus, actualicen el antivirus o mejor
aún, bajen de symantec la herramienta para removerlo.
Para todos los que tengan internet explorer 5 o 5.5, bajen el service pack 2
e instalenlo, sinó va a ser fácil seguir contagiándose con nuevos virus que
usen este mecanismo de infección.
Les mando otro mail con el código para hacer un mail infeccioso, para que
vean lo choto del mecanismo de infección (no se preocupen, no va el virus)

                    Gustavo Coppola

> Llegó un correo a la lista del nib de parte del destinatario de éste.
>
> Si bien el antivirus no lo detectó, sospecho que es un VIRUS por ser un
> archivo adjunto con extensión .mp3.pif, sin asunto y sin texto.
>
> FELIZ AÑO.
>
> Javier




From _carcalvo en adinet.com.uy  Fri Jan 18 16:12:03 2002
From: _carcalvo en adinet.com.uy (Carlos Calvo)
Date: Fri Jul 16 17:28:41 2004
Subject: 
Message-ID: <3C0E8A010036EE26@correo.adinet.com.uy> (added by postmaster@correo.adinet.com.uy)

Saltado el tipo de contenido multipart/alternative------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : audio/x-wav
Tamaño     : 29020 bytes
Descripción: no disponible
Url        : http://www.fing.edu.uy/pipermail/nib-l/attachments/20020118/fbec947b/attachment.wav
------------ próxima parte ------------

From jrodri en iie.edu.uy  Fri Jan 18 16:34:27 2002
From: jrodri en iie.edu.uy (Javier Rodriguez)
Date: Fri Jul 16 17:28:41 2004
Subject: VIRUS A LA LISTA
Message-ID: <Pine.BSF.4.21.0201181631510.43528-100000@ampere.iie.edu.uy>


Gente del NIB:
Gente cuidado con un correo enviado por Carlos Calvo, al parecer tiene
virus.


Carlitos:
Poné tu máquina en cuarentena y revisala bien. El antivirus no me dijo
cual es el virus exactamente.

Suerte

Javier


From gcoppola en adinet.com.uy  Thu Jan 24 22:34:40 2002
From: gcoppola en adinet.com.uy (Gustavo Coppola)
Date: Fri Jul 16 17:28:41 2004
Subject: VIRUS A LA LISTA
References: <Pine.BSF.4.21.0201181631510.43528-100000@ampere.iie.edu.uy>
Message-ID: <001d01c1a540$7641d380$726a28c8@mipc>

La gente vuelve de las vacaciones y se infecta con el bad trans.   
El virus original fue el que recibimos a principio de año.. por favor, lean mi explicacion anterior y tomen las medidas necesarias TODOS los que usen internet explorer y outlook express.... El mail de Carlos Calvo es el tercero con virus.
                   
                    Gustavo Coppola


 
> Gente del NIB:
> Gente cuidado con un correo enviado por Carlos Calvo, al parecer tiene
> virus.
> 
> 
> Carlitos:
> Poné tu máquina en cuarentena y revisala bien. El antivirus no me dijo
> cual es el virus exactamente.
> 
> Suerte
> 
> Javier