| Asunto: | VSantivirus No. 963 - Año 7 - Martes 25 de febrero de 2003 | | Fecha: | Martes, 25 de Febrero, 2003 22:28:06 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 963 - Año 7 - Martes 25 de febrero de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - SSL: una falla imposible de implementar en el mundo real
2 - W32/Lovgate.C. Variante de gran propagación
3 - VBS/Clyon. Asunto: Saludos, adjunto: Iesrack.vbs
_____________________________________________________________
1 - SSL: una falla imposible de implementar en el mundo real
_____________________________________________________________
http://www.vsantivirus.com/vul-open-ssl2.htm
SSL: una falla imposible de implementar en el mundo real
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Según expresa en VIRUSPROT.COM el especialista en SSL, D.
Daniel Calzada, Ingeniero de Telecomunicaciones de la
Universidad Politécnica de Madrid, la vulnerabilidad
anunciada hace unos días en dichos protocolos por el equipo
del profesor Serge Vaudenay del Instituto Federal de
Tecnología de Suiza en Lausana, en realidad sería
irreproducible en la vida real (ver "OpenSSL ya no es tan
seguro...", http://www.vsantivirus.com/vul-open-ssl.htm).
Esta falla permitiría a un atacante obtener la contraseña de
un usuario que realizase su actividad a través de una
conexión segura por SSL. SSL es el sistema más utilizado para
asegurar las transacciones a través de Internet, el protocolo
de seguridad SSL (Secure Socket Layer) era considerado hasta
la fecha inviolable.
Aunque quienes anunciaron las fallas ya comentaban que la
versión vulnerable no es la utilizada en la mayoría de las
transacciones comerciales y compras on-line, VIRUSPROT.COM
quiso conocer la opinión de un especialista en dicho
protocolo, D. Daniel Calzada del Fresno, Ingeniero de
Telecomunicaciones de la Escuela Universitaria de Informática
de la Universidad Politécnica de Madrid y miembro de la Red
Temática Iberoamericana de Criptografía y Seguridad de la
Información - CriptoRed -.
Según se reproduce en el artículo original
(http://www.virusprot.com/Nt240242.html), para que el
atacante tenga éxito ha de situarse como "hombre en el
medio", entre el cliente y el servidor. El atacante
intercepta el bloque que quiere descifrar (donde se supone
que va la clave, el número de tarjeta de crédito o el dato
oportuno). El atacante construye un bloque "falso" que envía
al servidor. El servidor devuelve al atacante un error. El
atacante trabaja sobre el mensaje de error producido por el
servidor para poder intentar descifrar el mensaje original
interceptado. Utilizando dos formas "diccionario" y "fuerza
bruta", se podría terminar descifrando el bloque original.
Para ello se han de cumplir ciertas premisas: El bloque
interceptado ha de ser siempre idéntico (el mismo) y hay que
capturarlo un gran número de veces.
Según explican los investigadores suizos, las pruebas que han
efectuado se han desarrollado de la siguiente manera: Un
cliente de correo POP3 como el Outlook Express 6.x se conecta
a un servidor IMAP mediante una conexión segura, y está
configurado de tal manera que cada 5 minutos el cliente va al
servidor a ver si hay correo. Por tanto cada cinco minutos le
envía el mismo bloque en el que va la password y que ellos
recogen para trabajar sobre él y descifrarlo. Para
interceptarlo o "ponerse en el medio" utilizan la técnica del
DNS spoofing (envenenamiento de la RAM del DNS, donde se
sustituye una dirección IP por otra; en este caso se suponen
que suplantan al servidor visto desde el cliente). No queda
muy claro si ellos usan DNS spoofing o se ponen de verdad en
medio para hacer los experimentos y dicen que en Internet
(como ponerse en el medio es poco menos que irrealizable) se
podría usar DNS Spoofing.
En opinión de D. Daniel Calzada llevar a la práctica un
ataque de este tipo en Internet en una transacción web
cualquiera es poco menos que casi imposible (por poner un
grado de probabilidad de realización) por las siguientes
razones:
- En las transacciones web con https o SSL no se repite un
idéntico bloque un determinado número de veces. Cuando un
cliente entra a un banco lo intenta unas cuantas veces y
suponiendo que no se pueda no sigue "cada minuto" probando
como ellos han hecho con el correo. El supuesto y chasqueado
atacante no capturará tantos bloques idénticos como para
poder llegar a descifrarlos.
- El proceso de un envenenamiento DNS por Spoofing es hoy día
muy improbable, los modernos servidores de DNS previenen este
tipo de ataques. El atacante ha de engañar al cliente para
dar la impresión de situarse en el "medio". Me parece una
posibilidad fantasiosa. Otra fantasía: Imaginemos a un
becario administrador de un DNS en una compañía de
comunicaciones (que provee acceso a Internet) un sábado por
la tarde arrancando un DNS trucado, en sustitución del
oficial de la compañía, para poder pillar a los usuarios (que
apuntan al DNS de su proveedor de acceso) que en ese momento
se conecten a los bancos a ver si les pilla la password y les
limpia la cuenta.
- Por último, parece que el fallo depende del "producto" que
implementa el protocolo SSL, y no del propio protocolo SSL,
pues en la nueva versión de OpenSSL (la 0.9.7a que se publicó
el 19 de febrero del presente) ellos mismos (los de la
Politécnica de Laussane) dicen que el problema está
arreglado. ¿Han arreglado también la implementación del SSL
en el Outlook Express y en el IMAP? ¿Alguien conoce como
implementa SSL el producto de Microsoft? ¿Alguien ha visto
las fuentes? ¿Hay diferencias en las implementaciones del SSL
y sin embargo son compatibles?. Demasiadas preguntas,
indefiniciones e inexactitudes.
Para Calzada, bien podría existir una probabilidad real de
realizar el ataque que se indica, pero el experimento cuando
se intenta sacar "del laboratorio" (y seguramente también de
los productos de Microsoft) y llevarlo a la realidad de la
RED es poco menos que IRREPRODUCIBLE.
Aunque quienes lo anunciaron, enfatizaron el peligro que esto
podría significar para las transacciones bancarias en todo el
mundo (según cita textual de la noticia: "Los investigadores
demostraron que es posible descubrir en menos de una hora la
contraseña utilizada por un internauta para conectarse a un
sitio web de venta comercial o cuenta bancaria on-line").
Las conclusiones del especialista Calzada en VIRUSPROT.COM,
son que a su modo de ver el usuario final no tiene que
preocuparse, sus movimiento bancarios, realizados con https
no peligran (al menos por este tipo de ataques).
* Relacionados:
OpenSSL ya no es tan seguro...
http://www.vsantivirus.com/vul-open-ssl.htm
Transactions via Internet:
des chercheurs de l'EPFL font sauter le verrou de sécurité
http://www.epfl.ch/pressinfo/welcome.php?action=display&rep=
Communiques/2003/02.2003/&fic=Communiques/2003/02.2003/
ssl.txt&read_file=ssl.txt
Password Interception in a SSL/TLS Channel
http://lasecwww.epfl.ch/memo_ssl.shtml
* Artículo original:
La explotación de la vulnerabilidad en SSL en la realidad es
irreproducible
http://www.virusprot.com/Nt240242.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Lovgate.C. Variante de gran propagación
_____________________________________________________________
http://www.vsantivirus.com/lovgate-c.htm
Actualización de la descripción: 25/feb/02
Nombre: W32/Lovgate.C
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
(RAT)
Plataforma: Windows 32-bits
Tamaño: 78,848 bytes
Fecha: 24/feb/03
Alias:
I-Worm.Supnot
I-Worm.Supnot.C
Lovgate
Lovgate.C
Supnot
Troj/Lovgate.C
W32.HLLW.Lovgate.B@mm
W32.HLLW.Lovgate.C@mm
W32.HLLW.Lovgate@mm
W32/LoveGate
W32/Lovgate.a@M
W32/LovGate.B
W32/Lovgate.B@m
W32/Lovgate.C
W32/Lovgate.c@M
W32/Lovgate.C@mm
W32/LovGate.C-m
W32/Lovgate.worm
W32/Lovgate@M
W32/Lovgate-B
Win32.Lovgate.C
Win32.LovGate.C@mm
Win32/LovGate.C.Worm
Win32/Lovgate.C@mm
Worm.Supnot
worm.W32/Lovgate.gen@M
WORM_LOVGATE.C
Escrito en Visual C++, se trata de una variante del Lovgate.A
(http://www.vsantivirus.com/lovgate-a.htm), gusano con
características de caballo de Troya de acceso remoto, del
tipo backdoor (acceso clandestino por una "puerta trasera").
De esta variante se han detectado una gran cantidad de
infecciones, sobre todo en Asia, según informó Trend Micro.
Los niveles de propagación en países de habla hispana han
sido muy pocos (al 24/feb/03). Los países más activos según
MessageLabs son: Sudáfrica, Reino Unido, Alemania, Estados
Unidos, Italia, Bélgica y China.
A diferencia de sus versiones anteriores, esta variante
utiliza una técnica de ingeniería social que aumenta su
propagación, aunque no es el primer gusano que apela a ella.
El virus, responde en forma automática a los mensajes
recibidos por la víctima infectada, agregándose él mismo como
adjunto. Esto, aumenta las posibilidades de que el receptor
de este mensaje abra y ejecute el adjunto, ya que pensará se
trata de una respuesta legítima.
En este punto insistimos en la regla más básica y fundamental
para protegernos de los virus: no abrir adjuntos no
solicitados, sin importar quien los manda.
LovGate posee características de caballo de Troya, junto con
la posibilidad de propagarse como un gusano. Como troyano,
compromete la seguridad general del sistema.
El gusano crea múltiples copias de si mismo en recursos
compartidos en red (carpetas y subcarpetas de todas las
unidades compartidas), así como discos locales.
A través del correo electrónico, se envía a si mismo como
respuesta automática a todo mensaje recibido por el usuario
infectado en el Outlook y Outlook Express, con el siguiente
mensaje:
De: [nombre del usuario infectado]
Para:
Asunto: RE: [asunto original]
Texto:
"<nombre del usuario infectado>" wrote:
====================================================
> [mensaje al que se responde]
> [cada línea precedida del caracter ">"]
> [si el mensaje es más largo de 512 caracteres...]
> [lo corta y agrega puntos suspensivos]
...
====================================================
[dominio del remitente] account auto-reply:
' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '
> Get your FREE [dominio del remitente] account now! <
El nombre del adjunto, es el mismo de alguna de las copias
que intenta crear en las carpetas de los recursos
compartidos.
Además de esa técnica, el gusano también intenta enviarse
como adjunto, a direcciones obtenidas de archivos HTML
(.HT*), ubicados en cualquiera de los directorios actuales,
de Windows, y Mis documentos. En estos casos, utiliza
alternativamente, uno de los siguientes mensajes:
Asunto: Documents
Texto del mensaje: Send me your comments
Datos adjuntos: Docs.exe
Asunto: Roms
Texto del mensaje: Test this ROM! IT ROCKS!
Datos adjuntos: Roms.exe
Asunto: Pr0n!
Texto del mensaje:
Adult content!!! Use with parental advisory.
Datos adjuntos: Sex.exe
Asunto: Evaluation copy
Texto del mensaje: Test it 30 days for free.
Datos adjuntos: Setup.exe
Asunto: Help
Texto del mensaje:
I'm going crazy... please try to find the bug!
Datos adjuntos: Source.exe
Asunto: Beta
Texto del mensaje:
Send reply if you want to be official beta tester.
Datos adjuntos: _SetupB.exe
Asunto: Do not release
Texto del mensaje: This is the pack ;)
Datos adjuntos: Pack.exe
Asunto: Last Update
Texto del mensaje: This is the last cumulative update.
Datos adjuntos: LUPdate.exe
Asunto: The patch
Texto del mensaje: I think all will work fine.
Datos adjuntos: Patch.exe
Asunto: Cracks!
Texto del mensaje: Check our list and mail your requests!
Datos adjuntos: CrkList.exe
El gusano crea también, múltiples copias de si mismo en el
directorio System de Windows, con alguno de los siguientes
nombres:
C:\Windows\System\WinRpcsrv.e
C:\Windows\System\syshelp.exe
C:\Windows\System\winrpc.exe
C:\Windows\System\WinGate.exe
C:\Windows\System\rpcsrv.exe
Se agrega al registro, creando la siguiente entrada. Esto le
permite autoejecutarse cada vez que Windows se reinicie:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
syshelp = C:\Windows\System\syshelp.exe
WinGate initialize = C:\Windows\System\WinGate.exe -remoteshell
Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden
variar de acuerdo al sistema operativo instalado (con esos
nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
Luego cambia el archivo de inicio de Windows WIN.INI,
alterando la entrada "Run" bajo la etiqueta "[windows]":
[Windows]
Run = rpcsvr.exe
Además modifica las entradas por defecto en la siguiente
clave del registro, de modo que se ejecuta cada vez que el
usuario intenta abrir un archivo de texto haciendo doble clic
sobre él (.TXT):
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Predeterminado) = winrpc.exe %1
En Windows NT 4.0, 2000, y XP, el gusano copia alguno de los
siguientes DLL:
ily.dll
reg.dll
task.dll
1.dll
Estos archivos son todos copias similares, y son detectados
como Troj/Lovgate.A.
El gusano crea también un servicio llamado "Windows
Management Extension" con el comando "Rundll32.exe Task.dll
ondll_server". También invoca las ordenes "Rundll32.exe
ily.dll ondll_install" y "Rundll32.exe ily.dll ondll_reg"
para instalarse y registrarse como proceso. También crea la
entrada en el registro para cargarse en cada reinicio de
Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg"
El virus intenta además conectarse a máquinas remotas a
través de recursos IPC$, utilizando aleatoriamente las
siguientes cadenas de texto para logearse como administrador:
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
Si logra autenticarse, el gusano se copia a si mismo como
STG.EXE en la carpeta \admin\system32\ de la máquina remota.
Luego lanza dicho archivo como un servicio llamado "Microsoft
NetWork Services FireWall" en el equipo remoto, y procede a
desconectar a la computadora remota de la red cancelando la
conexión actual.
El gusano crea luego al menos 100 threads (hilos), de su
rutina de infección (100 rutinas de infección ejecutándose en
forma independiente). Genera un thread cada 200 segundos y
utiliza semáforos para llevar la cuenta de números de threads
creados.
Luego, examina la presencia de la siguiente rama del
registro:
HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
Si la encuentra, entonces el gusano se copia en el directorio
System de Windows con el siguiente nombre:
C:\Windows\System\ssrv.exe
En computadoras corriendo Windows 95, 98 y Me, el gusano
esconde su presencia registrándose a si mismo como un proceso
de servicio.
Para ello crea un evento llamado "My I-WORM-and-IPC-20168
running!". Esto le sirve como una referencia en ejecuciones
posteriores del gusano para avisarle que ya está instalado en
la memoria.
Además de todo lo anterior, en cada carpeta y subcarpeta
compartidas, el gusano crea una copia de si mismo con los
siguientes nombres:
billgt.exe
card.exe
crklist.exe
docs.exe
docs.exe
fun.exe
hamster.exe
humor.exe
images.exe
joke.exe
LUPdate.exe
midsong.exe
news_doc.exe
pack.exe
patch.exe
pics.exe
PsPgame.exe
roms.exe
s3msong.exe
searchURL.exe
setup.exe
sex.exe
source.exe
ssrv.exe
stg.exe
syshelp.exe
tamagotxi.exe
wingate.exe
winrpc.exe
Cuando se ejecuta el componente troyano, éste abre el puerto
10168 por defecto, e inmediatamente envía notificaciones a
las siguientes direcciones de correo electrónico,
pertenecientes al atacante remoto. De ese modo le envía a
éste el aviso de que la computadora infectada está on-line y
puede ser accesada:
54love@fescomail.net
hacker117@163.com
Mediante comandos enviados por el intruso a través del puerto
abierto, se puede obtener toda la información sensible de la
computadora atacada, además de poder modificar la
configuración del propio troyano.
* Herramientas para quitar el W32/Lovgate de un sistema
infectado
BitDefender
Descargue "antilovgate-en.exe" de este enlace (55 Kb) y
ejecútelo en su sistema:
http://www.videosoft.net.uy/antilovgate-en.exe
(*) AntilovGate es Copyright (C) BitDefender 2003.
Symantec
Descargue la utilidad "FixLGate.exe" (167 Kb) y ejecútela en
su sistema:
http://securityresponse.symantec.com/avcenter/FixLGate.exe
(*) FixLGate es Copyright (C) Symantec 2003.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows\1.dll
C:\Windows\ily.dll
C:\Windows\reg.dll
C:\Windows\System\rpcsrv.exe
C:\Windows\System\ssrv.exe
C:\Windows\System\syshelp.exe
C:\Windows\System\WinGate.exe
C:\Windows\System\winrpc.exe
C:\Windows\System\WinRpcsrv.e
C:\Windows\task.dll
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\txtfile
\shell
\open
\command
3. Pinche en la carpeta "command" y en el panel de la derecha
busque la siguiente entrada:
(Predeterminado) = winrpc.exe %1
4. Haga doble clic sobre "(Predeterminado)", y cambie el
valor mostrado en el punto 3 (en "Información del valor") por
el siguiente:
C:\WINDOWS\NOTEPAD.EXE %1
5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre las siguientes entradas:
syshelp
WinGate initialize
Module Call initialize
7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
Run = rpcsvr.exe
Debe quedar como:
[Windows]
Run =
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualización:
25/feb/02
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - VBS/Clyon. Asunto: Saludos, adjunto: Iesrack.vbs
_____________________________________________________________
http://www.vsantivirus.com/clyon.htm
Nombre: VBS/Clyon
Tipo: Gusano de Visual Basic Script
Alias: VBS.Clyon@mm, Bloodhound.VBS.Worm
Tamaño: 3,494 bytes
Plataforma: Windows 32-bits
Fecha: 21/feb/03
Este gusano, escrito en Visual Basic Script, se envía en
forma masiva a todos los contactos de la libreta de
direcciones de Windows utilizando el Microsoft Outlook y
Outlook Express.
El mensaje está en español, y presenta las siguientes
características:
Asunto: Saludos
Datos adjuntos: Iesrack.vbs
Texto del mensaje:
Hola:
Aquí le adjunto mi Curriculum Vitae... Gracias.
El gusano, además de propagarse, tiene una peligrosa rutina
que se ejecuta el día 1 de diciembre de cualquier año. Si se
ejecuta en esa fecha, entonces el gusano borra todos los
archivos de la carpeta "C:\misdoc~1" (C:\Mis Documentos).
Cuando el gusano se ejecuta, hace lo siguiente:
Primero, se copia a si mismo como IESRACK.vbs en:
C:\Windows\Help\IESRACK.vbs
Después agrega el siguiente valor al registro para
autoejecutarse en cada próximo reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
TavoScript = wscript.exe C:\Windows\Help\IESRACK.vbs
El gusano intenta también copiarse a si mismo a la unidad de
disquete, utilizando uno de los siguientes nombres:
Analisis exaustivo en el lobulo central del cerebro.doc.vbs
Aviso.doc.vbs
Britney spears.wav.vbs
Caratula.cdr.vbs
Estado de cuentas.doc.vbs
Estimados señores.doc.vbs
Importante.txt.vbs
Inventario de los.doc.vbs
Juego.exe.vbs
Leeme.txt.vbs
Lista de cumpleaños.doc.vbs
Matricula de alumnos.xls.vbs
Niños de 2 años.doc.vbs
Planilla general.xls.vbs
Rackcrack.exe.vbs
Relación.doc.vbs
Sexo.jpg.vbs
Solicitud.doc.vbs
Sunat.xls.vbs
Wd19.tmp.vbs
Chequea la presencia del valor "correo" en la siguiente clave
del registro:
HKEY_CURRENT_USER\software\TavoScript
Si ese valor no existe, o existe con un valor diferente a 1,
entonces el gusano se envía a todos los contactos de la
libreta de direcciones, utilizando el Outlook u Outlook
Express, en un mensaje como el descripto antes.
Luego del envío, el gusano crea la clave "correo" con un
valor de "1":
HKEY_CURRENT_USER\software\TavoScript\
correo = 1
Si el día del mes es 11, entonces el gusano muestra una
ventana con el siguiente mensaje:
VBScript: RackCrack el gran ratius
RackCrack nunca estuvo de parranda, solo
analizaba su plan...ractil !
[ OK ]
Si la fecha es 1 de diciembre, como explicábamos antes, el
gusano borra todos los archivos de la carpeta "Mis
Documentos" (C:\misdoc~1).
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\help\iesrack.vbs
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguientes
entrada:
TavoScript
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\software
\TavoScript
5. Pinche en la carpeta "TavoScript" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 963 - Año 7 - Martes 25 de febrero de 2003
|
VSantivirus No. 96
Responder a este mensaje
