Mostrando mensaje 8     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 959 - Año 7 - Viernes 21 de febrero de 2003 Fecha: Viernes, 21 de Febrero, 2003  11:13:51 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 959 - Año 7 - Viernes 21 de febrero de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - OpenSSL ya no es tan seguro... 2 - Múltiples vulnerabilidades en Oracle 3 - VBS/Kingpdt. Borra archivos AVI, MOV, MP3, MPEG, etc. 4 - W32/Lovgate.B. Gusano y caballo de Troya 5 - W32/Eissa. Intenta propagarse vía KaZaa _____________________________________________________________ 1 - OpenSSL ya no es tan seguro... _____________________________________________________________ http://www.vsantivirus.com/vul-open-ssl.htm OpenSSL ya no es tan seguro... Por Redacción VSAntivirus vsantivirus@videosoft.net.uy SSL (Secure Sockets Layer), es un protocolo de seguridad estándar que proporciona privacidad para datos y mensajes, y que permite autenticar los datos enviados. Básicamente se utiliza para transmitir información personal de los usuarios a través de Internet, incluidas transacciones comerciales. Generalmente las direcciones de páginas Web que utilizan conexiones SSL, comienzan con ‘https:’ en lugar del estándar ‘http:’. Cuando visitamos un sitio protegido por SSL, un pequeño candado suele ser mostrado en la parte inferior del navegador. Investigadores suizos, han demostrado sin embargo, que es posible descubrir en menos de una hora la contraseña utilizada por cualquier visitante al conectarse a un sitio Web de venta comercial o cuenta de correo electrónico. Esta vulnerabilidad en el software OpenSSL, podría haber permanecido mucho tiempo sin ser descubierta. Sin embargo, una vez conocida, es muy fácil implementar algún exploit que se aproveche de ella. "Somos los primeros en haber descubierto esta vulnerabilidad en el protocolo SSL, el procedimiento de seguridad utilizado más habitualmente para las transacciones a través de Internet", afirmó en un comunicado el director del laboratorio de seguridad y criptografía de la Escuela Politécnica Federal de Lausana (EPFL), Serge Vaudenay. El OpenSSL group, ya tiene disponible una nueva versión del software (la 0.9.7a), la cuál soluciona esta falla. "Concretamente hemos desarrollado un programa que nos permite interceptar la contraseña de una persona utilizando un programa de comunicación segura por SSL", explicó Vaudenay. Los científicos se conectaron al programa haciéndose pasar por el usuario. Así, pueden leer los correos electrónicos o realizar transacciones financieras en su nombre. Sin embargo, también aclaran que esta falla no se aplica a transacciones con tarjetas de crédito, ya que los bancos y sitios que manejan comercio electrónico, suelen utilizar un tipo diferente de tecnología basada en protocolos SSL, afirman los investigadores que descubrieron la falla. Se utilizan varios tipos de algoritmos en la tecnología SSL para manejar información codificada. El tipo de protocolo vulnerable, es el utilizado generalmente en opciones de Webmail (correo electrónico vía Web, al estilo de Hotmail por ejemplo). La solución pasa por la actualización a la versión OpenSSL 0.9.7a. Más información sobre las actualizaciones: http://www.openssl.org/ Fuentes: The Common Vulnerabilities and Exposures project http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0078 Security Advisory: http://www.openssl.org/news/secadv_20030219.txt (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Múltiples vulnerabilidades en Oracle _____________________________________________________________ http://www.vsantivirus.com/vul-oracle.htm Múltiples vulnerabilidades en Oracle Por Alejandro Germán Rodríguez (*) Peligros_en_la_red-owner@onelist.com De acuerdo a un reciente aviso de seguridad de The CERT Coordination Center (CERT/CC), Oracle database posee múltiples vulnerabilidades de desbordamiento de búfer, lo que podría permitir la ejecución de código arbitrario y la consiguiente capacidad por parte de un atacante de leer, modificar y borrar información sensible. Asimismo permitiría lanzar ataques de negación de servicios. Se encuentran afectados: - Oracle9i (actualización 1 y 2) - Oracle8i v8.1.7 - Oracle8 v8.0.6 - Oracle9i Application Server (actualiz. 9.0.2 y 9.0.3). Oracle recomienda, a los administradores de sistemas que utilicen los programas afectados, la instalación de los parches correspondientes, mientras tanto se sugiere: - Deshabilitar los servicios Oracle innecesarios. - Ejecutar los servicios Oracle con los menores privilegios posibles. - Restringir el acceso desde la red a los servicios Oracle. Los parches se puede obtener de la página de soporte a clientes desde: http://metalink.oracle.com/ Las múltiples fallas detectadas se describen (en inglés) desde: Desbordamiento de búfer en el parámetro DIRECTORY de Oracle9i Database Server: http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf Desbordamiento de búfer en la función TZ_OFFSET de Oracle9i Database Server: http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf Desbordamiento de búfer en la función TO_TIMESTAMP_TZ de Oracle9i Database Server: http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf Desbordamiento de búfer en ORACLE.EXE de Oracle9i Database Server: http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf Dos vulnerabilidades en Oracle9i Application Server http://otn.oracle.com/deploy/security/pdf/2003alert52.pdf Fuente: http://www.cert.org/advisories/CA-2003-05.html (*) Alejandro Germán Rodriguez mantiene la lista de seguridad "Peligros en la Red", y es un asiduo colaborador de VSAntivirus. http://es.egroups.com/group/Peligros_en_la_red ICQ # 44796626 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - VBS/Kingpdt. Borra archivos AVI, MOV, MP3, MPEG, etc. _____________________________________________________________ http://www.vsantivirus.com/kingpdt.htm Nombre: VBS/Kingpdt Tipo: Gusano de Visual Basic Script Alias: Kingpdt Plataforma: Windows 32-bits Tamaño: 11793 bytes Fecha: 19/feb/03 Este gusano, escrito en Visual Basic Script, se propaga con gran rapidez a través del correo electrónico, canales de chat (mIRC, pIRCh y vIRC), y redes de intercambio de archivos Peer-To-Peer (BearShare, eDonkey 2000, Grokster, ICQ, KaZaa, LimeWire, etc.). Vía e-mail, puede usar una de las siguientes opciones para sus mensajes: Opción 1: Asunto: Fit to be King? Datos adjuntos: SURVEY.VBS Texto del mensaje: Are you fit to be King? Read this file to find out :) Opción 2: Asunto: Sent file Datos adjuntos: FILE1.VBS Texto del mensaje: Hello, Here is the file that you asked for yesterday. Opción 3: Asunto: Wanted file Datos adjuntos: IMPORTANT.VBS Texto del mensaje: Hello readers, This is the file that a lot of people have been asking for. I will only send this file once, SO please don't ask for this file again. Opción 4: Asunto: The sample Datos adjuntos: SAMPLE.VBS Texto del mensaje: Here is that sample that you asked for. Please email me back and tell me what you think :) Si en la computadora infectada, se encuentra el mIRC, el gusano crea un archivo SCRIPT.INI con las instrucciones para propagarse a si mismo. También busca la presencia del cliente pIRCh. Si lo encuentra, modifica el archivo EVENTS.INI, con las mismas intenciones que en el caso del mIRC. Si en la computadora infectada está instalado el programa vIRC (Virtual IRC), el gusano crea la siguiente entrada en el Registro: HKU\.Default\Software\meGALiTH Software \Visual IRC96\Events\Event17 Con ello se envía a todos los usuarios que participen de los mismos canales de chat. Para propagarse a través de los programas de intercambio de archivos (BearShare, eDonkey 2000, Grokster, ICQ, KaZaa, LimeWire, etc.), todos los archivos que encuentra en los siguientes directorios, son reemplazados por el código del gusano: c:\archivos de programa\bearshare\shared c:\archivos de programa\edonkey2000\incoming c:\archivos de programa\gnucleus\downloads c:\archivos de programa\gnucleus\downloads\incoming c:\archivos de programa\grokster\my grokster c:\archivos de programa\icq\shared files c:\archivos de programa\kazaa lite\my shared folder c:\archivos de programa\kazaa\my shared folder c:\archivos de programa\limewire\shared c:\archivos de programa\morpheus\my shared folder c:\archivos de programa\shareaza\downloads c:\kazaa\my shared folder c:\my documents\my music c:\my downloads c:\my music c:\mymusic Además de ello, cada vez que el gusano se ejecuta, es capaz de sobrescribir con su propio código todos los archivos con las siguientes extensiones de la máquina infectada: .ART .AVI .DIR .GIF .JPE .JPEG .JPG .MOV .MP2 .MP3 .MPE .MPEG .MPG .PIC .PNG .TIF .TIFF .URL Los archivos así modificados, son irrecuperables, puesto que su código es suplantado por el del gusano, borrándose el contenido original. El gusano cambia también la extensión original de estos archivos por la de .VBS. Normalmente, este gusano no muestra ningún mensaje ni aviso cuando se ejecuta. La única advertencia (además de la que produzca un antivirus actualizado monitoreando), es la imposibilidad de abrir archivos con las extensiones mencionadas, quedando además inutilizables al cambiar su extensión original por la .VBS. Cuando se ejecuta por primera vez, el gusano crea el siguiente archivo en la carpeta raíz de todas las unidades de disco locales: C:\UNISNTALL.VBS Ese archivo en realidad es una copia del propio gusano. Además crea los siguientes archivos: C:\Windows\System\ABOUT.VBE C:\Windows\System\MSUPDT32.VBS C:\Windows\System\MSUPDT32C.VBS Este último archivo en ocasiones se crea también en la carpeta Windows: C:\Windows\MSUPDT32C.VBS Además, crea estos archivos, todos copias del propio gusano: C:\Windows\System\CABFLDR32.VBS C:\Windows\System\INSTMGR.VBS C:\Windows\System\MSINET32.VBS C:\Windows\System\OCXMGR32.VBS C:\Windows\System\SETUPMGR.VBS C:\Windows\System\WININET.VBS C:\Windows\System\WSRVC32.VBS C:\Windows\System\WUNSTC32.VBS En ocasiones, esos archivos se copian alternativamente en la carpeta Windows: C:\Windows\CABFLDR32.VBS C:\Windows\INSTMGR.VBS C:\Windows\MSINET32.VBS C:\Windows\OCXMGR32.VBS C:\Windows\SETUPMGR.VBS C:\Windows\WININET.VBS C:\Windows\WSRVC32.VBS C:\Windows\WUNSTC32.VBS Crea además la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Registry = wscript.exe %sysdir%MSUpdT32.vbs %1 Una vez infectado un equipo, el gusano se reenvía a todos los contactos de la libreta de direcciones del Outlook, en mensajes como los ya descriptos. Para no despertar sospechas, esta acción se realiza en etapas, con poca cantidad de usuarios por vez. * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: Registry 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Lovgate.B. Gusano y caballo de Troya _____________________________________________________________ http://www.vsantivirus.com/lovgate-b.htm Nombre: W32/Lovgate.B Tipo: Gusano de Internet y caballo de Troya de acceso remoto (RAT) Alias: WORM_LOVGATE.B, LOVGATE.B, Worm.Supnot, W32/Lovgate.worm Plataforma: Windows 32-bits Tamaño: 84,992 bytes Fecha: 19/feb/03 Se trata de una variante del Lovgate.A, gusano con características de caballo de Troya de acceso remoto, del tipo backdoor (acceso clandestino por una "puerta trasera"). Esta versión, copia en la computadora infectada un troyano robador de contraseñas. Se propaga a través de los recursos de carpetas compartidas. Como troyano, compromete la seguridad general del sistema. Crea el archivo C:\Windows\System\Win32vxd.dll, un robador de contraseñas (identificado por algunos antivirus como "PWSteal.Trojan"). Win32vxd.dll crea además estos archivos, los cuales contienen la información obtenida por este troyano: C:\Windows\System\Win32pwd.sys C:\Windows\System\Win32add.sys Además, crea los siguientes archivos, necesarios para sus rutinas de troyano, aunque totalmente inocentes por si solos (normalmente no son identificados como infectados): C:\Windows\System\ily.dll C:\Windows\System\task.dll C:\Windows\System\reg.dll El gusano crea múltiples copias de si mismo en el directorio System de Windows, con alguno de los siguientes nombres: C:\Windows\System\WinRpcsrv.e C:\Windows\System\syshelp.exe C:\Windows\System\winrpc.exe C:\Windows\System\WinGate.exe C:\Windows\System\rpcsrv.exe Se agrega al registro, creando la siguiente entrada. Esto le permite autoejecutarse cada vez que Windows se reinicie: HKLM\Software\Microsoft\Windows\CurrentVersion\Run syshelp = C:\Windows\System\syshelp.exe WinGate initialize = C:\Windows\System\WinGate.exe - remoteshell Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Luego cambia el archivo de inicio de Windows WIN.INI, alterando la entrada "Run" bajo la etiqueta "[windows]": [Windows] Run = rpcsvr.exe Además modifica las entradas por defecto en las siguientes claves del registro, de modo que se ejecuta cada vez que el usuario intenta abrir un archivo de texto haciendo doble clic sobre él (.TXT): HKLM\Software\Classes\txtfile\shell\open\command (Predeterminado) = winrpc.exe %1 HKEY_CLASSES_ROOT\txtfile\shell\open\command (Predeterminado) = winrpc.exe %1 En cada carpeta y subcarpeta compartidas, el gusano crea una copia de si mismo con los siguientes nombres: billgt.exe card.exe crklist.exe docs.exe docs.exe fun.exe hamster.exe humor.exe images.exe joke.exe LUPdate.exe midsong.exe news_doc.exe pack.exe patch.exe pics.exe PsPgame.exe roms.exe s3msong.exe searchURL.exe setup.exe sex.exe source.exe ssrv.exe stg.exe syshelp.exe tamagotxi.exe wingate.exe winrpc.exe Cuando se ejecuta el componente troyano, éste abre el puerto 10168 por defecto, e inmediatamente envía notificaciones a las siguientes direcciones de correo electrónico, pertenecientes al atacante remoto. De ese modo le envía a éste el aviso de que la computadora infectada está on-line y puede ser accesada: 54love@fescomail.net hacker117@163.com Mediante comandos enviados por el intruso a través del puerto abierto, se puede obtener toda la información sensible de la computadora atacada, además de poder modificar la configuración del propio troyano. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\System\WinRpcsrv.e C:\Windows\System\syshelp.exe C:\Windows\System\winrpc.exe C:\Windows\System\WinGate.exe C:\Windows\System\rpcsrv.exe C:\Windows\System\Win32vxd.dll C:\Windows\System\Win32pwd.sys C:\Windows\System\Win32add.sys C:\Windows\System\ily.dll C:\Windows\System\task.dll C:\Windows\System\reg.dll Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \CLASSES \txtfile \shell \open \command 3. Pinche en la carpeta "command" y en el panel de la derecha busque la siguiente entrada: (Predeterminado) = winrpc.exe %1 4. Haga doble clic sobre "(Predeterminado)", y cambie el valor mostrado en el punto 3 (en "Información del valor") por el siguiente: C:\WINDOWS\NOTEPAD.EXE %1 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \txtfile \shell \open \command 6. Pinche en la carpeta "command" y en el panel de la derecha busque la siguiente entrada: (Predeterminado) = winrpc.exe %1 7. Haga doble clic sobre "(Predeterminado)", y cambie el valor mostrado en el punto 3 (en "Información del valor") por el siguiente: C:\WINDOWS\NOTEPAD.EXE %1 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 9. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas: syshelp WinGate initialize Module Call initialize 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [Windows] Run = rpcsvr.exe Debe quedar como: [Windows] Run = 3. Grabe los cambios y salga del bloc de notas. 4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Eissa. Intenta propagarse vía KaZaa _____________________________________________________________ http://www.vsantivirus.com/eissa.htm Nombre: W32/Eissa Tipo: Gusano de Internet (P2P) y caballo de Troya. Alias: Win32.Eissa, Win32/Eissa.Worm, W32.HLLW.Eissa, Worm.P2P.Cassidy Plataforma: Windows 32-bits Fecha: 19/feb/03 Este gusano utiliza la red de intercambio de archivos entre usuarios KaZaa. En algunas configuraciones el gusano no funciona correctamente debido a pequeñas incompatibilidades que el autor no tuvo en cuenta. Cuando se ejecuta por primera vez, el gusano muestra un falso mensaje de error, basado en la aplicación WinZip. La intención de esto es distraer la atención del usuario, quien seguramente pensará que el archivo .ZIP descargado de Internet está corrupto. En realidad, al mostrar el siguiente mensaje, el gusano ya se ha activado: WinZip Self-Extractor Bad CRC checksum, terminating extraction. If the file was downloaded please download it again. [ OK ] En sistemas Windows 95, 98 y Me, el gusano intentará registrarse a si mismo como un proceso de servicio (disponible para todos los perfiles de usuarios). Luego se copia a si mismo en el directorio de Windows con el siguiente nombre: C:\Windows\CassieWorm.exe Luego, crea las siguientes claves en el registro para la ejecución del gusano cada vez que Windows se reinicie: HKLM\Software\Microsoft\Windows\CurrentVersion\Run CassieWorm = C:\Windows\CassieWorm.exe "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). El gusano crea también la carpeta "Shared Folder" desde "C:\Windows", y se copia allí con los siguientes nombres: C:\Windows\Shared Folder\aim utilities.exe C:\Windows\Shared Folder\cable modem ultility pack.exe C:\Windows\Shared Folder\counterstrike hack pack.exe C:\Windows\Shared Folder\diablo 2 maphack.exe C:\Windows\Shared Folder\diablo 2 pindlebot.exe C:\Windows\Shared Folder\email forger.exe C:\Windows\Shared Folder\grand theft auto 3 key generator.exe C:\Windows\Shared Folder\hacking utilities.exe C:\Windows\Shared Folder\jamella's diablo 2 editor.exe C:\Windows\Shared Folder\kazaa participation hack.exe C:\Windows\Shared Folder\macromedia dreamweaver key generator.exe C:\Windows\Shared Folder\playstation 2 emulator fanix.exe C:\Windows\Shared Folder\pop-up killer.exe C:\Windows\Shared Folder\serials 2k.exe C:\Windows\Shared Folder\warcraft 3 maphack.exe C:\Windows\Shared Folder\winamp plugin pack.exe C:\Windows\Shared Folder\windows xp key generator.exe C:\Windows\Shared Folder\winzip full version key generator.exe Luego, modifica las entradas en el registro para configurar dicha carpeta y su contenido, como compartida con otros usuarios del KaZaa. De ese modo, toda conexión hecha luego, recibe un virus si descarga y ejecuta sin precauciones cualquier archivo desde Internet. Los cambios en el registro son: HKCU\Software\Kazaa\LocalContent Dir0 = 012345:\Shared Folder DisableSharing = 0 Para asegurase de que el KaZaa se ejecute en cada reinicio de Windows, el gusano crea también la siguiente entrada en el registro. La forma de indicar el camino y nombre del programa, causa que en algunas versiones de Windows, esta acción falle: HKLM\Software\Microsoft\Windows\CurrentVersion\Run KAZAA = \Kazaa.exe /SYSTRAY También intenta enviar una notificación en un e-mail encriptado al supuesto autor del gusano, a una dirección de Hotmail, usando su propio motor SMTP (no depende del cliente de correo instalado). El gusano tiene una única rutina destructiva (ya activada). Si el día 14 de febrero de 2003, se ejecutaba después de las 7.20 de la mañana, el gusano borraba todos los archivos de todos los directorios de todas las unidades de discos locales. Sin embargo, si se altera la fecha de la computadora, siempre existe la posibilidad de la ejecución accidental de dicha rutina. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\CassieWorm.exe También borre la carpeta "Shared Folder" y todo su contenido: C:\Windows\Shared Folder Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas: CassieWorm KAZAA 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 959 - Año 7 - Viernes 21 de febrero de 2003