| Asunto: | VSantivirus No. 2014 Año 10, viernes 13 de enero de 20 06 | | Fecha: | Viernes, 13 de Enero, 2006 07:42:51 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 2014 Año 10, viernes 13 de enero de 2006
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Phising, spam y virus. Los más malos de 2005
2 - Thunderbird 1.5 versión final corregida y aumentada
3 - Locksky.AB. Acceso remoto, se propaga por e-mail
4 - Exploit.WMF. Detección para exploit archivos WMF
_____________________________________________________________
1 - Phising, spam y virus. Los más malos de 2005
_____________________________________________________________
http://www.vsantivirus.com/mm-malos-2005.htm
Phising, spam y virus. Los más malos de 2005
Por Mercè Molist (*)
colaboradores@videosoft.net.uy
Los virus y el "phishing" (mensajes que simulan venir de una
entidad bancaria) han sido lo peor de 2005, junto al aumento
de redes de ordenadores asaltados para mandar estos virus,
fraudes y correo basura. Destaca la aparición de un nuevo
ataque, el "pharming", y la creciente motivación económica de
los criminales informáticos.
Las estadísticas de los centros españoles de atención a
incidencias (CERTs) son claras: en 2005, las peores amenazas
han sido los virus, gusanos y troyanos, el "phishing", los
accesos ilegales a ordenadores mediante códigos maliciosos,
ataques de fuerza bruta para romper contraseñas débiles y
escaneos a puertos con fallos conocidos, los ataques a
servidores web, especialmente PHP, y los bombardeos.
Nada nuevo bajo el sol, dice Chelo Malagón, del IRIS-CERT:
"Se confirma la tendencia de atacar a usuarios finales,
conectados permanentemente y poco protegidos. Esto hace que
el número de ordenadores asaltados sea mayor y los ataques
realizados con ellos, más masivos. También se ha
intensificado la venta de listados de equipos comprometidos y
el acceso a servicios de comercio electrónico, para obtener
información de sus usuarios".
Manuel García-Cervigón, del esCERT, añade: "El "phishing" se
ha duplicado y ha aparecido una nueva modalidad, el
"pharming", que consiste en llevar a los usuarios a webs
falsas, manipulando el sistema de nombres de dominio (DNS).
La ingeniería social continua siendo la artimaña más
utilizada. Muchos virus, el "phishing" y el "pharming" se
están sirviendo de estos métodos".
El "pharming" aparecía públicamente en abril, cuando diversos
ataques aprovechaban fallos de servidores Microsoft para
redirigir a los usuarios de 700 sitios, como
Americanexpress.com, Cnn.com o Msn.com, a webs falsas donde
les introducían programas espía. Cuando el usuario tecleaba
una dirección en su navegador, el servidor DNS atacado
("envenenado", en la jerga) le llevaba al destino falso.
El objetivo era recolectar información de las víctimas para
venderla a emisores de correo basura. Un ejemplo más de la
creciente motivación económica de los criminales electrónicos
y de su uso e interrelación de distintos ataques. Si antes se
creaban virus o se asaltaban ordenadores por diversión, ahora
se hace para robar información y tomar el control de estos
equipos, creando redes de cientos de miles que se venderán o
alquilarán, para enviar correo basura, programas espía y más
virus.
La existencia de estas redes de ordenadores esclavos se ha
confirmado en 2005, con diversas redadas. En octubre, la
policía holandesa detenía a tres hombres, responsables de una
red con más de 100.000 equipos comprometidos. En España, las
acciones policiales se han centrado en el "phishing", la
pornografía infantil y los virus.
En enero, la Guardia Civil detenía en Écija a A.R.B., de 20
años, presunto autor del virus Tasin. Días después, caía en
Madrid J.A.S., de 37 años, acusado de difundir un troyano en
las redes P2P, para robar datos bancarios. En junio, la
Policía Nacional detenía al conocido "P.Power", de 26 años,
quien creaba y distribuía códigos que rompían las
protecciones de programas comerciales. En Málaga, caía una
banda de 310 nigerianos que enviaban mensajes anunciando
premios de lotería falsos.
También ha dado qué hablar la sentencia del caso del "Jamón y
el Vino". Después de ocho años de instrucción, un juez
condenaba a dos años de prisión y multa de 300.000 euros a
Fer13 y Maki, por la puesta en circulación de "cracks" y
distribución ilegal de programas en su mítica web. Había sido
el primer gran caso contra la piratería de "software" en la
historia de la red española.
Pero no todo han sido problemas con la ley. Expertos
españoles en seguridad han descubierto fallos de alcance
mundial, como Hugo Vázquez, que ha denunciado
vulnerabilidades en servidores web Cisco y el sistema de
certificación SSL de Verisign. Otro español, Anelkaos,
destapaba un importante agujero en el correo gratuito de
Google, Gmail. Jordi Corrales descubría un fallo en el
cliente de chat mIRC que permitía tomar el control del equipo
afectado.
Las vulnerabilidades en programas han aumentado un 15%, según
esCERT. Las más importantes a nivel de usuario están
relacionadas con Windows (Internet Explorer, Microsoft Office
y Outlook Express), reproductores multimedia y mensajería
instantánea. A nivel de servicios de red, fallos en Windows y
equipos Cisco.
Sube el protagonismo de la seguridad informática en los
medios, que se han hecho eco del "webdefacement" de la web de
Esquerra Republicana de Catalunya, las cámaras de seguridad
abiertas a cualquiera por Internet, el asalto a usuarios
famosos de la operadora T-Mobile y el robo y publicación en
la red de la agenda telefónica de Paris Hilton, el trabajador
de Internet Security Systems que dimitió porque no le dejaban
informar de un agujero en los enrutadores Cisco, o las
afirmaciones y desmentidos sobre el cierre de la legendaria
revista "Phrack", donde este año han publicado artículos
diversos hackers españoles. A nivel más que anecdótico, la
realidad o leyenda urbana del "wannabe" que, en un canal de
chat, quiso borrar el disco duro de un contrincante y acabó
borrando el suyo.
* El año del "phishing"
Este año ha visto la extensión del "phishing" en España, que
ha afectado a la mayoría de entidades bancarias, explica José
María Luque, responsable de seguridad de la Asociación de
Internautas: "Ha evolucionado a gran velocidad, de los
primeros correos con fallos ortográficos a los actuales, que
emulan ventanas con la dirección de la entidad, dan números
de fax para que la víctima envíe sus datos o incluyen falsos
certificados de autenticidad".
Lo último, dice, son "las ofertas falsas de trabajo para
blanquear el dinero obtenido del robo de datos bancarios
mediante "phishing", usando a personas inocentes como
intermediarios para enviar a distintos destinos el dinero
robado. Tenemos un gran listado de personas estafadas de esta
forma".
Según Luque, el 75% de "phishing" ha simulado venir de
entidades bancarias, el 20%, de empresas de subastas e
intercambio de dinero y el 5% de webs falsas de recargas para
móviles: "A principios de 2005 eran ataques esporádicos, en
mayo se duplicaron y desde agosto son continuos. Antes
aprovechaban los fines de semana y días festivos, ahora es
raro que no se produzca un gran ataque casi a diario".
Las entidades más afectadas ha sido BBVA, Caja Madrid,
Bancaja y Banesto. "Sólo Caja Madrid y Ibercaja informaron a
sus clientes por correo ordinario. Todas han puesto en su web
alguna advertencia y cada vez son más rápidas en cerrar las
webs falsas donde los estafadores recolectan los datos. A
principios de 2005, la vida media de una web falsa era de 7 a
12 días. En los últimos meses es de 24 horas a 2 días".
* "Spam" a discreción
El correo basura ha seguido su crecimiento exponencial en
2005. Jesús Sanz de las Heras, del Centro de Comunicaciones
de RedIRIS/Red.es, lo achaca a "los códigos maliciosos,
instalados en PCs con conexión residencial, que pueden
funcionar como un servidor de correo autónomo, distribuyendo
mensajes que simulan proceder de la víctima". El 85% de los
correos basura analizados este año por el Centro de Alerta
Antivirus correspondían a estos virus.
La novedad de 2005 ha sido el aumento de ataques del tipo
"Directory Harvest Attack", para recolectar direcciones a las
que mandar correo basura: "Consiste en enviar decenas de
miles de mensajes a un dominio, con nombres de usuario al
azar. Los que son devueltos como "usuario desconocido" son
rechazados por los "spammers" y el resto son incorporados a
sus bases de datos, como direcciones correctas. Esto
sobrecarga enormemente los servidores de correo", explica el
técnico de RedIRIS.
La lucha contra el "spam" se concentra, por una parte, en
evitar que se envíe más basura desde ordenadores infectados.
Algo difícil, según Sanz de las Heras: "Las operadoras no
quieren controlar el tráfico de correo saliente de las ADSL
residenciales, que en un 100% es malicioso, lo que está
obligando a los destinatarios a bloquearlo".
Pero, para filtrar este tráfico, es necesario identificar a
los emisores, algo también difícil ya que se mezclan emisores
auténticos con emisores atacados. Este año se han afianzado
dos posibles estándares para hacerlo: SPF (Sender Policy
Framework), usado en RedIRIS y avalado por Microsoft y DKIM
(Domain Keys Identified Internet Mail), por Cisco y Yahoo.
El año que viene, dice Sanz de las Heras, aparecerán "nuevos
tipos de "spam" más sociológicos y enfocados a estafas.
También los primeros en Voz IP, cuyas posibilidades para el
"spam" son enormes, como las llamadas automáticas, lo que
generará la recomendación: "Sólo recoja las llamadas de
personas de su confianza", con la diferencia que si no se
cogen se colapsan las terminales y no se pueden recibir
nuevas llamadas".
* Virus por doquier
La producción de código malicioso ha sufrido un espectacular
aumento en 2005, que seguirá el próximo año, asegura Bernardo
Quintero, responsable del servicio VirusTotal de Hispasec
Sistemas: "Los nuevos especimenes y variantes se han
duplicado en el último semestre y sólo este año hemos
analizado más de medio millón de muestras sospechosas".
Los virus han cambiado, afirma: "Hemos asistido a su
profesionalización, enfocada al fraude económico, como el
aumento de troyanos destinados al robo de credenciales de
banca por Internet. Apenas se han dado casos de propagación
masiva, excepto Zotob en agosto y Sober en noviembre, por un
cambio de estrategia: en vez de publicar un gusano que cause
mucho ruido, distribuyen muchas variantes, para dificultar su
detección".
También se han diversificado las vías de contagio: "Aunque el
correo electrónico sigue siendo la principal, se ha visto un
claro aumento de código malicioso que llega a través de
páginas web, dirigido a usuarios con versiones no
actualizadas de Internet Explorer. También ha habido más
gusanos en la mensajería instantánea y siguen apareciendo
pruebas de concepto para teléfonos móviles, un caldo de
cultivo ideal para el código malicioso en un futuro próximo".
Según Quintero, este ha sido el año en que los antivirus han
perdido la guerra: "No dan abasto. El esquema clásico y
reactivo de los antivirus es insuficiente contra la
proliferación actual. Algunas empresas han respondido con
políticas más agresivas, ofreciendo actualizaciones cada
hora. Aún así, no es suficiente. Los usuarios siguen
infectándose debido al aumento y diversidad de código
malicioso. Según nuestras estadísticas, la media de detección
temprana efectiva que ofrecen los antivirus apenas llega a un
50%".
El experto destaca también el aumento de programas espía
comerciales, cuya punta del iceberg ha sido el "rootkit" que
Sony instalaba en los ordenadores que ejecutasen sus CDs:
"Cada vez son más los productos comerciales que incluyen
estas técnicas. No es casualidad que los antivirus hayan
tardado en actualizarse para reconocer este "rootkit". Hay
controversia sobre qué deben detectar los antivirus, en
especial cuando estas tecnologías intrusivas vienen de la
mano de una empresa, lo que se traduce en una falta de
protección para el usuario".
* El último susto del año
Algunos lo han llamado "la pesadilla de Navidad de
Microsoft": el 27 de diciembre, se conocía un grave fallo en
la forma como Windows maneja los archivos Windows Media File
(.WMF). Si se abre o se visualiza una imagen de este tipo que
contenga código malicioso, con Internet Explorer, Outlook, el
visor de fax e imágenes, el Explorador de Windows o el
programa Lotus Notes, abrirá un agujero en el ordenador por
donde podrán entrar virus y otros intrusos. Afecta a todas
las versiones de Windows, desde la 3.0, especialmente XP,
2000 y 2003.
Lo que hace más peligroso el fallo es que sólo mirar una
página web, previsualizar una foto con el programa de correo
o guardarla en el ordenador es suficiente para infectarse,
sin necesidad de abrirla. Las imágenes, con formato .WMF,
llegan enmascaradas como si fuesen los populares .JPG, .GIF o
.DOC, por ejemplo "HappyNewYear.jpg". Ya han aparecido
programas que crean estas imágenes automáticamente, para
usuarios maliciosos inexpertos, quienes después las pondrán
en una web, las enviarán por mensajería instantánea o por
correo.
En los primeros días del año, la alarma se ha extendido por
la red, con cada vez más usuarios y empresas afectados, según
el SANS Institute. Aunque se esperaba que Microsoft
reaccionase con urgencia, la compañía decidió no ofrecer un
parche hasta el 10 de enero y sólo para Windows a partir de
XP. Mientras, los weblogs, listas de correo y avisos de las
empresas de seguridad bullían con nuevas noticias sobre la
multiplicación de código malicioso que aprovechaba esta
vulnerabilidad y el asalto a webs de confianza para colgar en
ellas imágenes infectadas.
Al ser los ataques tan rápidos y diversificados, la mayoría
de programas antivirus no podían detectarlos todos. Además,
coincidía con las vacaciones de Navidad. Muchos usuarios no
estaban al tanto del problema cuando llegaban a sus oficinas
y era más fácil que fuesen víctimas. La primera recomendación
de urgencia de los expertos en seguridad fue que se
inhabilitase la carga de imágenes en los programas afectados.
El 31 de diciembre, el especialista ruso en Windows Ilfak
Guilfanov publicaba un parche para solucionar el problema. Al
no ser un parche oficial de Microsoft, la compañía lo
desaconsejó. Pero, por primera vez en la historia, las
principales empresas y grupos de seguridad, como el Internet
Storm Center, F-Secure o Panda Software, desoyeron a
Microsoft y recomendaron a sus clientes que instalasen el
remedio no oficial. Finalmente, Microsoft publicó su parche
el 5 de enero.
* Estadísticas IRIS-CERT (Enero-Octubre 2005)
Sondeos de puertos ............ 751
Denegación de Servicio (DoS).... 14
Troyanos ........................ 2
Gusanos ....................... 138
Uso no autorizado .............. 19
Acceso no autorizado ........... 67
Otros (warez, phishing, etc.) .. 22
* Sitios recomendados
Kriptópolis
http://www.kriptopolis.org
El santanderino José Manuel Gómez es el padre de esta web,
nacida en 1996, una de las más veteranas dedicadas a informar
en castellano sobre seguridad informática, privacidad,
criptografía, ciberderechos y temas parecidos. Actualmente
reconvertida en un weblog colectivo, ofrece diariamente
información de alta calidad, difícil de encontrar en otros
sitios.
Hispasec
http://www.hispasec.com
Web nacida en 1998, a raíz de la puesta en marcha de un
servicio gratuito inédito en la red española: el boletín
"Una-al-día" que, como su nombre indica, informa diariamente
sobre la actualidad en seguridad informática. La web ofrece
otro servicio gratuito, VirusTotal, al que se pueden mandar
archivos para saber si contienen virus.
VSAntivirus
http://www.vsantivirus.com
Detallado repositorio de información sobre la actualidad en
el mundo de los programas maliciosos, creado desde Uruguay.
Ofrece también artículos generalistas como "Guía rápida para
el blindaje de su PC", "Cómo recuperar archivos borrados" o
"Cómo configurar Zone Alarm". Su boletín diario de alertas
por correo es muy recomendable.
Centro de Alerta Temprana Antivirus
http://alerta-antivirus.red.es
Excelente recurso creado por Red.es que informa en tiempo
real sobre los virus detectados en las redes españolas, con
su nombre, descripción, índice de peligrosidad y
estadísticas. Otras secciones incluyen alertas por correo
electrónico, vulnerabilidades en programas, el "Manual de
seguridad en Internet" o herramientas gratuitas de
protección.
Seguridad Asociación de Internautas
http://seguridad.internautas.org
Información completa y comprensible sobre todo tipo de
temáticas: programas maliciosos, vulnerabilidades,
criptografía, intrusiones, privacidad, correo basura, banca
por Internet. Ofrece noticias diarias sobre seguridad
informática, con especial atención a la red española.
Rompecadenas
http://www.rompecadenas.com.ar
Veterana web argentina especializada en informar sobre los
"hoaxes" o mensajes falsos que circulan por correo
electrónico, como cartas para ayudar a niños enfermos que no
existen, falsas alertas de virus o métodos para hacerse
millonario. Contiene extensa información sobre correo basura,
leyendas urbanas y consejos para no creer todo lo que circula
por la red.
(*) Copyleft 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any medium, provided this notice is
preserved.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Thunderbird 1.5 versión final corregida y aumentada
_____________________________________________________________
http://www.vsantivirus.com/thunderbird-150.htm
Thunderbird 1.5 versión final corregida y aumentada
Por Angela Ruiz
angela@videosoft.net.uy
Ha sido publicada la versión final de Thunderbird 1.5, el
cliente de correo de la fundación Mozilla, el cuál soluciona
un problema de seguridad de algunas versiones anteriores,
además de agregar nuevas características y mejoras (filtros
anti-spam inteligentes, búsqueda rápida de mensajes, vistas
personalizables, etc.)
El problema de seguridad afecta a usuarios de Linux, y ya
había sido corregido en la versión 1.0.7, pero no en las 1.5
betas. El mismo está relacionado con la interpretación de
ciertos URL, y ya había sido solucionado en otros productos
Mozilla (incluidos Firefox y Mozilla Suite).
La vulnerabilidad permite que un URL malicioso pueda ser
utilizado para ejecutar comandos a nivel de consola, con los
privilegios del usuario actual.
URL (Uniform Resources Locator o Localizador Uniforme de
Recursos), es una estandarización de recursos que permite
encontrar determinadas direcciones. Dicho de otra manera, se
trata de un "apuntador" a la ubicación de cualquier archivo,
como por ejemplo una página HTML.
Otros problemas menores, desde simplemente cosméticos hasta
crashes del programa o consumo excesivo de memoria en algunos
escenarios concretos, también fueron solucionados.
* Software vulnerable:
- Thunderbird 0.9
- Thunderbird 1.0
- Thunderbird 1.0.2
- Thunderbird 1.0.5
- Thunderbird 1.0.6
- Thunderbird 1.5 Beta 1
* Software NO vulnerable:
- Thunderbird 1.0.7
- Thunderbird 1.5
* Solución
Actualizarse a las versiones no vulnerables, desde los
siguientes enlaces:
Mozilla Thunderbird 1.5 o superior
http://www.mozilla-europe.org/es/products/thunderbird/
* Relacionados
Thunderbird
http://www.mozilla-europe.org/es/products/thunderbird/
Thunderbird
http://www.mozilla.org/products/thunderbird/
* Más información
URLs passed on the command line are parsed by the shell (bash)
https://bugzilla.mozilla.org/show_bug.cgi?id=307185
Firefox Command Line URL Shell Command Injection
http://secunia.com/advisories/16869/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Locksky.AB. Acceso remoto, se propaga por e-mail
_____________________________________________________________
http://www.vsantivirus.com/locksky-ab.htm
Nombre: Locksky.AB
Nombre NOD32: Win32/Locksky.AB
Tipo: Caballo de Troya y gusano de Internet
Alias: Locksky.AB, Backdoor-Server/Locksky.K, BDS/Locksky.K,
Email-Worm.Win32.Locksky.y, Email-Worm.Win32.Locksky.z,
W32/Loosky, W32/Loosky.gen, W32/Loosky-V, Win32.HLLM.Sacho,
Win32.Locksky.Gen@mm, Win32/Locksky, Win32/Locksky.AB,
Win32/Loosky.J!Worm, Worm.Locksky.z, Worm.Win32.Locksky.AB
Fecha: 11/ene/06
Plataforma: Windows 32-bit
Tamaño: 4,946 bytes
Caballo de Troya del tipo multicomponentes, que puede
propagarse como gusano a través del correo electrónico.
Cuando se ejecuta, se mantiene en memoria, habilitando un
servidor clandestino con una puerta trasera que puede
permitir a un usuario remoto tomar el control total del
equipo infectado.
El troyano crea los siguientes archivos:
\[carpeta actual]\temp.bak
\[carpeta actual]\ver
c:\windows\sachostx.exe
c:\windows\system32\attrib.ini
c:\windows\system32\hard.lck
c:\windows\system32\msvcrl.dll
c:\windows\system32\sachostb.exe
c:\windows\system32\sachostc.exe
c:\windows\system32\sachostp.exe
c:\windows\system32\sachosts.exe
c:\windows\system32\sachostw.exe
Crea la siguiente entrada en el registro para autoejecutarse
en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HostSrv = "c:\windows\sachostx.exe"
Utiliza el comando NETSH de Windows, para intentar eludir el
firewall integrado de Windows XP (el parámetro "firewall"
solo funciona en SP2):
netsh firewall set allowedprogram [nombre troyano] enable
El troyano monitorea la apertura de ciertas ventanas de
Internet relacionadas con la banca on-line, etc., e intenta
capturar la información desplegada y la ingresada por el
usuario en ellas (contraseñas, etc.).
La información capturada es almacenada en el archivo
ATTRIB.INI mencionado antes. Estos datos, y los relacionados
con la configuración de la propia computadora infectada, son
enviados a un usuario remoto.
También puede actuar como un servidor proxy, reenviando
información a Internet a través del equipo infectado.
Extrae direcciones electrónicas de varios archivos que busca
en la PC infectada, y las utiliza para reenviarles a cada una
mensajes como el siguiente, con el propio troyano como
adjunto:
Asunto: Your Ebay account is Suspended
Texto del mensaje:
Dear eBay Member,
We regret to inform you that your eBay account could be
suspended if you don't re-update your account information.
To resolve this problem please visit link below and re-
enter your account information to the attached form.
Datos adjuntos: ebay_info.exe
El troyano puede descargar una versión actualizada de si
mismo, desde un servidor predeterminado en su código.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Exploit.WMF. Detección para exploit archivos WMF
_____________________________________________________________
http://www.vsantivirus.com/exploit-wmf.htm
Nombre: Exploit.WMF
Nombre NOD32: Win32/Exploit.WMF
Tipo: Caballo de Troya
Alias: Exploit.WMF, Bloodhound.Exploit.56, CVE-2005-4560,
EXP/MS06-01.WMF, Exp/WMF-A, Exploit.MS05-053,
Exploit.Win32.IMG-WMF, Exploit.Win32.WMF-PFV,
Exploit.WMF.Gen-3, Exploit/MS06-01.WMF, Exploit/WMF, Exploit-
WMF, Not-A-Virus.Exploit.Win32.IMG-WMF,
Trojan.Exploit.Wmfimg, W32/Exploit.Gen, W32/WMF!exploit,
Win32/Exploit.WMF, Win32/Worfo, Win32/Worfo.Variant!Trojan,
WMF.Exploit
Fecha: 28/dic/05
Actualizado: 13/ene/06
Plataforma: Windows 32-bit
Tamaño: varios
Se trata de la detección genérica de archivos Windows
Metafile (WMF), capaces de explotar un problema de seguridad
de Windows en el proceso de archivos de imágenes WMF (Windows
Metafile), para ejecutar código de forma remota o local.
El exploit es utilizado para la descarga y ejecución de
diversos troyanos y otros códigos maliciosos. El escenario
más común para el ataque, son sitios web con enlaces en
etiquetas IFRAME a archivos WMF maliciosos conteniendo el
exploit, pero cualquier otro medio puede ser empleado para el
envío de estas imágenes.
El problema, se produce en GDI32.DLL, el motor de proceso de
gráficos de Windows (Graphics Rendering Engine), y permite la
ejecución de código en Windows, por el simple hecho de
procesar una imagen con formato WMF (aunque tenga otras
extensiones), tanto al visualizar un sitio web, como al abrir
localmente una carpeta que contenga este tipo de archivos. El
vector de ataque conocido en Windows 2000, XP y 2003 es el
visor de imágenes y fax de Windows (SHIMGVW.DLL).
Esto afecta también al explorador de Windows, por el simple
hecho de abrir una carpeta conteniendo archivos WMF
maliciosos.
Otras extensiones conocidas de imágenes (.BMP, .EMF, .GIF,
.ICO, .JPEG, .JPG, .PNG, .TIF, .TIFF), también pueden ser
utilizadas para ataques exitosos, aunque sean archivos .WMF
renombrados.
Microsoft publicó un parche para esta vulnerabilidad, que se
describe en el siguiente artículo:
MS06-001 Vulnerabilidad en motor de gráficos (912919)
http://www.vsantivirus.com/vulms06-001.htm
* Más información:
Todo lo que hay que saber sobre el exploit WMF
http://www.vsantivirus.com/faq-wmf-exploit.htm
Microsoft publica anticipadamente su parche para WMF
http://www.vsantivirus.com/ev-vul-wmf.htm
Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm
* Relacionados:
TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm
* Reparación manual
* IMPORTANTE:
Instalar el siguiente parche si aún no lo ha hecho:
MS06-001 Vulnerabilidad en motor de gráficos (912919)
http://www.vsantivirus.com/vulms06-001.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones de
la mayoría de los fabricantes son diarias. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero
mejor pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 2014 Año 10, viernes 13 de enero de 2006
|
VSantivirus No. 20
Responder a este mensaje
