Mostrando mensaje 125     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1076 Año 7, Miércoles 18 de junio de 2003 Fecha: Miercoles, 18 de Junio, 2003  22:51:07 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1076 Año 7, Miércoles 18 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Múltiples vulnerabilidades y XSS en Kerio MailServer 2 - W32/Sobig.D. Texto: "See the attached file for details." 3 - VBS/Pinprick.A. Adjunto: "Winhtm32.html" 4 - W32/Randex.C. Se propaga por redes, se controla por IRC _____________________________________________________________ 1 - Múltiples vulnerabilidades y XSS en Kerio MailServer _____________________________________________________________ http://www.vsantivirus.com/vul-keriomail-xss.htm Múltiples vulnerabilidades y XSS en Kerio MailServer Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Reportado por David F. Madrid idoru@videosoft.net.uy Kerio MailServer es un servidor de correo catalogado como "seguro", que brinda soporte para múltiples dominios. Soporta los protocolos POP3, IMAP, SMTP, SMTPAuth, SMS, Webmail, WAPMail MS Active Directory, incluso con encriptación SSL. David F. Madrid, redactor de Nautopía y colaborador de VSAntivirus, ha reportado múltiples vulnerabilidades en el componente Webmail que Kerio MailServer instala en el puerto 80. Estas fallas pueden permitir a un intruso que mantenga una cuenta en un servidor con este software, secuestrar la sesión de usuario y hasta ejecutar código en el sistema con privilegios de System (control total sobre el sistema). Estos son los módulos vulnerables: * Módulo DO_SUBSCRIBE Un nombre de usuario demasiado extenso provoca una total corrupción de la pila (una porción de la memoria disponible para un programa utilizada para guardar parámetros, variables, etc.): http://[server]/do_subscribe?showuser=AAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA En este caso se puede sobrescribir el puntero de instrucción EIP de un proceso del programa (los tres primeros bytes). El registro EIP es un puntero de instrucciones (registro índice), que al ejecutarse el código de un programa, le indica al procesador la dirección de memoria en que se encuentra la siguiente instrucción que será ejecutada dentro de dicho segmento de código. Con cada instrucción que se ejecute, este registro (en circunstancias normales), se actualiza automáticamente. Con esta falla se puede ejecutar código con privilegios de System. * Módulo ADD_ACL Debido a un insuficiente filtrado de los caracteres en las variables de una petición HTTP cuyo contenido aparece por pantalla, se puede inyectar un script en el contexto de la página: http://[server]/add_acl?folder=~conde0@localhost /INBOX&add_name=<script>alert(document.cookie); </script> Si se utiliza como carpeta "~admin@localhost/INBOX", se puede lograr que el servidor se congele al pulsar en el enlace. Por otra parte, el mismo desbordamiento de búfer se produce al utilizar un nombre de usuario extremadamente largo, lo que parece indicar que la misma función es la culpable del fallo: http://[server]/add_acl?folder=~AAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA @localhost/INBOX&add_name=lucas * Módulo LIST Se produce el mismo desbordamiento de búfer: http://[Server]/list?folder=~AAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA@localhost/INBOX * Módulo DO_MAP Cómo en un caso anterior, un pobre filtrado de los caracteres usados por las variables de la petición HTTP que aparece por pantalla, habilita la inyección de un script en el contexto de la página. Además puede producirse un desbordamiento de búfer similar a los anteriores. http://[Server]/do_map?action=new&oldalias=eso &alias=<script>alert(document.cookie); </script>&folder=public&user=tro http://[Server]/do_map?action=new&oldalias=eso& alias=aaa&folder=public&user=AAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAA Debido a la posibilidad de incluir el exploit en la URL (dirección de la página), un intruso que no tenga acceso al Webmail puede construir un enlace con el código a ejecutar, y esperar que sea pulsado por alguien que tenga abierta una sesión en un servidor Kerio MailServer. Son afectadas las versiones 5.6.3 de Kerio MailServer (la última al momento actual). El vendedor fue avisado oportunamente. Créditos: David F. Madrid <idoru@videosoft.net.uy> * Referencias: http://nautopia.iespana.es/nautopia/vulnerabilidades/kerio_mailserver.htm http://www.kerio.com/kms_home.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Sobig.D. Texto: "See the attached file for details." _____________________________________________________________ http://www.vsantivirus.com/sobig-d.htm Nombre: W32/Sobig.D Tipo: Gusano de Internet Alias: SOBIG.D, W32.Sobig.D@mm, W32/Sobig.d@MM, W32/Sobig.D- mm, Win32/Sobig.D, WORM_SOBIG.D, Win32.HLLM.Reteras.4, I- Worm.Sobig.gen, Win32/Sobig.D, I-Worm.Sobig.d Fecha: 18/jun/03 Plataforma: Windows 32-bit Tamaño: 57,856 bytes Se trata de una nueva versión del Sobig, y ha sido detectada por primera vez el 18 de junio de 2003. Los primeros reportes indican que se propaga simulando ser un mensaje enviado por una dirección falsa (admin@support.com). Pero puede ser cualquier otra dirección también falsa. La infección ocurre solo si el usuario hace doble clic sobre el adjunto. Se recomienda actualizar las bases de datos de sus antivirus, que ya han actualizado las mismas para reconocer esta versión. El gusano está compilado en Microsoft Visual C ++ (MSVC) y comprimido con una versión modificada de la herramienta UPX, con la intención de dificultar su detección. El gusano busca archivos con las extensiones .DBX, .EML, .HTM, .HTML, .TXT y .WAB, en todos los discos duros, para extraer direcciones de correo a las que luego se enviarán los mensajes infectados. Esas extensiones incluyen además de páginas Web en archivos temporales, las bases de mensajes y los mensajes del Outlook Express y la libreta de direcciones de Windows. Para enviarse por correo, el gusano utiliza su propio motor SMTP, no dependiendo del cliente de correo instalado. Los mensajes enviados poseen las siguientes características: Como remitente, utiliza una dirección falsa. Puede ser la siguiente o cualquier otra obtenida en la máquina infectada: admin@support.com Texto del mensaje (siempre el mismo): See the attached file for details. Como asunto, uno de los siguientes al azar: Application Ref: 456003 Re: Accepted Re: App. 00347545-002 Re: Documents Re: Movies Re: Screensaver Re: Your application Re: Your Application (Ref: 003844) Your Application Como datos adjuntos, el gusano con alguno de los siguientes nombres. Accepted.pif app003475.pif Application.pif Application844.pif Applications.pif Document.pif movies.pif ref_456.pif Screensaver.scr Los archivos PIF (Windows Program Information), normalmente son archivos utilizados para almacenar información relacionada con la ejecución de los programas DOS, pero también pueden incluir código en formatos EXE, COM o BAT en su interior, el cuál puede ser ejecutado por el propio PIF. En este caso son .EXE renombrados como PIF. Para el sistema operativo esto no hace diferencia, y son ejecutados directamente si el usuario hace doble clic sobre ellos. Esta versión también utiliza adjuntos con extensión .SCR. Por un error en el código, en algunos clientes de correo el adjunto quedará renombrado como .PI o .SC, siendo en ese caso inofensivo. También pueden recibirse mensajes del gusano sin adjunto alguno. Para seleccionar sus destinatarios, el gusano busca direcciones en la máquina infectada, dentro de archivos con las siguientes extensiones: .dbx .eml .htm .html .txt .wab El gusano puede provocar mensajes de errores, ya que al enviar sus mensajes puede hacerlo a la propia computadora infectada, incluso con la propia dirección del usuario infectado, como explicamos antes. Crea los siguientes archivos, algunos copias de si mismo, otros usados para guardar las direcciones obtenidas en la máquina infectada, a las que luego se envía: c:\windows\cftrb32.exe c:\windows\dftrn32.dat c:\windows\rssp32.dat El gusano modifica el registro para autoejecutarse en la máquina infectada al reiniciarse ésta: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SFtrb Service = c:\windows\cftrb32.exe Si el sistema operativo es Windows NT, 2000 o XP, también agrega este valor: HKCU\Software\Microsoft\Windows\CurrentVersion\Run SFtrb Service = c:\windows\cftrb32.exe NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Si la fecha actual es anterior a la indicada como 04-07-2003 (2 de julio de 2003), cada 30 minutos el gusano enumera las carpetas compartidas en red, y si tiene los permisos, intentará propagarse a través de recursos compartidos en redes, a otras computadoras, a los siguientes recursos compartidos: C$ D$ E$ IPC$ Windows 95, 98 y Me: C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio Windows XP y 2000: C:\Documents and Settings \All Users\Menú Inicio\Programas\Inicio Windows NT: C:\WinNT\Profiles \All Users\Menú Inicio\Programas\Inicio Las computadoras así infectadas, cargarán al gusano en memoria cuando las mismas sean reiniciadas. En ocasiones, se copia en los directorios raíz o en la carpeta actual. El gusano tiene como fecha de desactivación el 2 de julio de 2003, por lo que podría estar activo hasta el 1/jul/03. Sin embargo, puede ser actualizado descargando archivos de diferentes sitios. Para esto, el gusano abre los siguientes puertos de comunicación: 995 996 997 998 999 Por ello recibe información de un usuario remoto, con los enlaces a los sitios que luego se conectará para descargar otros archivos, incluidas actualizaciones de si mismo. Esta versión además, intenta conectarse a servidores NTP (Network Time Protocol). Estos servidores son utilizados para sincronizar la hora de la computadora o servidor con los de otro servidor de referencia. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: cftrb32.exe; dftrn32.dat; rssp32.dat 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione Todos los archivos y carpetas 3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente: cftrb32.exe; dftrn32.dat; rssp32.dat 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SFtrb Service 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (podría no existir): SFtrb Service 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - VBS/Pinprick.A. Adjunto: "Winhtm32.html" _____________________________________________________________ http://www.vsantivirus.com/pinprick-a.htm Nombre: VBS/Pinprick.A Tipo: Gusano de Internet (VBS) Alias: VBS.Pinprick@mm, Bloodhound.VBS.Worm, VBS/Pinprick@mm, I.worm.pinprick.@mm Fecha: 17/jun/03 Plataforma: Windows 32-bit Gusano que se propaga masivamente por correo electrónico e infecta archivos con extensión .HTM y .VBS. Utiliza Microsoft Outlook u Outlook Express para propagarse. El correo viene con asunto variable, un texto cualquiera extraído de otros mensajes ya enviados por el usuario infectado, y un adjunto de nombre Winhtm32.html. El mensaje recibido tiene uno de estos asuntos: Backup data Email changes File backup Hello Jokes Just a reply MP3s New document New domain New download New email New file New login New password New sign up New spreadsheet New webpage Nothing Special Notice Password confirmation Re: Reminder Some documents Some news Some notes Uninstall information Webpage builder El asunto también puede estar formado por la combinación de los elementos [A] + [B], donde [A] es una de las siguientes palabras: Business Confidential Email Printer Web Webpage y [B] una de estas: documents files folders guides notes overview passwords scripts spreadsheets summary tools Por ejemplo: Email documents Web folders El texto del cuerpo del mensaje es extraído de otros mensajes ya enviados por el usuario infectado, tomados de la bandeja de "Elementos enviados" del programa de correo. Esto hace que muchas veces el usuario sea engañado más fácilmente para abrir el adjunto, ya que puede tratarse de un tema afín y por lo general en su idioma, o que al menos despierte su curiosidad. Datos adjuntos: Winhtm32.html Cuando se abre el adjunto, se ejecuta el script de Visual Basic y el gusano se envía a si mismo a todos los contactos de la libreta de direcciones de Windows, utilizando las funciones MAPI del programa de correo instalado. MAPI (Messaging Application Programming Interface) es una interface de programación para aplicaciones que gestionan correo electrónico, servicios de mensajería, trabajos en grupo, etc. También se copia en las carpetas de inicio de Windows: * Carpetas de inicio por defecto: Windows 95, 98 y Me: C:\WINDOWS\Menú Inicio\Programas\Inicio\Winwsh32.vbs Windows XP y 2000: C:\Documents and Settings \[usuario]\Menú Inicio\Programas\Inicio\Winwsh32.vbs Windows NT: C:\WinNT\Profiles \[usuario]\Menú Inicio\Programas\Inicio\Winwsh32.vbs Y en la carpeta de Windows: c:\windows\Login32.vbs c:\windows\Winmsgc.vbe c:\windows\Winmsgc32.vbs c:\windows\Winmsgc.vbe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Se agrega luego a todos los archivos con extensión .VBS, .HTM y .HTML, los que busca en todas las carpetas de todos los discos duros locales y unidades compartidas en red. Un error en su código, hace que el gusano falle en ocasiones al intentar agregarse a los mensajes que envía. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Repare (y borre) los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: Winhtm32.html; Winwsh32.vbs; Login32.vbs; Winmsgc.vbe; Winmsgc32.vbs; Winmsgc.vbe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: Winhtm32.html; Winwsh32.vbs; Login32.vbs; Winmsgc.vbe; Winmsgc32.vbs; Winmsgc.vbe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Randex.C. Se propaga por redes, se controla por IRC _____________________________________________________________ http://www.vsantivirus.com/randex-c.htm Nombre: W32/Randex.C Tipo: Gusano Alias: W32.Randex.C Tamaño: 40,960 bytes Plataforma: Windows 32-bit Fecha: 18/jun/03 Este gusano se propaga a través de redes, copiándose a si mismo en los siguientes caminos: \Admin$\system32\msmonk32.exe \c$\winnt\system32\msmonk32.exe Tiene capacidades de troyano, y puede recibir instrucciones desde un canal de IRC (Internet Relay Chat) específico. Una de esas instrucciones es la que ocasiona la propagación a través de los recursos mencionados. Cuando se ejecuta por primera vez, se copia en la siguiente ubicación: c:\windows\System\gesfm32.exe NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Luego calcula direcciones IP al azar para seleccionar la computadora a infectar. Intenta autenticarse en cada dirección IP creada, usando uno de las siguientes contraseñas: [solo Enter] 1 111 123 1234 123456 654321 admin asdf asdfgh root server !@#$ !@#$% !@#$%^ !@#$%^& !@#$%^&* Luego se copia a si mismo en las computadoras cuyas contraseñas de administrador sean débiles en la siguiente ubicación, donde [IP] es la dirección IP autenticada: \\[IP]\Admin$\system32\msslut32.exe \\[IP]\c$\winnt\system32\msslut32.exe Para ejecutar el gusano, crea una tarea programada, y también agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Microsoft Netview = c:\windows\System\gesfm32.exe Finalmente se conecta a un canal de IRC específico para recibir instrucciones remotas. Entre ellas las que le permiten propagarse a otros recursos compartidos como vimos al principio. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: msslut32.exe; msmonk32.exe; gesfm32.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: msslut32.exe; msmonk32.exe; gesfm32.exe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Netview 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1076 Año 7, Miércoles 18 de junio de 2003