| Asunto: | VSantivirus No. 2077 Año 10, viernes 17 de marzo de 20 06 | | Fecha: | Viernes, 17 de Marzo, 2006 04:31:43 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 2077 Año 10, viernes 17 de marzo de 2006
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - "Descarga esta tarjeta. No te preocupes por un virus"
2 - Cryzip.A. Pide rescate para recuperar archivos
3 - TrojanDownloader.Small.CNK. Descarga otro troyano
4 - TrojanDropper.Agent.AKR. Libera otros malwares
5 - PcClient.NAF. Permite acceso remoto, instala rootkit
_____________________________________________________________
1 - "Descarga esta tarjeta. No te preocupes por un virus"
_____________________________________________________________
http://www.vsantivirus.com/phis-tarjetas-160306.htm
"Descarga esta tarjeta. No te preocupes por un virus"
Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy
¿Falsas tarjetas virtuales que propagan troyanos?. No debería
ser una novedad.
Hemos insistido casi hasta el aburrimiento en que no debemos
creer que todo lo que nos llega vía Internet y parece un
regalo es bueno. El mensaje dice "Este es un enlace que abre
una pagina web con tu tarjeta. No tienes que preocuparte por
algún virus". Si claro...
Hacer clic en el enlace que muestra este mensaje, no
descargará una tarjeta virtual, sino un troyano que en este
caso NOD32 detecta como variante del Win32/Spy.Agent.CH, un
troyano capaz de robar información de nuestro PC.
Si examinamos la barra de estado, podremos ver que aunque el
enlace parece dirigirnos a http: //
espanol.yahoo.tarjetasnico .com/, en realidad apunta a otro
sitio, en este caso http: // serven1card.????.sapo
.pt/84928413943e8ce915we86-0.scr
Si descargamos "84928413943e8ce915we86-0.scr" y lo abrimos,
entonces corremos el riesgo de ser infectados por el troyano
mencionado. Aún cuando nuestro antivirus en este caso lo
detecta, debemos ser realistas y pensar que no siempre eso
podría ser así.
El tema aquí es -como siempre-, nunca confiar en adjuntos o
enlaces incluidos en cualquier correo electrónico no
solicitado, aunque parezca ser enviado por un conocido.
Esta clase de mensaje -en este caso en español-, suele ser el
más utilizado a la hora de propagar troyanos como Spy.Banker
y otros, que una vez ejecutados intentarán obtener la
información de nuestras cuentas bancarias y tarjetas de
crédito, entre otras acciones.
Pero éste es solo un ejemplo... Hay cientos de variantes
similares.
--- Texto del mensaje original ---
Yahoo! Postales con
!Hola,
ha creado para ti una tarjeta virtual.
Para ver la tarjeta solo tienes que hacer clic en Consultar
tarjeta o Ir aqui y digitar tu numero de tarjeta. Asegurate
de escribir el numero sin espacios. Te recomendamos copiarlo
de este mensaje (Ctrl+C) y pegarlo (Ctrl+V) en la casilla.
Esta es la direccion de la tarjeta que recibiste: http: //
espanol.yahoo.tarjetasnico
.com/consulta.php?tarjeta=84928413943e8ce915we86-0.
Consultar tarjeta
Fecha de envio: 2006-03-13
Numero de tarjeta: 84928413943e8ce915we86-0
Este es un enlace que abre una pagina web con tu tarjeta. No
tienes que preocuparte por algun virus.
Yahoo! Postales con Tarjetasnico.com no envia sus tarjetas
como archivos adjuntos (attachments), solo te muestra la
pagina que renato creo para ti. Recuerda que tu tarjeta
virtual estara en Internet durante dos meses, asi que
asegurate de verla antes de que expire el tiempo.
Que estes bien. :-)
Un saludo de renato y del equipo de TarjetasNico.com
Si necesitas mayor informacion escribe a:
info.yahoo @ tarjetasnico .com. Por favor incluir tu pais de
origen para ofrecerte un mejor servicio.
--- Final del mensaje ---
* Relacionados:
Descarga de troyano en falso mensaje de Microsoft
http://www.vsantivirus.com/phis-banker-150306.htm
Falsa invitación a Windows Live Mail propaga troyano
http://www.vsantivirus.com/phis-wlm-banker-260105.htm
Falso boletín de seguridad que descarga un troyano
http://www.vsantivirus.com/21-12-05.htm
Falso anuncio de parche acumulativo de Microsoft
http://www.vsantivirus.com/20-05-05.htm
¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado!
http://www.vsantivirus.com/lz-ms-adjuntos.htm
Falso boletín de seguridad de Microsoft
http://www.vsantivirus.com/30-06-05.htm
Falso parche de seguridad de Microsoft (Explorer.exe)
http://www.vsantivirus.com/phishing-security-bugfix-3435.htm
Hoaxes
http://www.vsantivirus.com/hoaxes.htm
* Agradecimientos:
A Fernando G. Iuorno
(*) Jose Luis Lopez es el responsable de contenidos de
VSAntivirus.com, y director técnico y gerente general de
NOD32 Uruguay.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Cryzip.A. Pide rescate para recuperar archivos
_____________________________________________________________
http://www.vsantivirus.com/cryzip-a.htm
Nombre: Cryzip.A
Nombre NOD32: Win32/Cryzip.A
Tipo: Caballo de Troya
Alias: CryZip, Cryzip.A, Troj/Zippo-A, TROJ_CRYZIP.A,
Trojan.Cryzip, Trojan.Win32.Cryzip.a, Virus.Win32.Zippo.10,
W32/Zippo.10!tr, Win32.Cryzip.a, Win32.Zippo.10,
Win32/Cryzip.A, Win32/Zippo.10, Zippo.10
Fecha: 16/mar/06
Plataforma: Windows 32-bit
Tamaño: 1,191,936 bytes
Caballo de Troya que al ejecutarse, comprime y encripta con
contraseña, todos los archivos de ciertas extensiones y con
permisos de lectura y escritura, en todas las unidades de
disco que sean accesibles.
Luego, crea en todas las carpetas donde haya encriptado algún
archivo, un texto en el que pide al usuario una determinada
cantidad de dinero a cambio de desencriptar los archivos para
poder recuperarlos.
La contraseña que el troyano utiliza (que nunca es mostrada
al usuario), es la siguiente (sin las comillas):
"C:\Program Files\Microsoft Visual Studio\VC98"
Cuando se ejecuta por primera vez, crea el siguiente archivo
temporal en todas las unidades de disco:
ZIPPO_CRYPTOR.ZIP
También inyecta su componente DLL en todas las aplicaciones
que se estén ejecutando.
Luego, busca archivos con las siguientes extensiones:
.arh
.arj
.asm
.bas
.c
.cdr
.cgi
.cpp
.chm
.db
.db1
.db2
.dbf
.dbt
.dbx
.doc
.dpr
.dsw
.frm
.frt
.frx
.gtd
.gz
.gzip
.jpg
.key
.kwm
.lst
.man
.mdb
.mmf
.mo
.old
.p12
.pak
.pas
.pdf
.pgp
.pl
.pwl
.pwm
.rar
.rtf
.safe
.tar
.txt
.xls
.xml
.zip
Todos los archivos encontrados, son comprimidos en un archivo
.ZIP con la contraseña ya mostrada al comienzo de esta
descripción. Los nuevos archivos tendrán el mismo nombre más
la cadena "_CRYPT_.ZIP":
[nombre de archivo]_CRYPT_.ZIP
El contenido de los archivos originales será suplantado por
el siguiente texto:
Erased by Zippo! GO OUT!!!
También creará en cada carpeta donde haya actuado, el
siguiente archivo:
AUTO_ZIP_REPORT.TXT
Este archivo contiene un texto con las instrucciones para que
la víctima pague al creador del troyano una determinada cifra
a los efectos de poder desencriptar y volver a utilizar sus
archivos.
El texto es el siguiente:
OUR E-GOLD ACCOUNT: [número de cuenta]
INSTRUCTIONS HOW TO GET YUOR FILES BACK READ CAREFULLY. IF
YOU DO NOT UNDERSTAND, READ AGAIN.
This is automated report generated by auto archiving
software.
Your computer catched our software while browsing illigal
porn pages, all your documents, text files, databases was
archived with long enought password.
You can not guess the password for your archived files -
password lenght is more then 10 symbols that makes all
password recovery programs fail to bruteforce it (guess
password by trying all possible combinations).
Do not try to search for a program what encrypted your
information - it is simply do not exists in your hard disk
anymore. If you really care about documents and
information in encrypted files you can pay using electonic
currency $300.
Reporting to police about a case will not help you, they
do not know password. Reporting somewhere about our e-gold
account will not help you to restore files. This is your
only way to get yours files back.
------------------------------
How to pay to get your information back.
1. click on this link to open your free e-gold account -
the first screen is the e-gold "terms and conditions"
page. You need to agree to these by clicking on the "I
AGREE" button on the bottom on the page.
2. On the next page is the sign up form:
1. "Account name" - here is where you name your account -
tip: make it easy to remember (as you will be asked for
it) and reasonably short, example, "John's e-gold", "My
Money e-gold" or perhaps "Felix" (whatever you like, just
make it easy for you to remember it).
2. "User Name" - here just repeat the account name (from 1
above).
3. "Point of Contact" - this is where you put our name,
address, phone number and email address (any email address
can be used here but it is recommended you use your ISP
address - not a free hotmail, etc address).
It is also recommended your also include a fax number
(don't have a fax number? This company offers free fax to
email services). Try and make it as easy as possible for
e-gold to contact you.
4. "Passphrase" - this is the most important piece of
information connected to any e-gold account. We can not
stress enough how important it is that your passphrase is
kept safe and secure.
5. "Turing Number Entry" - type the 6 numbers you see
there into the input box below.
6. The last step click "Open"
On the next page it will tell you that your e-gold account
number has been emailed to you. check your email - you can
expect to wait up to 5 minutes for your account number to
arrive. If it does not arrive after 5 minutes then that
means the email address you supplied was incorrect and you
will have to open another new account (go through and
repeat what you just did above again).
To buy e-gold to your account please use official exchange
services
http: // www.me-gold .com/
http: // www.goldex .net/
http: // usece .com/
or try to search own way with http: // gold-pages .net/e-
Gold__1MDC__Pecunix_Wizard_Links/Purchase_E-
gold/index.html http: // www.google .com/search?
hl=en&q=buy+e-gold&btnG=Google+Search
FINALLY when you bought e-gold you have to transfer $300
to our e-gold account. In next 24 hours you will recieve
$1 back to your account. Transfer details of this $1
transfer will have a link to software that will
automatically unzip all your files back to normal state.
Next day login to your account https: // www.e-
gold .com/acct/login.html, press History and press submit,
you will see LINK TO UNZIP-software.
#######################################################
Remember you are just $300 away from your files
#######################################################
Básicamente, este texto le informa al usuario que para
recuperar los documentos encriptados y toda su valiosa
información, deberá pagar de forma electrónica unos 300
dólares (a través de E-Gold), y que el aviso a la policía del
caso, no lo ayudará.
El troyano también intentará borrar otros archivos.
NOTA: E-gold.com es un sitio dedicado al manejo de
transacciones comerciales. Dicho sitio suspendió todas las
cuentas que el creador del troyano pensaba utilizar para
recibir los pagos por el rescate de los archivos.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* IMPORTANTE:
Si el troyano pudo ejecutarse y encriptar sus archivos, usted
puede recuperarlos, si cuando se le pide una contraseña para
abrir los archivos .ZIP creados, ingresa la siguiente (sin
las comillas):
"C:\Program Files\Microsoft Visual Studio\VC98"
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - TrojanDownloader.Small.CNK. Descarga otro troyano
_____________________________________________________________
http://www.vsantivirus.com/trojandownloader-small-cnk.htm
Nombre: TrojanDownloader.Small.CNK
Nombre NOD32: TrojanDownloader.Small.CNK
Tipo: Caballo de Troya
Alias: Small.CNK, TrojanDownloader.Small.CNK, Dloader.G!tr,
Download.Trojan, Downloader.g, Downloader.Small.cnk,
Downloader.Small.DE, TR/Dldr.Small.cnk, Trj/Downloader.IBX,
Trojan.Downloader.Small.Cnk, Trojan.Downloader.Small.CNK,
Trojan.DR.Delf.BJO, Trojan.Dropper.Small-54,
Trojan.MulDrop.3379, Trojan/Dldr.Small.cnk,
TrojanDownloader.Win32.Small, Trojan-
Downloader.Win32.Small.cnk, W32/Downloader.SDO,
Win32/TrojanDownloader.Small.CNK
Fecha: 16/mar/06
Plataforma: Windows 32-bit
Tamaño: 16,896 bytes (UPX)
Caballo de Troya que se conecta a Internet para descargar,
instalar y ejecutar software sin notificar al usuario.
Esta versión se conoció principalmente por ser enviada en
forma de spam en un mensaje que pretendía aprovecharse de
hechos recientes (la muerte en prisión del ex-presidente
Yugoslavo Slobodan Milosevic).
Las características del mensaje eran las siguientes:
Asunto: Slobodan Milosevic was killed
Texto:
The real evidence in attached photo.
--------------------------
Scanned by Kaspercky Antivirus
Status: clean
Datos adjuntos: picture.scr
Cuando el usuario intenta abrir la supuesta imagen adjunta
(picture.scr), entonces se ejecuta el troyano, creándose los
siguientes archivos:
c:\windows\system32\systdl.exe
c:\windows\system32\sysvdm.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Intenta descargar el siguiente archivo desde Internet:
http: // www .klopeg .us/file.txt
El archivo "file.txt" es copiado como "sysvdm.exe" en la
carpeta del sistema y luego ejecutado.
SYSVDM.EXE es detectado como "TrojanDropper.Agent.AKR" por
NOD32 (identificado por su heurística desde el primer
momento).
Inicialmente propagado en forma de spam, el troyano no tiene
capacidades de difundirse por si mismo. Puede llegar a
nuestro PC al ser copiado manualmente en el sistema, o al ser
descargado intencionalmente o mediante engaños de algún sitio
malicioso, a través de mensajes como el mostrado arriba, o de
redes de intercambio de archivos P2P.
Otros malwares también podrían descargarlo y ejecutarlo en un
sistema infectado.
* Relacionado:
TrojanDropper.Agent.AKR. Libera otros malwares
http://www.vsantivirus.com/trojandropper-agent-akr.htm
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - TrojanDropper.Agent.AKR. Libera otros malwares
_____________________________________________________________
http://www.vsantivirus.com/trojandropper-agent-akr.htm
Nombre: TrojanDropper.Agent.AKR
Nombre NOD32: Win32/TrojanDropper.Agent.AKR
Tipo: Caballo de Troya
Alias: Agent.AKR, TrojanDropper.Agent.AKR, BackDoor-CFE,
Dropper.Agent.akr, eTrust-InoculateIT, PSW.Banker.YAR,
TR/Drop.Agent.akr, Troj/Dropper-FJ, Trojan.DR.Delf.BJP,
Trojan.Dropper, Trojan.Dropper.Delf-9,
Trojan.Dropper.Small.IDD, Trojan.MulDrop.3375,
Trojan.Win32.Delf.NS, Trojan/Drop.Agent.akr,
TrojanDropper.Win32.Agent, Trojan-Dropper.Win32.Agent.akr,
W32/Banker.ATS!pws, Win32/TrojanDownloader.Small.CNK,
Win32/TrojanDropper.Agent.AKR
Fecha: 16/mar/06
Plataforma: Windows 32-bit
Tamaño: 244,224 bytes
Troyano del tipo "TrojanDropper". Estos troyanos suelen ser
utilizados para instalar otros malwares en el equipo
infectado, sin el conocimiento de los usuarios. El código
malicioso es liberado y luego ejecutado. En ocasiones, se
liberan varios troyanos.
Esta variante creó popularidad al ser descargada por el
Win32/TrojanDownloader.Small.CNK, el troyano enviado en un
spam con el asunto "Slobodan Milosevic was killed".
Cuando se ejecuta, libera al menos otros tres troyanos, uno
de ellos de la familia de los "Spy.Banker".
También intenta descargar y ejecutar otros archivos de
Internet.
El troyano no se propaga por si mismo. Puede llegar a nuestro
PC al ser copiado manualmente en el sistema, o al ser
descargado intencionalmente o mediante engaños de algún sitio
malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano
a su víctima en un mensaje electrónico individual o
masivamente por medio de spam a otros usuarios.
Otros malwares (como Win32/TrojanDownloader.Small.CNK),
también podrían descargarlo y ejecutarlo en un sistema
infectado.
* Relacionados:
TrojanDownloader.Small.CNK. Descarga otro troyano
http://www.vsantivirus.com/trojandownloader-small-cnk.htm
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - PcClient.NAF. Permite acceso remoto, instala rootkit
_____________________________________________________________
http://www.vsantivirus.com/pcclient-naf.htm
Nombre: PcClient.NAF
Nombre NOD32: Win32/PcClient.NAF
Tipo: Caballo de Troya
Alias: PcClient.NAF, Win32/PcClient.NAF
Fecha: 15/mar/04
Tamaño: 30 Kb aprox.
Puertos: TCP 6868 y 7777
Caballo de Troya que abre una puerta trasera en el equipo
infectado, permitiendo el acceso de un atacante remoto.
También posee un rootkit que hace invisible su actividad en
el equipo, así como oculta las carpetas, archivos, entradas
en el registro y procesos activos creados por él mismo.
Cuando se ejecuta, crea las carpetas "@@@", "@@@\plugins" y
los siguientes archivos:
[carpeta de windows]\@@@\plugins
[carpeta de windows]\@@@\___.exe
[carpeta de windows]\@@@\mydll.exe
[carpeta de windows]\@@@\win32.exe
[carpeta de windows]\win32log.dat
[carpeta del sistema]\[nombre variable].d1l
[carpeta del sistema]\drivers\[nombre variable].sys
[TEMP]\~$~MS?????.doc
[TEMP]\~MS?????.doc
También puede crear los siguientes archivos:
[Archivos de programa]\[nombre variable].dll
[Archivos de programa]\[nombre variable].dl1
[Archivos de programa]\[nombre variable].sys
Donde [nombre variable] es un nombre de 8 caracteres al azar,
y "?????" también son caracteres al azar.
NOTA 1: [carpeta de windows] puede ser una de las siguientes:
"c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.
NOTA 2: [carpeta del sistema] puede ser "c:\windows\system32"
en Windows XP y Windows Server 2003, "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME.
NOTA 3: [TEMP] puede ser "c:\windows\temp", "c:\winnt\temp",
o "c:\documents and settings\[usuario]\local settings\temp",
de acuerdo al sistema operativo.
NOTA 4: [Archivos de programa] puede ser la carpeta
"c:\archivos de programa" o "c:\program files"
Crea la siguiente entrada en el registro para autoejecutarse
en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft = "[carpeta de windows]\@@@\win32.exe"
HKLM\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
ServiceDll = "[carpeta del sistema]\[nombre variable].d1l"
También crea un servicio con el mismo [nombre variable]. Para
ello genera las siguientes entradas en el registro:
HKLM\SYSTEM\CurrentControlSet
\Services\[nombre variable]
HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_[nombre variable]
También inyecta el archivo "[nombre variable].d1l" en el
mismo proceso del Internet Explorer.
Inicia el archivo "[nombre variable].sys", que es el rootkit
que oculta la presencia del troyano (archivos, carpetas,
entradas en el registro y lista de procesos).
El troyano puede capturar los títulos de las ventanas
abiertas por el usuario, e interceptar todas los datos
ingresados a través del teclado. Esta información es guardada
en el siguiente archivo:
[carpeta de windows]\@@@\[fecha].txt
Abre una puerta trasera por los puertos TCP 6868 y 7777,
quedando luego a la espera de instrucciones de un usuario
remoto.
El atacante podrá realizar cualquiera de las siguientes
acciones entre otras, sin el conocimiento del usuario:
- Abrir un shell a través de CMD.EXE o COMMAND.COM
- Abrir y cerrar la bandeja de la lectora de CD
- Acceder a la información guardada por el propio troyano
- Descargar, subir a Internet y ejecutar archivos
- Enviar correo electrónico
- Obtener información de la red
- Obtener información del sistema
También puede acceder a un servidor remoto vía HTTP.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\dmserver
\Parameters
5. Haga clic en la carpeta "Parameters" y asegúrese que la
entrada "ServiceDll" tenga el siguiente valor:
ServiceDll = "%SystemRoot%\System32\dmserver.dll"
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones de
la mayoría de los fabricantes son diarias. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero
mejor pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 2077 Año 10, viernes 17 de marzo de 2006
|
VSantivirus No. 20
Responder a este mensaje
