| Asunto: | VSantivirus No. 2172 Año 10, viernes 23 de junio de 20 06 | | Fecha: | Viernes, 23 de Junio, 2006 03:29:31 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 2172 Año 10, viernes 23 de junio de 2006
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Opera 9.0 vulnerable a una denegación de servicio
2 - Bagle.GN. Oculta sus procesos, finaliza protecciones
3 - Detnat.NC. Infecta .EXE en recursos compartidos
4 - Locksky.BI. Acceso remoto, se propaga por e-mail
5 - Viking.NAI. Se propaga por redes, infecta ejecutables
6 - Zapchast.NAC. Permite acceso remoto al PC infectado
_____________________________________________________________
1 - Opera 9.0 vulnerable a una denegación de servicio
_____________________________________________________________
http://www.vsantivirus.com/vul-opera9-210606.htm
Opera 9.0 vulnerable a una denegación de servicio
Por Angela Ruiz
angela@videosoft.net.uy
La versión final de Opera 9.0 fue lanzada oficialmente el 20
de junio. Exactamente un día después, era publicada en
Internet una prueba de concepto que explota una
vulnerabilidad detectada en esta versión del conocido
navegador.
El problema se produce por un error de límites cuando el
navegador procesa cierto contenido HTML, lo que provoca un
desbordamiento de búfer que causa una denegación de servicio
en el programa, el cual deja de responder.
Las versiones 8.x no son vulnerables, por lo que se aconseja
no actualizarse a la versión 9.0 hasta que el problema sea
solucionado.
* Prueba de concepto:
http://www.securityfocus.com/data/vulnerabilities/exploits/Op
era9_href_tag_DoS.txt
* Productos vulnerables:
- Opera Web Browser 9
* Productos NO vulnerables:
- Opera Web Browser 8.51
- Opera Web Browser 8.50
- Opera Web Browser 8.02
- Opera Web Browser 8.01
- Opera Web Browser 8.0
- Opera Web Browser 8.54
- Opera Web Browser 8.53
- Opera Web Browser 8.52
- Opera Web Browser 8 Beta
* Soluciones:
No se conocen soluciones oficiales al momento de publicarse
esta alerta.
Se recomienda no actualizarse aún a la versión 9.0.
* Referencias:
Opera 9 DoS by Critical Security, Advisory #009
http://www.critical.lt/?vuln/349
Opera Malicious HTML Processing Denial of Service
Vulnerability
http://www.securityfocus.com/bid/18585/info
Opera Software
http://www.opera.com/
* Créditos:
N9, bigb0u, cybergoth, iglOo, mircia, Povilas
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Bagle.GN. Oculta sus procesos, finaliza protecciones
_____________________________________________________________
http://www.vsantivirus.com/bagle-gn.htm
Nombre: Bagle.GN
Nombre NOD32: Win32/Bagle.GN
Tipo: Gusano de Internet
Alias: Bagle.GN, Email-Worm.Win32.Bagle.gl, I-Worm.Bagle.JU,
I-Worm/Bagle, Mitglied.gen, Trojan.Bagle.BN,
W32.Beagle.FG@mm, W32/Bagle!tr.dldr, W32/Bagle.fc@MM,
W32/Bagle.GL@mm, W32/Bagle.JQ.worm, W32/Bagle-KN,
W32/Mitglieder.TM, Win32.Bagle.GL@mm, Win32.HLLM.Beagle.9158,
Win32/Bagle.EG!Worm, Win32/Bagle.GN, Win32/Baglelike,
Win32:Beagle-MC, Worm/Bagle.GL
Fecha: 22/jun/06
Plataforma: Windows 32-bit
Tamaño: 94,126 bytes
Gusano que se propaga masivamente vía correo electrónico.
Crea varios archivos en el equipo infectado, uno de ellos es
un troyano con facilidades de rootkit que utiliza para
ocultarse. Un error en su código, impide que este componente
funcione al reiniciarse el PC.
También intenta descargar y ejecutar otro archivo desde
diferentes sitios de Internet.
El gusano envía mensajes con las siguientes características:
De: [nombre falso]
Asunto: [uno de los siguientes textos]
Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Constance
Cybil
Christean
Christian
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
I love you
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
To the beloved
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede
Texto del mensaje: [1]+[2]
Donde [1] es uno de los siguientes:
[vacío]
I love you
To the beloved
Y [2] uno de los siguientes textos y una imagen:
The password is [imagen]
Password -- [imagen]
Use password [imagen] to open archive.
Password is [imagen]
Zip password: [imagen]
archive password: [imagen]
Password - [imagen]
Password: [imagen]
La imagen es un .GIF que muestra un número de 5 dígitos.
Dicho número es la contraseña para abrir el adjunto, un .ZIP
encriptado, que tendrá uno de los nombres usado para el
"Asunto" (no necesariamente el mismo que tenga el mensaje).
Ejemplos:
Anthonie.zip
Bennet.zip
Cybil.zip
El archivo dentro del .ZIP es una copia del propio gusano con
un nombre al azar. También contiene una carpeta y un .DLL que
no posee código malicioso.
Al ejecutarse, el gusano crea la siguiente carpeta:
c:\windows\hidn
Crea en ella los siguientes archivos:
c:\windows\hidn\hidn1.exe
c:\windows\hidn\m_hook.sys
NOTA: En lugar de la carpeta C:\WINDOWS\, puede crear HIDN
dentro de la carpeta \APPLICATION DATA\. Esta puede estar en
cualquiera de estas ubicaciones, según la versión del sistema
operativo instalado:
C:\Documents and Settings\[Usuario]
\Configuración local\Application Data
C:\WINDOWS\Application Data
También crea el siguiente archivo, que solo contiene una
imagen con el texto "Error" en grandes letras negras y fondo
blanco, la que muestra la primera vez que se ejecuta:
c:\error.gif
Crea además el siguiente archivo, que es el ZIP encriptado
que luego enviará como adjunto en sus mensajes:
c:\temp.zip
También crea las siguientes entradas en el registro:
HKCU\Software\FirstRuxzx
FirstRun = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = "[camino completo]\hidn\hidn1.exe"
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
ImagePath = "c:\windows\hidn\m_hook.sys"
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
DisplayName = "Empty"
HKLM\SYSTEM\CurrentControlSet\enum\root\legacy_m_hook
La primera es una marca de infección, las siguientes
autoejecutan al gusano en cada reinicio de Windows, y lanzan
como servicio el componente que utiliza para ocultarse (por
un error, el rootkit no se ejecuta al reiniciarse).
El gusano intentará deshabilitar los servicios que tengan los
siguientes nombres:
Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
Ahnlab task Scheduler
alerter
AlertManger
AntiVir Service
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
Ati HotKey Poller
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgFwSvr
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
Bdfndisf
bdftdif
bdss
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewido security suite control
ewido security suite driver
ewido security suite guard
firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSFW
FSMA
FTPFILT.DLL
FwcAgent
fwdrv
Guard NT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
InoRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
Microsoft NetWork FireWall Services
MonSvcNT
MpfService
navapsvc
NDIS_RD
Ndisuio
Network Associates Log Service
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman NJeeves
Norman Type-R
Norman ZANDA
Norton AntiVirus Server
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavProt
PavPrSrv
PavReport
PAVSRV
PCC_PFW
PCCPFW
PersFW
Personal Firewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
Quick Heal Online Protection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
T_H_S_M
The_Hacker_Antivirus
tm_cfw
Tmntsrv
TmPfw
tmproxy
tmtdi
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNetic AntiVirus Plug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
wscsvc
wuauserv
wuauserv
xcomm
También intentará borrar la siguiente clave del registro,
para evitar el reinicio de Windows en modo seguro:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
El gusano intenta descargar un archivo de los siguientes
sitios de Internet:
http: // 1point2 .iae .nl/
http: // 5050clothing .com/
http: // appaloosa .no/
http: // apromed .com/
http: // arborfolia .com/
http: // areal-realt .ru/
http: // art4u1 .superhost .pl/
http: // art-bizar .foxnet .pl/
http: // asdesign .cz/
http: // avenue .ee/
http: // axelero .hu/
http: // bartex-cit .com .pl/
http: // bazarbekr .sk/
http: // bid-usa .com/
http: // biliskov .com/
http: // biomedpel .cz/
http: // bitel .ru/
http: // blackbull .cz/
http: // bohuminsko .cz/
http: // bonsai-world .com .au/
http: // bpsbillboards .com/
http: // cadinformatics .com/
http: // calamarco .com/
http: // canecaecia .com/
http: // ceramax .co .kr/
http: // cibernegocios .com .ar/
http: // cof666 .shockonline .net/
http: // comaxtechnologies .net/
http: // compucel .com/
http: // concellodesandias .com/
http: // continentalcarbonindia .com/
http: // charlesspaans .com/
http: // chatsk .wz .cz/
http: // checkalertusa .com/
http: // dev .jintek .com/
http: // dogoodesign .ch/
http: // donchef .com/
http: // erich-kaestner-schule-donaueschingen .de/
http: // foxvcoin .com/
http: // ftp-dom .earthlink .net/
http: // gnu .univ .gda .pl/
http: // grupdogus .de/
http: // hotchillishop .de/
http: // ilikesimple .com/
http: // innovation .ojom .net/
http: // kisalfold .com/
http: // knickimbit .de/
http: // kremz .ru/
http: // massgroup .de/
http: // ouarzazateservices .com/
http: // pawlacz .com/
http: // poliklinika-vajnorska .sk/
http: // prime .gushi .org/
http: // stats-adf .altadis .com/
http: // svatba .viskot .cz/
http: // systemforex .de/
http: // ujscie .one .pl/
http: // uwua132 .org/
http: // vanvakfi .com/
http: // vega-sps .com/
http: // vidus .ru/
http: // viralstrategies .com/
http: // Vivamodelhobby .com/
http: // vkinfotech .com/
http: // vproinc .com/
http: // v-v-kopretiny .ic .cz/
http: // vytukas .com/
http: // waisenhaus-kenya .ch/
http: // watsrisuphan .org/
http: // wbecanada .com/
http: // web-comp .hu/
http: // webfull .com/
http: // welvo .com/
http: // wvpilots .org/
http: // www .ag .ohio-state .edu/
http: // www .ag .ohio-state .edu/
http: // www .artbed .pl/
http: // www .aureaorodeley .com/
http: // www .autoekb .ru/
http: // www .autovorota .ru/
http: // www .avinpharma .ru/
http: // www .castnetnultimedia .com/
http: // www .cort .ru/
http: // www .crfj .com/
http: // www .chapisteriadaniel .com/
http: // www .chittychat .com/
http: // www .jonogueira .com/
http: // www .kersten .de/
http: // www .kljbwadersloh .de/
http: // www .voov .de/
http: // www .walsch .de/
http: // www .wchat .cz/
http: // www .wg-aufbau-bautzen .de/
http: // www .wzhuate .com/
http: // xotravel .ru/
http: // yeniguntugla .com/
http: // yetii .no-ip .com/
http: // zebrachina .net/
http: // zsnabreznaknm .sk/
Si logra hacerlo, lo copiará con el siguiente nombre y luego
lo ejecutará:
c:\windows\system32\re_file.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Cuando se propaga, busca direcciones para enviarse en
archivos del equipo infectado con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Evita enviarse a direcciones que contengan los siguientes
textos en su nombre:
@avp.
@foo
@iana
@messagelab
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
Se conecta a uno de los siguientes sitios para descargar un
archivo PHP:
http: // accesible .cl/1/
http: // amdlady .com/1/
http: // avataresgratis .com/1/
http: // beyoglu .com .tr/1/
http: // brandshock .com/1/
http: // camaramafra .sc .gov .br/1/
http: // camposequipamentos .com .br/1/
http: // cbradio .sos .pl/1/
http: // c-d-c .com .au/1/
http: // coparefrescos .stantonstreetgroup .com/1/
http: // creainspire .com/1/
http: // desenjoi .com .br/1/
http: // hotelesalba .com/1/
http: // inca .dnetsolution .net/1/
http: // veranmaisala .com/1/
http: // wklight .nazwa .pl/1/
http: // www .auraura .com/1/
http: // www .buydigital .co .kr/1/
http: // www .diem .cl/1/
http: // www .discotecapuzzle .com/1/
http: // www .inprofile .gr/1/
http: // www .klanpl .com/1/
http: // www .titanmotors .com/images/1/
http: // yongsan24 .co .kr/1/
Dicho archivo es copiado con el siguiente nombre:
c:\windows\elist.xpt
ELIST.XPT contiene una lista de direcciones electrónicas.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus y edición del registro
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Descargue SAFEBOOT.REG desde el siguiente enlace y
guárdelo en el escritorio, o algún lugar donde pueda
encontrarlo más tarde (solo si tiene Windows XP):
http://www.vsantivirus.com/bagle-gm.htm#lim
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre todos los archivos detectados como infectados. No
reinicie aún su equipo.
4. Haga clic en el archivo SAFEBOOT.REG descargado antes y
acepte agregarlo al registro (solo si tiene Windows XP).
5. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\FirstRuxzx
7. Haga clic en la carpeta "FirstRuxzx" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y borre la siguiente
entrada:
drv_st_key
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\m_hook
11. Haga clic en la carpeta "m_hook" y bórrela.
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\enum
\root
\legacy_m_hook
13. Haga clic en la carpeta "legacy_m_hook" y bórrela.
14. Cierre el editor del registro.
15. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
16. Vuelva a ejecutar su antivirus para revisar su sistema.
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Detnat.NC. Infecta .EXE en recursos compartidos
_____________________________________________________________
http://www.vsantivirus.com/detnat-nc.htm
Nombre: Detnat.NC
Nombre NOD32: Win32/Detnat.NC
Tipo: Virus infector de ejecutables
Alias: Detnat.NC, Win32/Detnat.NC
Fecha: 21/jun/06
Plataforma: Windows 32-bit
Virus infector de ejecutables, con la capacidad de propagarse
por recursos compartidos en redes.
Cuando se ejecuta, busca todos los archivos .EXE en todos los
recursos compartidos y los infecta.
Cuando un archivo infectado se ejecuta, lo copia en la misma
carpeta con el mismo nombre pero precedido por un espacio en
blanco y lo desinfecta para que pueda ejecutarse normalmente.
El virus también puede descargar un archivo desde Internet.
Al momento actual se trata de un troyano del tipo robador de
contraseñas.
El archivo descargado es guardado con un nombre como el
siguiente:
netrun?.exe
Donde "?" es un dígito al azar.
El virus examina la presencia de la carpeta C:\RECYCLED en el
sistema. Si no la detecta, la crea para liberar allí una
copia de si mismo con el siguiente nombre:
c:\recycled\svch0st.exe
También intenta descargar y ejecutar otro malware desde
diferentes sitios de Internet.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Locksky.BI. Acceso remoto, se propaga por e-mail
_____________________________________________________________
http://www.vsantivirus.com/locksky-bi.htm
Nombre: Locksky.BI
Nombre NOD32: Win32/Locksky.BI
Tipo: Caballo de Troya y gusano de Internet
Alias: Locksky.BI, I-Worm.Locksky, Trojan.Small,
W32/Loosky.gen@MM, Win32/Locksky.BI
Fecha: 31/may/06
Plataforma: Windows 32-bit
Caballo de Troya del tipo multicomponentes, que puede
propagarse como gusano a través del correo electrónico.
Cuando se ejecuta, se mantiene en memoria, habilitando un
servidor clandestino con una puerta trasera que puede
permitir a un usuario remoto tomar el control total del
equipo infectado.
El troyano intenta descargar varios archivos de un
determinado servidor HTTP.
Crea las siguientes entradas en el registro, la primera para
autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sysvx = [nombre ejecutable del troyano]
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip
TcpNumConnections = [valor]
Utiliza el comando NETSH de Windows, para intentar eludir el
firewall integrado de Windows XP (el parámetro "firewall"
solo funciona en SP2):
netsh firewall set allowedprogram [nombre troyano] enable
El troyano monitorea la apertura de ciertas ventanas de
Internet relacionadas con la banca on-line, etc., e intenta
capturar la información desplegada y la ingresada por el
usuario en ellas (contraseñas, etc.).
Estos datos, y los relacionados con la configuración de la
propia computadora infectada, son enviados a un usuario
remoto.
También puede actuar como un servidor proxy, reenviando
información a Internet a través del equipo infectado.
El troyano puede descargar una versión actualizada de si
mismo, desde un servidor predeterminado en su código.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
5. Haga clic en la carpeta "Tcpip" y en el panel de la
derecha, bajo la columna "Datos", busque y borre la siguiente
entrada:
TcpNumConnections = [valor]
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Viking.NAI. Se propaga por redes, infecta ejecutables
_____________________________________________________________
http://www.vsantivirus.com/viking-nai.htm
Nombre: Viking.NAI
Nombre NOD32: Win32/Viking.NAI
Tipo: Gusano, caballo de Troya e infector de ejecutables
Alias: Viking.NAI, Win32/Viking.NAI
Fecha: 19/jun/06
Plataforma: Windows 32-bit
Gusano y caballo de Troya que se propaga a través de recursos
compartidos en redes, intenta infectar archivos .EXE, y puede
modificar las configuraciones de seguridad de Windows para
permitir la descarga y ejecución de archivos remotos.
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\RUNDL132.EXE
[carpeta actual]\vDll.dll
RUNDL132.EXE intenta camuflarse como el auténtico
RUNDLL32.EXE de Windows (usado para ejecutar un archivo DLL
como una aplicación), cambiando ligeramente su nombre (note
que la doble "L" en el nombre del troyano, en realidad es una
"L" más el número "1".
NOTA 1: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
NOTA 2: [carpeta actual] es la carpeta donde se ejecuta el
troyano por primera vez.
Luego examina la presencia de la siguiente entrada en el
registro:
HKLM\SOFTWARE\Soft\DownloadWWW
auto = "1"
Si existe, el troyano no hará nada más. En caso contrario la
crea como marca de infección.
También creará la siguiente entrada para autoejecutarse en
cada reinicio de Windows:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
load = "c:\windows\rundl132.exe"
Al ejecutarse RUNDL132.EXE, VDLL.DLL es inyectado en los
procesos del IEXPLORE.EXE (Internet Explorer) o EXPLORER.EXE
(Explorador de Windows).
El troyano intentará descargar los siguientes archivos de un
sitio determinado de Internet:
mx.exe
mx.txt
wow.exe
wow.txt
zt.exe
zt.txt
Buscará luego archivos .EXE en todas las unidades de disco de
la C a la Y inclusive, para infectarlos, agregando su código
al comienzo de los mismos.
Las siguientes carpetas están excluidas de su búsqueda, y sus
archivos no serán infectados:
Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
MSN
MSN Gamin Zone
NetMeeting
Outlook Express
Program Files
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt
El troyano envía paquetes ICMP a direcciones IP de una
posible red local (192.168.0.30 y 192.168.8.1), y también a
direcciones IP dentro del rango de la IP actual del equipo
infectado.
ICMP (Protocolo de mensajes de control de Internet), es una
extensión del Protocolo de Internet (IP), y permite generar
mensajes de error, paquetes de prueba y mensajes informativos
relacionados con IP. Básicamente, se usa para comprobar la
existencia de la máquina consultada.
Intentará abrir las siguientes carpetas compartidas en otros
equipos dentro del rango de las direcciones que respondan,
siempre que tengan como usuario "administrator" y una
contraseña en blanco (solo Enter):
\\admin$
\\ipc$
Si la conexión es exitosa, se copiará en dichas carpetas.
También se copia en todas las carpetas compartidas que tengan
usuario y contraseña en blanco.
Puede infectar los archivos .EXE que encuentre en dichas
carpetas.
El troyano intentará detener el siguiente servicio:
Kingsoft AntiVirus Service
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
3. Haga clic en la carpeta "Windows" y en el panel de la
derecha, buscar y borrar la siguiente entrada:
load = "c:\windows\rundl132.exe"
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Soft
5. Haga clic en la carpeta "Soft" y bórrela.
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - Zapchast.NAC. Permite acceso remoto al PC infectado
_____________________________________________________________
http://www.vsantivirus.com/zapchast-nac.htm
Nombre: Zapchast.NAC
Nombre NOD32: Win32/Zapchast.NAC
Tipo: Caballo de Troya
Alias: Zapchast.NAC, Trojan.Flashfxp, Trojan.Win32.Zapchast,
TrojanDownloader.Win32.Agent, Win32/Zapchast.NAC
Fecha: 22/jun/06
Plataforma: Windows 32-bit
Este caballo de Troya, programado en Microsoft Visual C++, es
liberado por otros troyanos en el sistema infectado.
No se propaga por si mismo y puede llegar a nuestro PC al ser
copiado manualmente en el sistema, o al ser descargado
intencionalmente o mediante engaños de algún sitio malicioso,
o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano
a su víctima en un mensaje electrónico individual o
masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un
sistema infectado.
Crea varios archivos en el sistema, generalmente en la
carpeta de Windows, y en la carpeta del sistema.
NOTA: En todos los casos, "c:\windows" y "c:\windows\system"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system32",
etc.).
Puede crear la siguiente entrada en el registro, para
instalarse como un servicio cada vez que Windows se ejecuta:
HKLM\SYSTEM\CurrentControlSet\Services\Kern32
DisplayName = "Manageer Network Connections"
El troyano puede permitir el acceso de un atacante remoto, el
cuál podrá ejecutar comandos maliciosos que comprometen la
seguridad del sistema.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Kern32
9. Haga clic en la carpeta "Kern32" y bórrela.
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 2172 Año 10, viernes 23 de junio de 2006
|
VSantivirus No. 21
Responder a este mensaje
