Mostrando mensaje 112     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1063 Año 7, Jueves 5 de junio de 2003 Fecha: Viernes, 6 de Junio, 2003  14:43:33 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1063 Año 7, Jueves 5 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Nuevo acumulativo para Internet Explorer (MS03-020) 2 - Lo que nos cuesta el spam 3 - Análisis de la estafa de las vacaciones pagadas (SCAM) 4 - W32/Spybot.fam. Se propaga a través de KaZaa e IRC 5 - BAT/Mumu.A. Se propaga a través de recursos Ipc$ y Admin$ 6 - W32/Xolox.A. Se propaga a través de KaZaa, correo, IRC _____________________________________________________________ 1 - Nuevo acumulativo para Internet Explorer (MS03-020) _____________________________________________________________ http://www.vsantivirus.com/vulms03-020.htm Nuevo acumulativo para Internet Explorer (MS03-020) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Un nuevo parche ha sido liberado por Microsoft, el cuál soluciona dos nuevas vulnerabilidades recientemente descubiertas y consideradas críticas, ya que cualquiera de ellas permitiría a un atacante tomar el control del sistema vulnerable. El parche es acumulativo y contiene todos los anteriores para las versiones 5.01, 5.5, y 6.0 del Internet Explorer. El primer fallo se produce por un desbordamiento de búfer y afecta a todas las versiones del Internet Explorer (5.01, 5.5 y 6.0 inclusive para Windows Server 2003). Se produce al no poderse determinar adecuadamente cierto tipo de objeto retornado por el servidor Web ante determinada solicitud. Un atacante puede usar esta vulnerabilidad para ejecutar cualquier software de su elección en el sistema vulnerable. Para explotarlo es suficiente abrir un sitio Web con una página HTML maliciosamente construida, o a través de la visualización de un correo electrónico con formato HTML modificado con las mismas condiciones. Es de hacer notar que para aprovecharse de la falla, no es necesario que la víctima utilice el Internet Explorer como su navegador; es suficiente conque éste se encuentre instalado en el sistema para que éste último sea vulnerable. La segunda de las fallas se debe a que el Internet Explorer no bloquea adecuadamente las limitaciones para la descarga de archivos al mostrar la correspondiente ventana de diálogo. Esto puede hacer que al recibirse determinada cantidad de solicitudes, aún cuando se lo niegue en la correspondiente ventana, se descargue y ejecute cualquier archivo. El boletín advierte que es necesario instalar la actualización para la ayuda HTML como se indica en el artículo 811630 en la base de conocimiento (ver http://support.microsoft.com/default.aspx?scid=kb;en- us;811630). Si no se actualiza, luego de la aplicación del parche actualizado, no se dispondrán o no funcionarán correctamente algunas funcionalidades de la ayuda HTML. Para instalar este parche se requiere al menos lo siguiente: IE 5.01 para Windows 2000 con Service Pack 3 IE 5.5 con Service Pack 2 instalado IE 6.0, IE 6.0 Gold o Service Pack 1 Esta actualización será incorporada en el próximo Service Pack 2 para Windows XP y Service Pack 1 para Windows Server 2003. El parche sustituye al anterior (ver boletín MS03-015). Más información: http://www.microsoft.com/technet/security/bulletin/MS03-020.asp http://www.microsoft.com/security/security_bulletins/ms03-020.asp HTML Help Update to Limit Functionality When It Is Invoked with the window.showHelp( ) Method http://support.microsoft.com/default.aspx?scid=kb;en-us;811630 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Lo que nos cuesta el spam _____________________________________________________________ http://www.vsantivirus.com/ev-jll-spam.htm Lo que nos cuesta el spam Por Jose Luis Lopez (VSAntivirus) Para Enciclopedia Virus (*) http://www.enciclopediavirus.com/ Al mismo tiempo que en Estados Unidos se anuncia la creación del primer curso dictado por una escuela de leyes, dedicado al correo electrónico no solicitado, estadísticas reveladas recientemente, indican que por primera la cantidad de correo electrónico catalogado como SPAM supera al del correo legítimo. Aunque las cifras se refieren en su mayoría a los Estados Unidos, es cierto que la cantidad de correo basura ya es una carga para todos los usuarios de Internet en el mundo entero. Según la empresa MessageLabs, que ofrece servicios de bloqueo de correo no deseado y protección antivirus, de los casi 140 millones de mensajes filtrados en el mes de mayo, exactamente el 55,1% es considerado SPAM. Y no son solo números. Ya es algo que afecta nuestro propio bolsillo. Significa que de cada 4 mensajes descargados, seguro habrán dos y en ocasiones tres que solo son ofertas por cosas que no nos interesan. Muchos son los usuarios que utilizan para la conexión a Internet el acceso vía módem, pagando por el tiempo conectado. Dicho de otra manera y para simplificar; por culpa del SPAM usted está pagando $0,55 de más por cada $1 que le cobre la compañía telefónica o el proveedor de Internet. Las perdidas son mucho más colosales a nivel de las empresas; pérdidas que por supuesto se trasladan a la economía doméstica. Y esto va en aumento en vez de disminuir. Cómo ejemplo, valga decir que según MessageLabs, la cantidad de correo basura en mayo aumentó un 38,6% en relación a abril, y un 40,6% en relación a mayo del año pasado (2002). Parece evidente que es necesario hacer algo y pronto, o directamente el correo electrónico dejará de ser el modo más rápido, fácil, y barato de comunicarnos. Una de las razones de los seminarios anunciados en los Estados Unidos para preparar abogados que combatan frontalmente al spam, pasa por el hecho de que la legislación actual tiene muchos recovecos por los que los spammers suelen zafarse a la hora de asumir responsabilidades. Sin embargo, combatir el spam con leyes parece imposible; el asunto pasa por relacionar temas tan disímiles como la constitucionalidad, la jurisdicción, la extraterritorialidad, la intimidad, el contenido y las políticas públicas, afirman los responsables del curso. De todos modos es evidente que hasta ahora, las tácticas utilizadas no han detenido el auge del correo basura. Y también es cierto que los aspectos legales y hasta éticos de poner direcciones o dominios enteros en las llamadas listas negras, ha dado como resultado más polémicas que soluciones. El primer punto en concreto, es que las leyes tradicionales no son la solución. Y muchas veces aplicarlas, empeora el problema. La idea de empezar de cero con una legislación anti spam puede resultar atractiva, pero mientras tanto el problema aumenta exponencialmente. En el mundo actual, los plazos para tomar acciones directas contra grandes problemas cada vez son más cortos. La asociación de grandes corporaciones como Microsoft, Yahoo y AOL Time Warner para combatir el spam, parecen no mejorar el tema. Hasta ahora lo más notorio ha sido el bloqueo de millones de mensajes electrónicos (según anunció AOL al menos). Pero como en una guerra de verdad, nadie puede asegurar que en esa enorme cantidad de correo sacado de circulación no hayan caído cientos o hasta miles de correos perfectamente legales o inocentes. Según los números, el spam parece hoy día un enemigo mucho más poderoso que los propios virus informáticos. MessageLabs muestra que en mayo, aunque el porcentaje de mensajes infectados aumentó un 47,4% en relación al mes anterior, solo uno de cada 145,3 mensajes estaba infectado. Pero no nos equivoquemos con la importancia de estas cifras, cuando estamos hablando de un total de casi 140 millones de mensajes. Sin embargo, si algún día se lograra erradicar o disminuir estos dos flagelos, el correo basura y los virus informáticos, Internet sería un mejor lugar. Y mucho más barato. A pesar de que solo sea una gota en el océano, podríamos todos aportar lo nuestro, jamás reenviando mensajes a todos nuestros conocidos, y mucho menos pidiéndoles a ellos que los reenvíen a sus propios conocidos. [Publicado con autorización de Enciclopedia Virus] (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=155 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Análisis de la estafa de las vacaciones pagadas (SCAM) _____________________________________________________________ Análisis de la estafa de las vacaciones pagadas (SCAM) http://www.vsantivirus.com/scam-vacaciones.htm Por Jose Luis Lopez videosoft@videosoft.net.uy Varias veces hemos incluido en nuestro sitio artículos sobre estas estafas (se les llama SCAM), que circulan por Internet en forma de SPAM (correo no solicitado). Básicamente, usted recibe un mensaje diciendo que se ha ganado un premio, generalmente un viaje o un crucero a alguna parte, con todo pago. La mayoría habla de cruceros al caribe, y también son comunes los viajes a algunas de las atracciones de Walt Disney. ¿En que consiste la estafa?. En abril de 2003 publicábamos la nota de FACUA (Federación de Asociaciones de Consumidores y Usuarios de Andalucía, España), en donde se examinaba esto. Al pie de este artículo encontrará los enlaces a esa nota y otras relacionadas. Pero lo que usted debe recordar es que jamás debe responder a esas falsas ilusiones que llegan a su buzón electrónico prometiéndole cosas maravillosas, totalmente gratis. * Radiografía de la estafa 1. En el mensaje con premio se le solicita llamar a un teléfono, que algunas veces es gratuito, pero otras no. Esta es una de las principales ganancias de los estafadores. En el reportaje de FACUA se menciona que muchas veces la mera llamada telefónica de carácter internacional puede reportar beneficios para las empresas, ya que en Estados Unidos es fácil obtener una licencia para actuar como operador de telecomunicaciones local, obteniendo ingresos de otros operadores por el concepto de terminación de llamada y de interconexión. Evidentemente con las llamadas que provienen del extranjero, pueden obtener grandes beneficios. 2. Casi siempre se le solicita al usuario el número de tarjeta de crédito para el pago "de algunos impuestos". Aunque no siempre es el caso, muchas veces esta es otra entrada de dinero para los embaucadores, aunque pocas veces ocurre en este primer contacto. 3. Si el usuario acepta todas estas condiciones, existen otras trampas, que lo llevan a gastar más dinero para entrar en una especie de "tiempo compartido", y se le solicita el pago de determinada cuota. De todos modos la idea se aleja totalmente de las anunciadas "vacaciones gratuitas". Estos son los textos de algunos ejemplos de estas estafas (cómo siempre, los ejemplos se incluyen tal como son recibidos, con faltas ortográficas y de sintaxis incluidas): --- Ejemplo 1 --- Usted dispone de 24 horas para llamar, no pierda esta oportunidad!!! Llame al 001-954-748-5460 para reclamar su viaje ya! Nota: Hay un solo premio por familia. No se aceptaran referidos ni parientes. No hay excepciones. Este mensaje fue enviado porque usted se ha inscripto a la lista de ofertas para el consumidor Si ud. no desea recibir más envios de mail por favor haga click abajo. REMOVER --- Ejemplo 2 --- Felicitaciones! Usted ha sido premiado para navegar 7 días en el Caribe con un acompañante partiendo desde los Estados Unidos. Este crucero de primer nivel dispone de piscina, casino y yacuzzi entre otras atracciones. Tu codigo de activación es 53003 Por tratarse de un premio usted solo dispone de 12h para activarlo. Reclame su premio al 001 954-748-5460 Por tratarse de un premio el mismo no es transferido, sin excepciones. --- Ejemplo 3 --- Felicitaciones Ud ha sido seleccionado entre miles de personas para disfrutar de un maravilloso PREMIO vacacional en la Florida. DESCRIPCION DEL PREMIO 3 DIAS / 2 NOCHES EN EL FABULOSO MIAMI. 6 DIAS / 5 NOCHES EN EL MAGICO MUNDO DE ORLANDO. UN AUTOMOVIL COMPACTO SIN LIMITE DE MILLAS DURANTE UNA SEMANA. Para manejar vehículos de alquiler en la Florida se requiere ser mayor de 21 años y poseer Tarjeta de Crédito Sólo llame a nuestras oficinas en Orlando, Florida, dénos su número de Confirmación DCC2A y reclame su premio. uno de nuestros asesores vacacionales estará gustoso de atenderle. Teléfono: 001-407-226-8421 ¡¡¡ LLAME YA !!! Horario de Atención de Lunes a Sabado 09:00 a.m. - 09:00 p.m. Hora Estándar del Este Sólo se reciben llamadas de Mayores de 21 Años ** Válido para 4 Personas. No incluye impuestos hoteleros ni gastos de reservaciones --- Fin de los Ejemplos --- Referencias: SCAM: La estafa de "Vacaciones en Orlando" http://www.vsantivirus.com/scam-orlando.htm Análisis de un SCAM: La estafa del premio de la Lotería http://www.vsantivirus.com/scam-loteria.htm Hoax: Ganador de la lotería de Bélgica http://www.vsantivirus.com/hoax-loteria1.htm Cuidado con los negocios y regalos por Internet http://www.vsantivirus.com/agr-scam.htm SCAM: Estafa a la nigeriana http://www.vsantivirus.com/scam-nigeria.htm Dame el número de tu tarjeta y te pago las cuentas http://www.vsantivirus.com/ar-scam-paypal.htm Falso correo de Yahoo roba datos de tarjetas de crédito http://www.vsantivirus.com/scam-yahoo.htm ¡Cuídese del fraude!. Ser víctimas de este SCAM es fácil http://www.vsantivirus.com/scam-aol.htm Otro "scam" sobre Hotmail http://www.vsantivirus.com/scam-hotmail.htm SCAM que pone en peligro las cuentas de Hotmail http://www.vsantivirus.com/scam-hotmail2.htm SCAM, SPAM, y los mercaderes de la muerte http://www.vsantivirus.com/16-09-01.htm Scam intenta engañar a usuarios de Microsoft http://www.vsantivirus.com/scam-helpdesk.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Spybot.fam. Se propaga a través de KaZaa e IRC _____________________________________________________________ http://www.vsantivirus.com/spybot-fam.htm Nombre: W32/Spybot.fam Tipo: Gusano de Internet Alias: WORM_SPYBOT.GEN Plataforma: Windows 32-bit Tamaño: 19 ~ 44 Kb Fecha: 3/jun/03 Se trata de una serie de variantes del mismo gusano, capaz de propagarse a través de la red de intercambio de archivos KaZaa y canales de IRC (Internet Relay Chat). Cuando se ejecuta, este troyano se copia a si mismo en la carpeta System de Windows, con alguno de los siguientes nombres (dependiendo de la variante): wupdate.exe 5py.exe taskmger.exe msupdate32.exe También agrega alguna de las siguientes entradas al registro de Windows, para su autoejecución: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Wupdate driver = wupdate.exe Wupdate driver = 5py.exe Winsock2 driver = taskmger.exe Microsoft Update 32 = msupdate32.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce Wupdate driver = wupdate.exe Wupdate driver = 5py.exe Winsock2 driver = taskmger.exe Microsoft Update 32 = msupdate32.exe Después de autoinstalarse en el sistema, el gusano se borra a si mismo. Pero al volver a ejecutarse su copia en la carpeta System (al reiniciarse el sistema), continúa el proceso iniciado. Para prevenir múltiples instancias del gusano en memoria, él crea un único mutex (especie de semáforo indicador que permanece en memoria mientras el gusano está activo), con alguno de los siguientes nombres (según la variante): MBB Spy bot DrN3t Spy bot w32sys ub3rbot01 El gusano crea entonces una carpeta bajo Windows\System: c:\windows\system\kazaabackupfiles Allí se copia con algunos de los siguientes nombres: C&C Generals_crack.exe FIFA2003 crack.exe NBA2003_crack.exe AquaNox2 Crack.exe UT 2003_bloodpatch.exe Unreal2_bloodpatch.exe Battlefield1942_bloodpatch.exe Porn.exe AVP_Crack.exe zoneallarm_pro_crack.exe Luego, agrega esa carpeta a la lista de carpetas compartidas por KaZaa, con los siguientes cambios en el registro: HKCU\Software\Kazaa\LocalContent\ Dir0 = 012345:c:\windows\system\kazaabackupfiles NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Cuando se está ejecutando, cualquier proceso con alguno de estos nombres es detenido. Los mismos pertenecen a utilidades clásicas de Windows: NETSTAT.EXE TASKMGR.EXE MSCONFIG.EXE REGEDIT.EXE Esto hace que remover el gusano manualmente no sea fácil. El gusano también intenta conectarse a los siguientes servidores de IRC: xdog.mbb.cc l4merz.dynu.com irc.hanirc.org jappa.japsclan.com mimo.bsd.st russia.ods.org irc.outraged.lu.tc * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Remoción del gusano utilizando "Process Explorer" Cómo este gusano finaliza la ejecución de varias utilidades propias de Windows, para quitarlo manualmente es necesario utilizar herramientas de terceros. Se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), los siguientes procesos (o los que aparezcan de esta lista): wupdate.exe 5py.exe taskmger.exe msupdate32.exe * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\System\wupdate.exe C:\Windows\System\5py.exe C:\Windows\System\taskmger.exe C:\Windows\System\msupdate32.exe Borre también la carpeta "kazaabackupfiles" y su contenido: c:\windows\system\kazaabackupfiles Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Wupdate driver Wupdate driver Winsock2 driver Microsoft Update 32 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunOnce 5. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Wupdate driver Wupdate driver Winsock2 driver Microsoft Update 32 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Kazaa \LocalContent 7. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Dir0 = 012345:c:\windows\system\kazaabackupfiles 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - BAT/Mumu.A. Se propaga a través de recursos Ipc$ y Admin$ _____________________________________________________________ http://www.vsantivirus.com/mumu-a.htm Nombre: BAT/Mumu.A Tipo: Gusano de Internet (MS-DOS Batch File) Alias: Muma, Bat/Mumu-A, Worm.Win32.Muma, BAT.Muma, Bat/Mumu.worm, BAT.Mumu.A.Worm, BAT_SPYBOT.A, HackTool.Win32.Hucline Relacionados: Troj/Hacline-A, HackTool.Win32.Hucline, VirTool.Win32.Hucline.A, IPCScan, Hacktool.Win32.Hucline, Hacktool.Hacline, TROJ_HACLINE.A Este gusano se propaga copiándose a través de recursos compartidos IPC$ y ADMIN$ de computadoras remotas con contraseñas débiles (utiliza una lista de contraseñas predefinidas). El gusano genera varios archivos .BAT, los que copia a través de dichos recursos: 10.BAT HACK.BAT IPC.BAT MUMA.BAT NEAR.BAT RANDOM.BAT REPLACE.BAT START.BAT El gusano también puede contener los siguientes archivos: A.LOG HFIND.EXE IPCPASS.TXT NTSERVICE.BAT NTSERVICE.EXE NTSERVICE.INI NWIZ_.EXE NWIZ.IN_ PCMSG.DLL SPACE.TXT SS.BAT TIHUAN.TXT Una vez cargado, el archivo 10.BAT ejecuta al archivo HFIND.EXE, detectado como el troyano Troj/Hacline-A por algunos antivirus. Este troyano es utilizado para escanear direcciones IP de potenciales víctimas. El troyano utiliza el archivo IPCPASS.TXT, que contiene una lista de contraseñas utilizada para acceder a los recursos compartidos a los que intentará copiarse. Luego ejecuta a IPC.BAT en un bucle, propagando el archivo HACK.BAT por todas las computadoras detectadas. Este último BAT continúa la ejecución de los demás .BAT para propagar el gusano por todos los recursos compartidos (se copia en la carpeta System de cada computadora accedida). Para ello utiliza también los archivos NTSERVICE.BAT y NTSERVICE.EXE, y el resto de los componentes indicados. El gusano copia también otros archivos que no contienen códigos maliciosos. NWIZ.EXE (Utilidad de video llamada NView) NWIZ.IN_ (Configuración de NView) PSEXEC.EXE (Herramienta para acceso a redes) REP.EXE (Utilidad para manejo de texto) PCMSG.DLL (Utilidad legítima para almacenar lo tecleado) Cuando el gusano copia todos sus archivos a través de los recursos compartidos usando la herramienta PSEXEC, ejecuta el archivo START.BAT en la computadora remota, lo que inicia el mismo proceso nuevamente. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/Xolox.A. Se propaga a través de KaZaa, correo, IRC _____________________________________________________________ http://www.vsantivirus.com/xolox-a.htm Nombre: W32/Xolox.A Tipo: Gusano de Internet Alias: W32.HLLW.Xolox@mm, VBS.Xolox, W32/Festival Fecha: 4/jun/03 Plataforma: Windows 32-bit Tamaño: 25,088 bytes Este gusano, escrito en Visual Basic y comprimido con la utilidad UPX, intenta propagarse a través de la red de intercambio de archivos del tipo P2P, KaZaa. También se propaga a través del correo electrónico, utilizando el Microsoft Outlook y Outlook Express, usando su libreta de direcciones. Esos mensajes tienen estas características: Asunto: Where are you? Datos adjuntos: [varios] Texto: Hi! Where are you?, I enjoy speaking with you :) Simdi icinden buda kim diyorsundur :) Cuando se ejecuta, crea el siguiente archivo: c:\windows\Systemcheck.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Y lo agrega a la siguiente entrada del registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemCheck = c:\windows\Systemcheck.exe Para propagarse a través del KaZaa, el gusano busca las siguientes carpetas: C:\KaZaA\My Shared Folder C:\Program Files\KaZaA\My Shared Folder Y se copia en ellas con los siguientes nombres: Account Hacking.exe AIM Pass .exe Aimcrack.exe aimhacker.exe All Games Cd-Key.exe All Games Hack.exe All Games Trainer.exe AMI BIOS Cracker.exe Anger Management.exe Anonmail.exe Antitrojan.exe Apache Hack.exe Asp Hack.exe Award BIOS.exe Backdoor.exe Bot Hack.exe Brute Force.exe Cgi Hack.exe Chanserv Password.exe Cheat.exe Computer Security.exe Counter Strike Hack.exe Counter Strike Trainer.exe DDoS Scan.exe DDoS.exe Der Schuh des Manitu.exe Divx Codec.exe Divx Mpeg.exe DivX.exe Domain Hack.exe Domain Spoof.exe Eggdrop Hack.exe Exploit Scan.exe Exploit.exe Fake Mailbomb.exe Firewall Hack.exe Firewall.exe Flood.exe Free Bnc.exe Free Divx.exe Free mp3.exe Free Shell Account.exe Ftp Crack.exe Ftp Password Crack.exe Gta.exe Hack Lesson.exe Hacker.exe Half Life Cdkey.exe Half Life Trainer.exe hotmail hack.exe Hound.exe How Hack.exe icq hack.exe Icq Password.exe ICQ.exe IP Hack.exe Irc Hack.exe Irc Op Crack.exe Julia Roberts.exe Kaspersky.exe Keylogger.exe Linux Exploit.exe Linux Hack Attack.exe Linux Kernel Hacking.exe Linux Kernel Module.exe Linux Keylogger.exe Linux Mandrakee.exe Linux Worm.exe Linux.exe Log Clean.exe Mail Hack.exe Mail Hacking.exe Mailbomb.exe Matrix Cheat.exe Matrix Reloaded Trainer.exe Matrix Reloaded.exe Matrix Zion.exe Matrix.exe Messenger Hack.exe Modem Hack.exe Ms Office XP Service Pack.exe MsSQL2000.exe Mysql Password Hack.exe Mysql.exe Netbios Hack.exe Netbios Password Crack.exe Nickserv Password.exe Norton Antivirus.exe Office Password Recovery.exe Office.exe password.exe Port Flood.exe Port Hack.exe Port Scan.exe Ptrace.exe Pwl Hack.exe PwlTools.exe r3x.exe Raptor.exe Redhat.exe root hack.exe root password.exe Rootkit.exe Scanner.exe Security.exe Share Hack.exe Sniffer.exe Sqlsnake.exe Ssh.exe Sub7 Password Crack.exe Subseven Hack.exe Telnet Hack.exe Trinity Dream.exe Trojan Hack Center.exe Undelete.exe Underworld.exe Unix Password Cracker.exe WebDav Hacking.exe Windows 2000 Password Hack.exe Windows Keygen.exe Windows XP.exe WinXP keygen.exe XP Password Crack.exe Xp Service Pack 2.exe Yahoo Hack.exe Yahoo mail hack.exe Zion.exe Zip Password Recovery.exe Para propagarse por correo electrónico, envía el mensaje ya visto a toda la libreta de direcciones del usuario de la máquina infectada. En Windows 95, 98 y Me, el gusano modifica también la siguiente entrada del archivo "C:\Windows\Win.ini" bajo la sección [windows]: [windows] run = c:\Windows\Systemcheck.exe También libera y ejecuta el script llamado "Festival.vbs" (ver "W32/Festival.A. Se propaga por IRC, KaZaa, correo y redes", http://www.vsantivirus.com/festival-a.htm). Este script se propaga a través de la red de intercambio de archivos entre usuarios KaZaa, del correo electrónico, de los canales de chat (IRC) y de recursos compartidos en red. * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\Systemcheck.exe c:\festival.vbs Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SystemCheck 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [windows] run = c:\Windows\Systemcheck.exe Debe quedar como: [windows] run = 3. Grabe los cambios y salga del bloc de notas. 4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1063 Año 7, Jueves 5 de junio de 2003