Mostrando mensaje 139     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1090 Año 7, Miércoles 2 de julio de 2003 Fecha: Miercoles, 2 de Julio, 2003  02:19:04 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1090 Año 7, Miércoles 2 de julio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - VSAntivirus recibe 41,006 visitas por culpa del Mapson 2 - Opera 7 sigue siendo vulnerable a ataques DoS 3 - Troj/Backdoor.SubSeven.215. Troyano de acceso remoto 4 - Troj/Backdoor.Graybird.D Troyano de acceso remoto _____________________________________________________________ 1 - VSAntivirus recibe 41,006 visitas por culpa del Mapson _____________________________________________________________ http://www.vsantivirus.com/02-07-03.htm VSAntivirus recibe 41,006 visitas por culpa del Mapson Por Jose Luis Lopez videosoft@videosoft.net.uy Un récord de visitas se ha producido esta jornada, a nuestro sitio. Nada menos que 41,000 impactos únicos, según las estadísticas de NedStat (http://www.nedstatbasic.net/s?tab=1&link=1&id=229651&name=videosoft). Esto es un número significativo, porque nuestro promedio es de 13,000 por día. Nuestro pico histórico había llegado a un poco más de 22,000 visitantes únicos, justamente el pasado mes de junio, a raíz de la aparición de gusanos que atrajeron la atención de nuevos visitantes, en busca de soluciones o descripciones de dichas amenazas. Pero las 41,006 visitas de hoy tienen una explicación, y un nombre, el virus W32/Mapson (A y B). Este gusano, que además involucra a VSAntivirus en uno de los 60 y tantos mensajes que usa para propagarse, incluye como una de sus rutinas prefijadas, la visualización durante el mes de julio, de algunas ventanas de diálogo al encenderse la computadora, y al menos una con el siguiente texto: Lorraine Worm [GEDZAC LABS 2003] Dedicado a mi G. Lorena R. S., http://www.vsantivirus.com/renalo.htm [ OK ] De este modo, todos los que tenían el virus (y por las consultas que hemos recibido, muchos lo tenían sin siquiera saberlo), se han enterado de que en sus máquinas existe un gusano que en principio identifican (según el mensaje anterior), como "Lorraine Worm". El enlace apuntando a nuestro sitio, es obviamente el culpable del aumento de visitas. Sin embargo, como dijimos, se trata del W32/Mapson. Ahora dicha página contiene el siguiente aviso: --- contenido actual de http://www.vsantivirus.com/renalo.htm --- Si usted está visualizando esta página, puede ser porque encontró en su computadora un mensaje como el siguiente: Lorraine Worm [GEDZAC LABS 2003] Dedicado a mi G. Lorena R. S., http://www.vsantivirus.com/renalo.htm [ OK ] Este comportamiento se debe a la infección con el gusano conocido como Win32/Mapson.A o Win32/Mapson.B. Dicho gusano hace referencia a nuestro sitio, porque en esta dirección existía la descripción de otro virus presuntamente de los mismos autores. Ambas versiones son iguales, pero comprimidas en forma diferente. Puede obtener más información del Mapson A o B en los siguientes enlaces: Nuevo virus que hace referencia a VSAntivirus.com http://www.vsantivirus.com/07-06-03.htm W32/Mapson.A. Gusano que hace referencia a VSAntivirus http://www.vsantivirus.com/mapson-a.htm W32/Mapson.B. Menciona a VSAntivirus, tiene otro tamaño http://www.vsantivirus.com/mapson-b.htm Referencia al VBS/Renalo original: VBS/Renalo (Lorena). Se propaga vía IRC, y programas P2P http://www.vsantivirus.com/renalo2.htm --- Final de la página --- También se da allí el enlace a una herramienta para quitar este gusano de un sistema infectado. "Lorraine Worm" es el VBS/Renalo (o Lorena), un gusano aparecido a comienzos de este año, aparentemente del mismo autor del Mapson. Su descripción ha sido cambiada al siguiente enlace: http://www.vsantivirus.com/renalo2.htm. En concreto, accedieron a nuestra página en la última jornada, 41,006 visitantes únicos, y podrían ser más en los próximos días. Si descontamos los 13,000 visitantes acostumbrados (como promedio), esto también significa que seguramente existen más de 28,000 usuarios infectados con este gusano. Esperemos que al menos hayan encontrado la solución para liberarse de este gusano. Podrá encontrar más información del "Mapson" en los enlaces mencionados. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Opera 7 sigue siendo vulnerable a ataques DoS _____________________________________________________________ http://www.vsantivirus.com/vul-opera-dos.htm Opera 7 sigue siendo vulnerable a ataques DoS Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Existen en el navegador Opera, varios errores que aún no han sido corregidos, y que incluso en la versión 7 pueden causar, por lo menos, el cuelgue del programa. Explotar estos errores, permiten que un atacante realice ataques de denegación de servicio sobre el sistema (DoS). El problema es que los mismos pueden lograrse con un simple código HTML, desde una página Web. Los ejemplos muestran como con solo 12 bytes dentro de una etiqueta "<!DOCTYPE>", puede hacerse que el Opera utilice el 100% de los recursos de la CPU, bloqueando no solo al programa, sino a la propia computadora. El uso de algunos scripts pueden causar la falla del programa, pero sin otras consecuencias que su terminación en forma anormal. Otra falla que termina utilizando todos los recursos de la computadora, puede explotarse a través del uso malicioso del formato de las hojas de estilo. Todos los exploits para estas fallas están publicadas en Internet (cinco en total), y afectan a las versiones 7.03, 7.10, 7.11 y 7.11b para Windows. La solución momentánea (para al menos cuatro de las cinco fallas demostradas), puede ser deshabilitar JavaScript (Archivo, Opciones rápidas, destildar "Activar JavaScript"), y también el Modo de autor en Estilo de páginas (Archivo, Opciones, Estilo de Página, Modo de autor, destildar "Hojas de estilo de la página"). Estos cambios modificarán el modo de visualizar ciertas páginas. El vendedor fue avisado el 24 de junio y aún no hay respuesta. Créditos: imagine (Operash Webmaster), nesumin <nesumin@softhome.net> * Referencias: [Opera 7] Five DoS codes on general web sites http://www.securityfocus.com/archive/1/327333 Opera Software http://www.opera.com/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Backdoor.SubSeven.215. Troyano de acceso remoto _____________________________________________________________ http://www.vsantivirus.com/back-sub7-215.htm Nombre: Troj/Backdoor.SubSeven.215 Tipo: Caballo de Troya de acceso remoto Alias: Backdoor.SubSeven.215, BackDoor-Sub7.svr Fecha: 29/jun/03 Plataforma: Windows 32-bit Tamaño: 312,131 bytes Es una variante de la familia de troyanos de acceso remoto SubSeven, y está programado en Borland Delphi. Compromete la seguridad del sistema infectado, al habilitar una puerta trasera por la que un atacante puede tomar el control de la computadora de su víctima. Esta versión utiliza por defecto el puerto TCP/11142 Cuando se ejecuta, generalmente engañando al usuario y disfrazado en alguna supuesta herramienta, se copia a si mismo en el directorio de Windows: c:\windows\Vicod.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). También modifica la siguiente entrada en el registro, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Vid Codecs = Vicod.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Vid Codecs = Vicod.exe Luego, abre el puerto de comunicaciones 11142 para comunicarse a canales de IRC configurables. El troyano también envía por ese medio la notificación de que está instalado en un sistema y esperar las órdenes remotas. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Vid Codecs 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Vid Codecs 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Backdoor.Graybird.D Troyano de acceso remoto _____________________________________________________________ http://www.vsantivirus.com/back-graybird-d.htm Nombre: Troj/Backdoor.Graybird.D Tipo: Caballo de Troya Alias: Backdoor.GrayBird Fecha: 27/jun/03 Plataforma: Windows 32-bit Tamaño: 319,706 bytes Este troyano es una variante de Backdoor.Graybird [http://www.vsantivirus.com/back-arr.htm], y se propaga a través de servicios como telnet e IRC, además de las redes de intercambio entre usuarios P2P. Utiliza los puertos TCP/1040, 1041 y 1043 por defecto, pero puede configurarse para utilizar otros. En este caso, se aprovecha de una vulnerabilidad del NMS (Network Management Server). El troyano permite a un atacante el acceso y control remoto no autorizado a la máquina infectada. Es un archivo ejecutable en formato PE (Portable Ejecutable), escrito en Delphi y comprimido con la herramienta ASPack (la versión original estaba comprimida con UPX). Una vez que el troyano se esta ejecutando como servidor en la computadora de la víctima, el atacante puede administrar en forma remota todos los recursos de la máquina infectada. Cuando se ejecuta, se copia a si mismo en la carpeta System de Windows, con el nombre de "svch0st.exe" (note que el nombre contiene un CERO simulando ser la letra "O"): c:\windows\system\svch0st.exe Luego crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run fegoze = c:\windows\system\svch0st.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices fegoze = c:\windows\system\svch0st.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run fegoze = c:\windows\system\svch0st.exe Con el mismo propósito, crea la siguiente entrada en el archivo WIN.INI: [windows] run = c:\windows\system\svch0st.exe "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). El troyano permite las siguientes acciones, entre otras: - Instala un servidor FTP para usar la computadora como almacén de archivos temporal. - Captura información de la configuración del servidor y de las estaciones de trabajo. - Roba claves de acceso y números de tarjetas de crédito. - Control de Acceso Remoto de los archivos y programas de los sistemas atacados. - Captura teclas digitadas por el usuario. - Envía mensajes de correo desde el equipo infectado a través de las librerías MAPI. - Controla periféricos como el mouse, CD/DVD drivers, monitor, etc. - Activa y desactiva el equipo, lo suspende o apaga. - Puede enviar comandos a través del Chat. - Borra archivos y formatea el disco duro. - Formatear el disco duro. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas por programas P2P Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre el siguiente archivo (recuerde que el nombre contiene un CERO simulando ser la letra "O"): c:\windows\system\svch0st.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: fegoze 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: fegoze 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: fegoze 8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [Windows] run = c:\windows\system\svch0st.exe Debe quedar como: [Windows] run = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1090 Año 7, Miércoles 2 de julio de 2003