Mostrando mensaje 140     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1091 Año 7, Jueves 3 de julio de 2003 Fecha: Jueves, 3 de Julio, 2003  03:04:19 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1091 Año 7, Jueves 3 de julio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Netmeeting puede permitir la sobrescritura de archivos 2 - W32/Mapson.C. Simula ser una cura de si mismo 3 - Troj/Poetas.A. Troyano que degrada el rendimiento 4 - Troj/PSW.Avisa. "Test de inteligencia" que roba datos _____________________________________________________________ 1 - Netmeeting puede permitir la sobrescritura de archivos _____________________________________________________________ http://www.vsantivirus.com/vul-netmeeting-traversal.htm Netmeeting puede permitir la sobrescritura de archivos Por Angela Ruiz angela@videosoft.net.uy Una vulnerabilidad ha sido identificada en Windows Netmeeting, la aplicación de Microsoft que facilita la comunicación en tiempo real con audio y vídeo en línea. Esta falla, puede ser explotada por un atacante para sobrescribir en forma remota, archivos en forma arbitraria en la computadora local, con los privilegios del usuario local. El problema es causado por un error en la validación de las entradas, cuando se usan sus facilidades de transferencia de archivos. Especificando un nombre con la secuencia de caracteres "..\", es posible acceder a otros directorios diferentes a los asignados dentro del entorno controlado por la aplicación para recibir archivos, lo que se conoce como una vulnerabilidad del tipo "Directory Traversal Vulnerability". Esto posibilita la sobrescritura de otros archivos del sistema del usuario, e incluso la ejecución de código en forma arbitraria. Aunque la vulnerabilidad ha sido reportada en la versión 3.01 (4.4.3385) de Netmeeting para Windows XP y 2000, es posible que otras versiones también sean vulnerables. La solución es actualizarse a las versiones Windows 2000 SP4 y Windows XP SP1 respectivamente (seleccione las versiones en español de estas actualizaciones): Windows 2000 Service Pack 4: http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/ Windows XP (Professional and Home edition) Service Pack 1: http://www.microsoft.com/WindowsXP/pro/downloads/servicepacks/sp1/ Créditos: Hernán Ochoa, Gustavo Ajzenman, Javier Garcia Di Palma, y Pablo Rubinstein (Core Security Technologies). Relacionados: http://www.coresecurity.com/common/showdoc.php?idx=352&idxseccion=10 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Mapson.C. Simula ser una cura de si mismo _____________________________________________________________ http://www.vsantivirus.com/mapson-c.htm Nombre: W32/Mapson.C Tipo: Gusano de Internet Alias: W32.Mapson.C.Worm, Win32/Mapson.C, W32/Lorraine.C@mm, W32/Mapson.C@mm, W32/Lorra.C@mm Fecha: 1/jul/03 Tamaño: 180,224 bytes Plataforma: Windows 32-bit Nueva versión del W32/Mapson (la C), con algunas diferencias a las anteriores. Esta vez no es solo una variante recomprimida como en el caso de la B con respecto a la A. Su código, como las versiones anteriores, está programado en Borland Delphi 6, y comprimido con la utilidad UPX. También se propaga por medio de mensajes con asuntos, textos, y archivos adjuntos de nombres variables, y con extensiones .COM, .EXE, .SCR o .PIF, a toda la lista de contactos del MSN Messenger. Además, intenta propagarse por las siguientes redes de intercambio de archivos P2P: eDonkey2000 Gnucleus Grokster ICQ KaZaA KaZaA Lite Limewire Morpheus Posee una rutina destructiva que intenta finalizar los procesos de conocidos productos antivirus, cortafuegos, y otros relacionados con la seguridad, dejando a la computadora infectada vulnerable al ataque de otros códigos virales. Puede enviarse a las casillas de cTmail, un servicio de envío de correo basado en la web (principalmente de Hotmail), y utiliza su propio motor SMTP para propagarse a través del correo electrónico. Uno de los mensajes del gusano, simula ser enviado por Nod32. En este caso también se menciona el nombre de una herramienta de limpieza, proporcionada por el distribuidor italiano del producto, y disponible para la descarga en las páginas de VSAntivirus que contienen la descripción de las versiones A y B del Mapson. Si recibe ese archivo, o cualquier otro en un mensaje adjunto que no haya solicitado, sin importar quien los envía, jamás deberá aceptarlo. Por otra parte, jamás recibirá adjuntos no solicitados de ningún fabricante de antivirus o sitio de Internet dedicado a la seguridad. Dicha herramienta está limpia y es segura, siempre que usted mismo la descargue del enlace proporcionado en nuestras páginas. Jamás acepte ninguna clase de herramienta enviada vía correo electrónico, aunque sea de un amigo que intente ayudarlo. Agradézcale a ese amigo la intención, pero siempre pídale el enlace al sitio original, y asegúrese de que ese sitio sea confiable (como VSAntivirus, por ejemplo). Estos son algunos ejemplos de estos mensajes. El remitente siempre es una dirección falsa: Ejemplo 1: De: antivirus@nod32.com Asunto: Alerta por Virus W32/Mapson Datos adjuntos: NSPCLEAN.exe Texto del mensaje: En los últimos días se ha ido detectando un nuevo virus llamado Mapson, ya se han detectado varios infectados de este gusano, si usted se encuentra infectado podrá remover este gusano con esta herramienta gratuita que le hemos enviado, una vacuna que hemos diseñado especialmente para usuarios de hotmail, si usted esta de acuerdo haga clic en el adjunto para empezar el scaneo y eliminar este despreciable gusano de su maquina. Gracias. Ejemplo 2: De: [variable] Asunto: Re:Reenviamelo de nuevo Datos adjuntos: bromas.scr Texto del mensaje: Si te gusto reenviamelo. Ejemplo 3: De: [variable] Asunto: Re:Quitan cuentas de hotmail. Datos adjuntos: pasos.pif Texto del mensaje: Al parecer hotmail ya esta muy saturado de usuarios y amenazan con quitar cuentas, pero se puede evitar siguiendo unos pasos, léelos y no tendrás problemas, chau Ejemplo 4: De: [variable] Asunto: Problema de seguridad en Internet Explorer Datos adjuntos: IEXPLORERSTACK.pif Texto del mensaje: Un problema de seguridad a sido detectado en Internet Explorer se recomienda aplicar los correspondientes parches ya que esta vulnerabilidad puede permitir la ejecución arbitraria de código en la maquina afectada, para saber mas acerca de esta vulnerabilidad favor de leer el documento y así prevenir el ataque de un virus informativo Ejemplo 5: De: [variable] Asunto: Re: LTelo y reenvfalo a quienes mas amas. Datos adjuntos: amor_real.pif Texto del mensaje: Si el documento expone lo que sientes hacia otra persona, reenvíalo a tus amigos y un sueño se hará realidad. Ejemplo 6: De: [variable] Asunto: Si no te late.... Datos adjuntos: fotokosmiko.scr Texto del mensaje: Si no te late, devuTlvemelo Ejemplo 7: De: [variable] Asunto: Lista de Hoaxes Datos adjuntos: hoax-list.com Texto del mensaje: Te envío una lista de hoaxes, virus falsos, para que estés prevenido y no hagas caso a las mentiras, chau cuídate Ejemplo 8: De: [variable] Asunto: Para mis amigos Datos adjuntos: OsamaBinLadenJokes.scr Texto del mensaje: Los mejores chistes que tengo, disfrutenlos Otros asuntos que el gusano puede utilizar: "If it does not bark to you, return it to me 10 consejos para terminar su noviazgo Alerta por Virus W32/Mapson Documents Espero que te guste For my friends Fwd:read it an resubmit it to the people that you more love Herramienta gratuita para eliminar el Mapson Hoax List I hope that you like I love you In the last days has gone detecting a new called virus Mapson, already they have been detected various Lea el adjunto y enterese Lista de Hoaxes Para mis amigos Photookosmike.scr Por que es mi amigo. por que lo vales. Por que su amistad es lo mas importante. problem of security in Internet Explorer Problema de seguridad en Internet Explorer Re: Dime que te parece Re:Quitan cuentas de hotmail Re:Reenviamelo de nuevo Read with attention So that he is my friend so that it bonds So that its friendship is but the important thing. Te amo tell me that it seems ten counsels to finish with its boyfriend the msn 6 violates our privacy the ten steps for..... They remove accounts of hotmail Warning by Virus W32/Mapson Lista de posibles adjuntos: amigos-por-siempre.exe amor_real.pif amor-eterno.pif analysis_mzn6.pif animation-simpsons.scr Anti-Worm.exe bromas.scr Cards.exe Cards_love.pif carta_de_amor.exe consejos-noviazgo.exe counsels.pif documents.scr fotokosmiko.scr friends.pif hoax-list.com IEXPLORER_STACK.pif IEXPLORERSTACK.pif Ivalue-much.pif jokess.scr loValoroMucho.scr love-forever.pif my_best_friend.pif NSPCLEAN.exe OsamaBinLadenJokes.scr pasos.pif Photookosmike.scr porque-lo-quiero.pif real_love.scr realidades.pif reality_dreams.pif sexual_steps.pif steps.pif Los remitentes, además de los indicados, y de otras direcciones extraídas de la máquina infectada, pueden ser algunos de la siguiente lista: Amor@teamo.com Anti-Spam@campaña.com antivirus@nod32.com bigbrother@bigbrother.tv cristina_aguilera@cristina-aguilera.com hacker@hotmail.com lacosha@hotmail.com Latincards@latincards.com lorena@hotmail.com Maria_fernanda@mfernanda.com notice@madonna.com support@hotmail.com support@passport.com test@hispasec.com Webmaster@vsantiviru.com Webmaster@zonaviru.com Si se ejecuta el archivo adjunto, o un archivo infectado, el gusano se copia a si mismo en las siguientes ubicaciones y con los siguientes nombres: c:\Mark.vxd c:\windows\system\analysis_mzn6.pif c:\windows\system\animation-simpsons.scr c:\windows\system\Cards_love.pif c:\windows\system\counsels.pif c:\windows\system\documents.scr c:\windows\system\friends.pif c:\windows\system\hoax-list.com c:\windows\system\IEXPLORER_STACK.pif c:\windows\system\Ivalue-much.pif c:\windows\system\jokess.scr c:\windows\system\Lorena.exe c:\windows\system\love-forever.pif c:\windows\system\my_best_friend.pif c:\windows\system\NSPCLEAN.exe c:\windows\system\OsamaBinLadenJokes.scr c:\windows\system\Photookosmike.scr c:\windows\system\real_love.scr c:\windows\system\reality_dreams.pif c:\windows\system\sexual_steps.pif c:\windows\system\steps.pif NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Modifica el registro para ejecutarse con cada inicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run LOAD32 = c:\windows\system\Lorena.exe El gusano finaliza además, cualquiera de los siguientes procesos que esté activo en memoria, todos pertenecientes a conocidos antivirus y cortafuegos: _AVP32.exe _AVPCC.exe _AVPM.exe ADVXDWIN.exe AGENTW.EXE ALERTSVC.exe ALOGSERV.exe AMON9X.exe ANTI-TROJAN.exe ANTS.exe APVXDWIN.exe ATCON.exe ATUPDATER.exe ATWATCH.exe AUTODOWN.exe AVCONSOL.exe AVCONSOL.EXE AVGCC32.exe AVGCTRL.exe AVGSERV.exe AVGSERV9.exe AVGW.exe AVKPOP.exe AVKSERV.exe AVKSERVICE.exe AVKWCTL9 AVP32.exe AVPCC.exe AVPM.exe AVPM.EXE AVSCHED32.exe AVSYNMGR.exe AVWINNT.EXE AVXMONITOR9X.exe AVXMONITORNT.exe AVXQUAR.exe AVXQUAR.EXE AVXW.exe BLACKD.exe BLACKICE.exe CCAPP.EXE CCEVTMGR.EXE CCPXYSVC.EXE ETRUSTCIPE.EXE EVPN.EXE EXPERT.exe F-AGNT95.exe FAMEH32.exe F-PROT.exe F-PROT95.exe FP-WIN.exe FRW ERV.exe ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IOMON98.exe msconfig.EXE NAV AUTO-PROTECT.exe NAVAP.EXE NAVAPSVC.EXE Navapw32.exe NAVENG NAVEX15.EXE NAVLU32.EXE NAVW32.EXE NAVWNT.EXE NDD32.EXE NPSSVC.EXE NSCHED32.EXE NSPCLEAN.exe PAV.EXE PCCIOMON.EXE PCCNTMON.EXE PCCWIN97.EXE PCCWIN98.EXE PCSCAN.EXE PERSFW.EXE PERSWF.EXE POP3TRAP.EXE RAV7.EXE Regedit.com Regedit.EXE regedt32.EXE sfc.EXE sysedit.EXE taskmgr.exe VPC32.EXE VPTRAY.EXE VSCHED.EXE VSECOMR.EXE VSHWIN32.EXE VSMAIN.EXE VSMON.EXE VSSTAT.EXE ZONEALARM.EXE El gusano intenta propagarse por las siguientes aplicaciones de intercambio de archivos: eDonkey2000 Gnucleus Grokster ICQ KaZaA KaZaA Lite Limewire Morpheus Para ello, busca los siguientes directorios, bajo C:\Program Files\ o C:\Archivos de programa\: \KaZaA\My shared Folder \KaZaA Lite\my shared folders \edonkey2000\incoming \Gnucleus\downloads \ICQ\shared files \Limewire\shared \Morpheus\my shared folder \Grokster\My Grokster Y se copia allí con diferentes nombres, por ejemplo: Ad-aware .exe AOL Instant Messenger (AIM).exe Avril Lavigne Fucked Bitch.exe Biromsoft WebCam .exe Copernic Agent .exe Delphi 6 Serial.exe Diet Kaza .exe DirectDVD .exe Download Accelerator Plus.exe Global DiVX Player .exe Grokster.exe ICQ Lite .exe ICQ Pro 2003a beta .exe iMesh .exe Kaspersky Antivirus Crack.exe Kazaa 2.05 beta .exe Kazaa Download Accelerator .exe Kazaa Media Desktop .exe Mcafee Serial.exe Microsoft Internet Explorer .exe Microsoft Office XP Serial.exe Microsoft Windows 2003 Serial.txt .exe Microsoft Windows Media Player .exe Morpheus .exe Msn Hack.exe Nero Burning ROM .exe Network Cable e ADSL Speed .exe NOD32 Antivirus Crack.exe Norton Antivirus Crack.exe Office 2003 Serial.exe PerAntivirus Crack.exe Pop-Up Stopper .exe QuickTime .exe Registry Mechanic.exe Shakira Sucks.jpg.exe SnagIt .exe Sofía Vergara Sexy Bikini.exe Spybot - Search & Destroy .exe StarCraft No CD Crack.exe Trillian .exe Visual Studio Net Serial.exe Winamp.exe WinMX .exe WinZip.exe WS_FTP LE (32-bit) .exe XoloX Ultra .exe ZoneAlarm Full Version.exe Cualquiera de estos archivos que sea descargado por un usuario de estas redes y luego ejecutado, infectará su equipo. Finalmente se envía a toda la lista de contactos del MSN Messenger, en mensajes como los ya descriptos. De acuerdo a ciertas fechas, el gusano realiza otras acciones: Si el día es 4 de cualquier mes, entonces el gusano crea el siguiente archivo: C:\lorraine.c.hta También descarga un archivo en formato .HTML del sitio http:/ /www.gratisweb.com. Durante el mes de octubre, el gusano mostrará ventanas con textos como los siguientes: W32/Lorraine.c [GEDZAC LABS 2003] Bi0C0ded by Falckon/GEDZA [ OK ] W32/Lorraine.c [GEDZAC LABS 2003] Lorraine ReC0deD and Reloaded :P [ OK ] * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: LOAD32 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Poetas.A. Troyano que degrada el rendimiento _____________________________________________________________ http://www.vsantivirus.com/troj-poetas-a.htm Nombre: Troj/Poetas.A Tipo: Caballo de Troya Alias: Trojan.Poetas Fecha: 30/jun/03 Tamaño: 365,568 bytes Plataforma: Windows 32-bit Una de las características de este troyano, que no se propaga por si mismo en las redes infectadas, es que su ejecución puede causar la rápida disminución de los recursos del sistema, hasta agotarlos, causando el cuelgue del sistema. Cuando el troyano, que está escrito en Borland Delphi, se ejecuta, busca alguna de las siguientes carpetas en cualquier unidad de disco local: Archivos comunes Archivos de programa Archivos de programa Archivos de programa Common Files Microsoft Office Program Files Winzip Entonces se copia a si mismo en las carpetas encontradas, con alguno de los siguientes nombres: Binladen.exe Cocina2.exe Osama.exe Perdon.exe Poetas2.exe Poetashuevos3.exe Poetashuevos4.exe Services.exe Si no encuentra ninguna carpeta de las indicadas antes, se copia en el directorio raíz de todos los discos duros locales. Luego de copiarlo, ejecuta cada archivo, lo que causa una disminución de los recursos del sistema, pudiendo incluso colgar a Windows. Esto también depende de la memoria disponible. También agrega a las siguientes claves del registro, algunos de los valores que se indican más abajo, apuntando a algunos de los archivos creados: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Posibles valores: Daemon Explorer Internit Kernell Kernell32 Norton Norton Antivirus Sav Sav32 Systray Win Win32 Winamp WinNT * Reparación manual * Remoción del troyano utilizando "Process Explorer" Antes de eliminar este troyano, es necesario detener su ejecución en memoria. Puede usarse el administrador de tareas de Windows, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), el/los siguientes procesos: Binladen.exe Cocina2.exe Osama.exe Perdon.exe Poetas2.exe Poetashuevos3.exe Poetashuevos4.exe Services.exe * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas similares a las siguientes que puedan aparecer allí: Daemon Explorer Internit Kernell Kernell32 Norton Norton Antivirus Sav Sav32 Systray Win Win32 Winamp WinNT 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas similares a las siguientes que puedan aparecer allí: Daemon Explorer Internit Kernell Kernell32 Norton Norton Antivirus Sav Sav32 Systray Win Win32 Winamp WinNT 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/PSW.Avisa. "Test de inteligencia" que roba datos _____________________________________________________________ http://www.vsantivirus.com/troj-avisa.htm Nombre: Troj/PSW.Avisa Tipo: Caballo de Troya Alias: PWSteal.Avisa, Trojan.PSW.Avisa, Troj/GateScr-A Fecha: 25/nov/02 Tamaño: 69,632 bytes Plataforma: Windows 32-bit Se trata de un robador de contraseñas, escrito en Microsoft Visual Basic 6, y solo afecta a versiones en español de Windows. Cuando este troyano se ejecuta, crea el siguiente archivo: c:\windows\Test de inteligencia.html Luego, abre el navegador de Internet para visualizarlo. El archivo "Test de inteligencia.html", es un test de inteligencia en español, y no posee código malicioso alguno. El troyano también se copia a si mismo en el siguiente enlace: c:\windows\system\rundii32.exe Otros archivos creados por el troyano: c:\windows\avisar.dll NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). También crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RunDII32 = c:\windows\system\RundII32.exe La clave del registro es creada en forma periódica, de modo que no sirve de nada modificarla mientras el troyano se encuentre activo en memoria. El troyano se ejecuta en forma oculta y en segundo plano, capturando todo lo tecleado por el usuario infectado. Estos datos son guardados luego en archivos con el nombre CRIP*.DLL o CRIP*.TXT (el asterisco representa caracteres al azar). Periódicamente el troyano comprueba si hay una conexión con Internet activa, y utiliza comandos FTP para enviar los datos robados y todos los archivos de la carpeta "C:\Mis Documentos" de la víctima. Además de ello, se copia en forma reiterativa en el directorio raíz de todo disquete disponible para escritura de la unidad A, con el siguiente nombre: TEST DE INTELIGENCIA.HTML .exe Note que el archivo copiado en la carpeta de Windows, "Test de inteligencia.html", es realmente un archivo con formato HTML, sin código malicioso. En cambio el copiado en los disquetes, tiene doble extensión, y se trata en realidad en un ejecutable (.EXE), pero con el truco de la doble extensión. La segunda extensión queda oculta en una instalación por defecto de Windows (ver en las referencias "Mostrar las extensiones verdaderas de los archivos"). Cuando el usuario hace doble clic sobre el supuesto HTML del disquete, ejecuta al troyano, propagando la infección. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Remoción del troyano utilizando "Process Explorer" Antes de eliminar este troyano, es necesario detener su ejecución en memoria. Puede usarse el administrador de tareas de Windows, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), el/los siguientes procesos: rundii32.exe * Antivirus Actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos y disquetes. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: RunDII32 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1091 Año 7, Jueves 3 de julio de 2003