Mostrando mensaje 129     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1080 Año 7, Domingo 22 de junio de 2003 Fecha: Domingo, 22 de Junio, 2003  23:41:41 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1080 Año 7, Domingo 22 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - ¿Qué diferencia hay entre un gusano y un HOAX? 2 - Grave vulnerabilidad en phpBB 3 - W32/Nofear.B. Infecta ejecutables y elimina antivirus 4 - BAT/Snoital.A. Asunto: "Free antivirus program" 5 - BAT/Mumu.B. Se propaga a través de recursos IPC$ _____________________________________________________________ 1 - ¿Qué diferencia hay entre un gusano y un HOAX? _____________________________________________________________ http://www.vsantivirus.com/hoax-gusano.htm ¿Qué diferencia hay entre un gusano y un HOAX? [reedición] Por Jose Luis Lopez videosoft@videosoft.net.uy Gusano. Programa capaz de copiarse a si mismo a otras computadoras conectadas a una red (incluido Internet), generalmente a través del correo electrónico, o de recursos compartidos. Originalmente, se le llamó gusano (worm) a aquél programa capaz de copiarse a si mismo hasta agotar la memoria disponible. Hoax (o bulo). Una "broma" o "engaño", generalmente una falsa advertencia de alarma de virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria), distribuida por correo electrónico, donde se nos pide siempre el reenvío a la mayor cantidad de conocidos. No es ninguna novedad. Desde hace mucho tiempo existen numerosas alarmas falsas que se propagan a través de grupos de noticias o de listas de participación. Y cada cierto tiempo, aparecen nuevas, o se "reeditan" otras. A este tipo de advertencia, se le llama HOAX (o sea broma o engaño). Por lo general, causan más daño que los supuestos virus que suelen advertir. Es que si les mandamos a todos nuestros conocidos, cada advertencia de este tipo (todas tienen en común el pedirnos esto), nosotros mismos terminamos convirtiéndonos en el virus que supuestamente intentamos evitar que se propague. Porque, ¿que es lo que hacen virus del tipo gusanos?. Por lo general, enviarse a la lista de contactos de nuestra libreta de direcciones. ¿Y que es lo que nos piden estas falsas advertencias?. Algo muy similar, enviárselo a todos nuestros conocidos, solo que el doble clic sobre el botón de envío lo damos nosotros. En definitiva, las consecuencias son las mismas. Saturar los servidores de correo, y hacernos gastar a nosotros y a todos los demás, tiempo y dinero. La solución es muy simple. Jamás reenvíe aquellos mensajes donde se le pida hacerlo. Simplemente mándelos a la bandeja de elementos eliminados. Los HOAXES, son una de las peores plagas que suelen circular por la red. Muchas veces, más peligrosos que los propios virus. * Lo que siempre debe tener en cuenta Ante todo, recuerde que existe un gran número de bromas muy similares, algunas son advertencias de virus, otras son cadenas solidarias u ofertas de dinero fácil. Incluso, pueden ser advertencias sobre graves peligros a la salud humana, o relativas a engaños de los que podemos llegar a ser víctimas. Todos esos "hoaxes", tienen en común, al menos estas características: 1. Sugerir que Ud. evite un archivo con algún nombre específico. 2. El pedirle lo "reenvíe a todos sus amigos o conocidos", incluso en forma de cadenas. 3. No proporcionar un enlace a algún sitio real, donde alguien con más autoridad en el tema pueda ofrecer detalles concretos y documentados sobre la amenaza. 4. Solicitarle que remita "algo" a cambio de obtener dinero o algún beneficio por alguna causa digna. Todo ello basado en otro mito, que todo e-mail puede ser rastreado en forma sistemática. En este último caso, son muchos los que piensan que no pierden nada por reenviar esos mensajes. Sin embargo, no lo haga. No obtendrán ningún beneficio al hacerlo, pero si gastará su valioso tiempo y ancho de banda al navegar por la red, y el de otras personas. ¿Realmente conoce a alguien que haya ganado algún dinero con esto?. Siempre que reciba un mensaje donde se le asegure que algún dinero será donado o que alguna acción favorable le ocurrirá si lo remite, debería asumir que se trata de un engaño e ignorarlo. Sin embargo, recordemos también que detrás de los "hoaxes", podrían existir algunas verdades, pero estas siempre se exageran, de tal modo que solo crean pánico, sin fundamentos la mayoría de las veces. * Lo que NO debe hacer 1. Jamás abra archivos adjuntos a un e-mail que usted no solicitó. 2. Jamás reenvíe mensajes cuando se le pida hacerlo. 3. Jamás responda a un desconocido que le envía un HOAX. Podría ser una trampa para capturar su dirección de correo. Algo muy usado por quienes desean obtener direcciones válidas para utilizarlas en lo que se ha convertido en otra verdadera plaga de la red, el "SPAM" (el correo basura no solicitado, generalmente conteniendo publicidad que usted no desea recibir). * Lo que SI debe hacer 1. Si usted no los solicitó, simplemente borre cualquier mensaje con archivos adjuntos (esto se aplica para CUALQUIER mensaje que reciba con archivos adjuntos en él). 2. En caso de advertencias, investigue discretamente en sitios como los que se indican más adelante, si es que desea estar más informado. 3. Indíquele a quien le envía un HOAX, SOLAMENTE SI SE TRATA DE UN CONOCIDO (pero NO a todos sus amigos), de sitios como los que se indican a continuación, donde puede encontrar información en español sobre los hoaxes más comunes. Algo que nos ha dado un muy buen resultado para hacer entender a aquellas personas que aún dudan cuando reciben mensajes con pedidos solidarios, o premios millonarios de ignotas loterías, es aplicar esta simple "Regla de tres para NO enviar correo basura", que ya hemos mencionado en otros de nuestros artículos. * Cuando esté a punto de enviar un mensaje, hágase estas tres preguntas: 1. ¿Escribió alguien más este mensaje?. 2. ¿Está enviándolo a una lista larga de personas?. 3. ¿Es un chiste, advertencia de cualquier clase que le llegó por correo, llamada de atención, poesía?. ¡Si la respuesta es SI a cualquiera de ellas, NO lo envíe! Puede mantenerse al día de los hoaxes o bulos más conocidos si visita cualquiera de estas páginas asiduamente: http://www.vsantivirus.com/hoaxes.htm http://www.enciclopediavirus.com http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Grave vulnerabilidad en phpBB _____________________________________________________________ http://www.vsantivirus.com/vul-phpbb-admin.htm Grave vulnerabilidad en phpBB Por Redacción VSAntivirus vsantivirus@videosoft.net.uy phpBB es un paquete de código abierto, altamente configurable, para la creación de portales, basado en los "Bulletin Board" (tablones de noticias), como originalmente se llamaban a los BBS (Bulletin Board System). Hoy día esto ha evolucionado a lo que se conoce como portales o comunidades virtuales. Este software, desarrollado sobre PHP, un lenguaje gratuito que sirve para la programación de scripts del lado del servidor, soporta múltiples bases de datos (MySQL, MSSQL, PostgreSQL, Access/ODBC). Una vulnerabilidad recientemente anunciada, permite que un intruso pueda modificar el comportamiento de uno de sus scripts administrativos, "/admin/admin_styles.php", cambiando la ruta donde se incluye el archivo de configuración "/theme_info.cfg". Esto compromete seriamente la seguridad de todo el servidor, ya que las posibles modificaciones a la forma de actuar del archivo administrativo mencionado, son críticas para el funcionamiento de todo el sistema. Incluso puede forzarse la inclusión o ejecución de otros archivos, al obtener los permisos para ello. Un "exploit" que se aprovecha de esta falla ya es público en Internet, lo que compromete gravemente la seguridad de todos los portales desarrollados con phpBB, al no existir aún un parche por parte de sus desarrolladores. Las pruebas indican que en el momento, son vulnerables todas las versiones 2.0.x. * Referencias: http://www.securityfocus.com/bid/7932/info/ http://www.phpbb.com/ * Créditos: Gerben van der Lubbe <gerben_van_der_lubbe@hotmail.com> (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Nofear.B. Infecta ejecutables y elimina antivirus _____________________________________________________________ http://www.vsantivirus.com/nofear-b.htm Nombre: W32/Nofear.B Tipo: Gusano de Internet e infector de ejecutables Alias: W32/Trile.B, W32/Nofear.b@MM, I-Worm.Fearso.b, Win32/Farex.B Fecha: 22/jun/03 Plataforma: Windows 32-bit Tamaño: ~102 Kb Variante similar a la versión A. Se trata de un gusano capaz de propagarse a través del correo electrónico y de las utilidades de intercambio de archivos entre usuarios KaZaa y Shareaza. Además, intenta finalizar la ejecución de varios antivirus y cortafuegos, e infecta ejecutables del sistema. Cuando un archivo infectado se ejecuta, infecta a otros ejecutables. El gusano inyecta un componente llamado "kernel.dll" dentro del espacio del proceso "Explorer.exe" (o sea dentro del proceso del entorno gráfico del propio Windows). Además, abre el puerto 555 con la intención de vulnerar la protección de algunos cortafuegos. Los destinatarios de los mensajes infectados son seleccionados de la libreta de direcciones de Windows (WAB), del libro de direcciones del Eudora y de la lista de contactos del MSN Messenger. Estas son las característica de esos mensajes: Uno de los siguientes asuntos: $150 FREE Bonus!! 25 merchants and rising! Announcement! Bad news!! CALL FOR INFORMATION! Click on this! Correction of errors! Cows Daily Email Reminder! Empty account! Fantastic! Free Shipping! FSM32 Get 8 FREE issues - no risk!! Get a FREE gift! Greets!! Hi! History screen! I need help about script!!! Interesting... Introduction Its Easy! ing! Just a reminder! Lost & Found! Market Update Report! Membership Confirmation My eBay ads! New bonus in your cash account! New Contests! New Reading News Payment notices! Please Help... Report SCAM alert!!! Sponsors needed! Star Wars II Movie Stats Today Only!! Tools For Your Online Business! Various! Warning! Wow! Your Gift! Your News Alert!! Uno de los siguientes textos en el cuerpo del mensaje: Attached one Gift for u.. Check the Attachment! Check the Attachment.. Enjoy the Attachment! Hi Check the Attachment ... More details Attached! See the Attachment! Y como datos adjuntos, un archivo con dos extensiones. La primera parte del nombre es una de las siguientes: bullshitscr Checkfriends Enjoylove Freescreensaver Friends Friends4u Friendscr Friendsearch friendsgreetings friendship friendship4u friendshipbird Friendshipforu Friendsworld fucker Greetings Love Love4u lovefinder lovegreetings Lovers Loverscreensaver Loversgang Lovescr Loveshore Passion passionup Rishtha saver Screensaver Screensaver4u Screensaverforu shakeit Shakescr shakingfriendship shakinglove Shareit Sharelove Truefriends Truelovers Urfriend Werfriends Como dijimos, el adjunto utiliza siempre dos extensiones, las que son tomadas de los siguientes grupos: Primera extensión: .bmp .dat .doc .gif .htm .jpg .mdb .mp3 .mpg .txt .wav .xls Segunda extensión: .bat .pif Ejemplos: Lovers.bmp.pif Enjoylove.mp3.bat Cuando el adjunto se ejecuta, se muestran mensajes de error como estos: Error A fatal exception 0E has ocurred at 0028:C02A0201 in VXD IOS(04)+00001Fc9. [ OK ] Error The system cannot find the file specified. [ OK ] Luego, se crean los siguientes archivos: c:\windows\[nombre al azar].exe c:\windows\svchost.exe c:\windows\kernel.dll (59,904 bytes) Los dos primeros son copias del propio gusano, y tienen 43 Kb. aproximadamente. NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). También crea copias de si mismo en la carpeta "My Downloads" (si no existe, la crea en el raíz de la unidad C): C:\My Downloads\ Los nombres de sus copias, son formados con la combinación de los siguientes componentes [Primera parte]+[Segunda parte]. Primera parte: Age Of Empires 2 Age Of Sail 2 Age Of Wonders 2 AikaQuest3Hentai AIM Account Stealer Austerlitz Napoleons Greatest Victory Black And White BORLAND Delphi 7 Cat Attacks Child Civilization 3 CKY3 - Bam Margera World Industries Alien Workshop Clive Barker’s Undying Comanche 4 Crazy Taxi Duke Nukem Manhattan Project Dweebs 2 Elder Scrolls III Morrowind THX Brrbrr Empire Earth Free Virus Removal Tool From Symantec Freedom Force Gladiator Grand Prix 4 Grand Theft Auto 3 Gta 3 Gta3 Hacking Tool Collection Half Life Blue Shift Half-life ONLINE Hard Truck 18 Wheels of Steel Hitman 2 Silent Assassin Industry Giant 2 International Cricket Captain 2003 Internet and Computer Speed Booster KaZaA Media Desktop v2.5 UNOFFICIAL KaZaA Spyware Remover Macromedia Dreamweaver MX Macromedia Mafia Microsoft Office XP (English) MoviezChannelsInstaler MSN Password Hacker and Stealer Need For Speed 5 Porsche Unleashed Nero Burning Rom 5.8.0.1 Neverwinter Nights Norton AntiVirus 2002 Norton Utilities 2002 Xp Prisoner Of War Quake 3 Arena Quake 4 BETA Red Ace Squadron Sims Soldier Of Fortune 2 Soldiers Of Anarchy Star Wars Starfighter Strike Fighter Project 1 Stronghold Crusader Sudden Strike 2 The Sun Of All Fears Unreal Tournament 3 Valhalla Chronicles Windows XP Windows XP SP1 Winzip 8.0 Xbox.Info Zidane-ScreenInstaler Segunda parte: Crack.exe Full Downloader.exe ISO - Full Downloader.exe Key Generator.exe Patch.Exe Ejemplos: The Sun Of All Fears Full Downloader.exe Windows XP ISO - Full Downloader.exe Winzip 8.0 Crack.exe Unreal Tournament 3 Patch.Exe Estos mismos archivos son copiados en la carpeta "c:\windows\Drivers". Luego modifica la carpeta por defecto del KaZaa para apuntar a esta última carpeta: HKEY_LOCAL_MACHINE\Software\Kazaa\LocalContent Dir2 = 012345:c:\windows\Drivers Además modifica la carpeta por defecto de la utilidad Shareaza para que apunte a "C:\My Downloads\". De ese modo tanto los usuarios de KaZaa como de Shareaza, se infectarán si descargan y ejecutan algunos de esos archivos. El gusano también crea las siguientes entradas en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre al azar] = c:\windows\[nombre al azar].exe HKEY_LOCAL_MACHINE\SOFTWARE\[nombre al azar] Donde [nombre al azar] es igual a la clave anterior (en "Run"). Dentro se agregan otras claves con la cantidad de mensajes infectados enviados hasta el momento, etc. (estas claves se van modificando). El gusano puede finalizar todos los procesos que contengan algunos de estas cadenas en su nombre (corresponden a conocidos antivirus y cortafuegos): _avp32 _avpcc _avpm Ackwin32 Advxdwin Agentw.Exe Alertsvc Alogserv Amon9x Anti-Trojan Ants Apvxdwin Atcon Atupdater Atwatch Autodown Avconsol Avgcc32 Avgctrl Avgserv Avgserv9 Avgw Avkpop Avkserv Avkservice Avkwctl9 Avp C Avp32 Avpcc Avpm Avpm.Exe Avsched32 Avsynmgr Avwinnt Avxmonitor9x Avxmonitornt Avxquar Avxquar.Exe Avxw Blackd Blackice C.Exe Ccapp.Exe Ccevtmgr Ccevtmgr.Exe Ccpxysvc.Exe Cdp Cdp.Exe Cfgwiz Claw95 Claw95c Cleaner Cleaner3 Cmgrdian Connectionmonitor Cpd Cpd At Cpdclnt Cpdclnt.Exe Ctrl Ctrl.Exe Defalert Defscangui Defwatch Doors H Doors.Exe Dvp95 Dvp95_0 Efpeadm Efpeadm.Exe Etrustcipe Etrustcipe.Exe Evpn.Exe Expert F-Agnt95 Fameh32 Fch32 Fih32 Fnrb32 F-Prot F-Prot95 Fp-Win Frw Erv Fsaa Fsav32 Fsgk32 Fsgk32.Exe Fsma32 Fsmb32 F-Stopw Gbmenu Gbpoll Generics Guard Iamapp Iamserv Iamserv Iamstats Icload95 Icloadnt Icmon Icsupp95 Icsuppnt Iface Iomon98 Isrv95 Itor Jedi Ldnetmon Ldpromenu Ldscan Lockdown Lockdown2000 Luall Lucomserver Luspt Mcagent Mcmnhdlr Mctool Mcupdate Mcvsrte Mcvsshld Mgavrtcl Mgavrte Mghtml Minilog Monitor Moolive Mpfagent.Exe Mpfservice Mpftray.Exe Mwatch Nav Auto-Protect Navap Navapsvc Navapw32 Navengnavex15 Navlu32 Navw32 Navwnt Ndd32 Neowatchlog Netutils Nisserv Nisum Nmain Normist Notst Art Nprotect Nprotect.Exe Npssvc Nsched32 Ntrtscan Ntvdm Ntxconfig Nui An Nupgrade Nvc95 T Nvsvc32 Nwservice Nwtool16 Padmin Pavproxy Pcciomon Pccntmon Pccwin97 Pccwin98 Pcscan Persfw Perswf Pop3trap Poproxy Portmonitor Processmonitor Programauditor Pview95 P-Win.Exe R.Exe Rav7 Rav7win Realmon Rescue Rtvscn95 Rulaunch Sbserv Scan32 Scrscan Smc Sphinx Spyxx Ss3edit Sweep95 Sweepnet Sweepsrv.Sys Swnetsup Symproxysvc H1 Symtray Taumon Tc Tca Tcm Tds-3 Di Tfak Vbcmserv Vbcons Vet32 Vet95 Vettray Vir-Help Vpc32 Vptray Vsched Vsecomr Vshwin32 Vsmain Vsmon Vsstat Watchdog Webscanx Webtrap Wgfe95 Wimmun32 Wradmin Wradmin.Exe Wrctrl Zapro Zonealarm Finalmente el gusano puede infectar archivos ejecutables de Windows, agregando su código al principio de los mismos. Los archivos infectados aumentarán su tamaño en unos 43 Kb. aprox. * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Repare o borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [nombre al azar] 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \[nombre al azar] 5. Pinche en la carpeta "[nombre al azar]" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - BAT/Snoital.A. Asunto: "Free antivirus program" _____________________________________________________________ http://www.vsantivirus.com/snoital-a.htm Nombre: BAT/Snoital.A Tipo: Gusano (MS-DOS Batch) Alias: BAT.Snoital@mm, Bloodhound.VBS.Worm, BAT/KillAV.N Fecha: 18/jun/03 Tamaño: 13,425 bytes Plataforma: Windows 32-bit Es un gusano que borra varios archivos correspondientes a conocidos antivirus. Se propaga a través de clientes como Microsoft Outlook, Outlook Express, IRC, etc., compatibles con MAPI (Messaging Application Programming Interface), una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, etc. El mensaje infectado tiene estas características: Asunto: Free antivirus program Datos adjuntos: Nod32.bat Texto: Best free antivirus around Cuando se ejecuta, borra los siguientes archivos: \Archivos de programa\avpersonal\antivir.vdf \Archivos de programa\f-prot95\fpwm32.dll \Archivos de programa\kasper~1\avp32.exe \Archivos de programa\mcafee\scan.dat \Archivos de programa\norton~1\*.exe \Archivos de programa\norton~1\s32integ.dll \Archivos de programa\tbav\tbav.dat \Archivos de programa\trojan~1\tc.exe \Archivos de programa\tbscan.sig También se copia en varias ubicaciones, con nombres al azar, además del nombre del propio adjunto. Por ejemplo: C:\Nod32.bat C:\Virc\Suck-Me.BAT C:\Windows\fgun.bat C:\Windows\uatvs.bat También con nombres al azar, crea varios archivos en Visual Basic Script y JavaScript, por ejemplo: C:\kazzad.vbs C:\qhmhs.vbs C:\Windows\snphh.js Cuando cualquiera de los scripts se ejecutan, se envían a todos los contactos de la libreta de direcciones de Windows, mensajes como el descripto antes, con el propio gusano como adjunto. El gusano también modifica el registro de Windows, para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run kfienq = c:\windows\fgune.bat Y crea otra entrada para que un cliente de IRC específico, el vIRC, envíe el gusano a otros usuarios que participen en el mismo canal de chat que la víctima. HKCU\Software\Megalith Software\Visual IRC 96\Events Event17 = dcc send $nick C:\Virc\Suck-Me.BAT Si el vIRC no está instalado, el gusano solo se propagará por correo electrónico. Finalmente, sobrescribe todos los archivos con extensión .VBS y .JS con el mismo código que envía al gusano por correo electrónico cada vez que se ejecute el script. Un error en su código, hace que en ocasiones no se adjunte correctamente a los mensajes enviados. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: kfienq 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Megalith Software \Visual IRC 96 \Events 5. Pinche en la carpeta "Events" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Event17 = "dcc send $nick C:\Virc\Suck-Me.BAT" 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - BAT/Mumu.B. Se propaga a través de recursos IPC$ _____________________________________________________________ http://www.vsantivirus.com/mumu-b.htm Nombre: BAT/Mumu.B Tipo: Gusano de Internet (MS-DOS Batch File) Alias: Muma, Bat/Mumu-B, Worm.Win32.Muma.b, BAT.Muma, Bat/Mumu.worm.B, BAT.Mumu.B.Worm, BAT_SPYBOT.B, HackTool.Win32.Hucline.b Relacionados: Troj/Hacline-A, HackTool.Win32.Hucline, VirTool.Win32.Hucline.A, IPCScan, Hacktool.Win32.Hucline, Hacktool.Hacline, TROJ_HACLINE.A, Troj/PcGhost Fecha: 18/jun/03 Plataforma: Windows 32-bit Este gusano se propaga copiándose a través de recursos compartidos IPC$ y ADMIN$ de computadoras remotas con contraseñas débiles (utiliza una lista de contraseñas predefinidas), creando una cuenta administrativa para el usuario "KKKKKKK". El gusano genera varios archivos .BAT, los que copia a través de dichos recursos: 10.BAT HACK.BAT IPC.BAT MUMA.BAT NEAR.BAT RANDOM.BAT REPLACE.BAT START.BAT El gusano también puede contener los siguientes archivos: A.LOG HFIND.EXE IPCPASS.TXT NTSERVICE.BAT NTSERVICE.EXE NTSERVICE.INI NWIZ_.EXE NWIZ.IN_ PCMSG.DLL SPACE.TXT SS.BAT TIHUAN.TXT Una vez cargado, el archivo 10.BAT ejecuta al archivo HFIND.EXE, detectado como el troyano Troj/Hacline-A por algunos antivirus. Este troyano es utilizado para escanear direcciones IP de potenciales víctimas. El troyano utiliza el archivo IPCPASS.TXT, que contiene una lista de contraseñas utilizada para acceder a los recursos compartidos a los que intentará copiarse. También ejecuta un troyano (detectado como "Troj/PcGhost" por algunos antivirus), capaz de capturar lo tecleado y robar contraseñas de la máquina infectada, además de intentar enviar esta información a una dirección de correo preconfigurada, a intervalos regulares. Troj/PcGhost es usualmente asociado a una herramienta legítima de captura de lo tecleado (PCMSG.DLL). Luego ejecuta a IPC.BAT en un bucle, propagando el archivo HACK.BAT por todas las computadoras detectadas. Este último BAT continúa la ejecución de los demás .BAT para propagar el gusano por todos los recursos compartidos (se copia en la carpeta System de cada computadora accedida). Para ello utiliza también los archivos NTSERVICE.BAT y NTSERVICE.EXE, y el resto de los componentes indicados. El gusano copia también otros archivos que no contienen códigos maliciosos. NWIZ.EXE (Utilidad de video llamada NView) NWIZ.IN_ (Configuración de NView) PSEXEC.EXE (Herramienta para acceso a redes) REP.EXE (Utilidad para manejo de texto) PCMSG.DLL (Utilidad legítima para almacenar lo tecleado) Cuando el gusano copia todos sus archivos a través de los recursos compartidos usando la herramienta PSEXEC, ejecuta el archivo START.BAT en la computadora remota, lo que inicia el mismo proceso nuevamente. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1080 Año 7, Domingo 22 de junio de 2003