Mostrando mensaje 131     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1082 Año 7, Martes 24 de junio de 2003 Fecha: Miercoles, 25 de Junio, 2003  00:21:31 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1082 Año 7, Martes 24 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - ZoneAlarm puede permitir el robo de información 2 - Control ActiveX vulnerable en "Symantec Security Check" 2 - Troj/Java.Needy.A. Usa falla de la Máquina Virtual Java 3 - W32/Sprezza.A. Gusano de KaZaa, intenta descargar X.EXE 4 - JS/Fortnight.E. Infecta desde pagina Web y firma del OE _____________________________________________________________ 1 - ZoneAlarm puede permitir el robo de información _____________________________________________________________ http://www.vsantivirus.com/vul-za-shell.htm ZoneAlarm puede permitir el robo de información Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ ZoneAlarm puede permitir el robo de información de nuestra computadora, sin que el usuario pueda detectar la transferencia, según se ha revelado en conocidas listas de seguridad. La falla podría afectar también a otros cortafuegos, y se basa en el uso normal de Windows. Una posible forma de eludir al cortafuego ZoneAlarm ha sido publicada recientemente en Internet. La misma se basa en la utilización de funciones ampliamente documentadas de la librería de Windows "shell32.dll", en especial la que permite la ejecución de una aplicación asociada al parámetro enviado. La función en cuestión es "ShellExecute", utilizada en este caso con un parámetro que hace referencia a un URL (Uniform Resources Locator o Localizador Uniforme de Recursos). Cuando ello sucede, Windows invoca al navegador por defecto con dicha URL (normalmente una dirección de Internet). Cómo el navegador por lo general siempre tiene permiso para conectarse a Internet, ZoneAlarm no indicará nada anormal durante la conexión. Un ejemplo muestra como se puede utilizar para enviar contraseñas y nombres de usuario robados de la máquina que hace la conexión. El navegador pasa esta información hacia Internet, sin que el usuario pueda detectar la transferencia. La información robada está limitada al máximo permitido en el largo del URL, pero esto podría ser más que suficiente para que una aplicación maliciosa, como un troyano, pueda enviar información crítica al servidor de un pirata informático. El "truco" fue probado con la versión 3.1.395 gratuita del ZoneAlarm, pero seguramente puede funcionar con todas las demás versiones, incluso las de pago. Aunque la revelación de esta vulnerabilidad solo menciona al ZA, es posible se pueda aplicar a otros cortafuegos, ya que se basa en el uso normal de una aplicación que es casi seguro siempre tenga habilitado el derecho de conexión a Internet, o sea el navegador por defecto usado por el usuario. No hay respuesta del fabricante a este problema. La única recomendación dada por el descubridor de la falla, es no permitir la conexión por defecto del navegador, y hacerlo por demanda, cada vez que se sigue un enlace, cosa bastante engorrosa por cierto. * Más información de esta falla: http://www.securityfocus.com/archive/1/326371 * Nota VSAntivirus (25/jun/03): ZoneAlarm Pro (la versión de pago), tiene una característica adicional que evita pueda usarse esta vulnerabilidad. En "Advanced Program Control", se debe configurar en "High" la opción "Program Control" (esto en la versión gratuita no se puede hacer. Aún cuando existe dicha opción, la misma está desactivada). Con esta característica activa, cada vez que un programa intente usar a otro para acceder a Internet, un mensaje de alerta como el siguiente le advertirá: Do you want to allow PROGRAMA.EXE to use Internet Explorer to access the Internet? [Publicado con autorización de Enciclopedia Virus] (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=177 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Control ActiveX vulnerable en "Symantec Security Check" _____________________________________________________________ http://www.vsantivirus.com/vul-symantec-rufsi.htm Control ActiveX vulnerable en "Symantec Security Check" Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Symantec reportó una falla producida por desbordamiento de búfer, en su producto "Symantec Security Check". Symantec Security Check es una herramienta basada en el Web, que permite que un usuario compruebe "en línea" si la seguridad de su computadora está preparada para protegerla de una larga variedad de amenazas. Como parte de la ejecución de este examen, el usuario debe instalar un control ActiveX. Esta instalación es automática luego de aceptar como válido un certificado de seguridad. Este control ActiveX, llamado "Symantec RuFSI Utility Class" o "Symantec RuFSI Registry Information Class", se encuentra en un archivo llamado "rufsi.dll", y es el que contiene la falla que permite el desbordamiento de búfer. El problema es que el archivo permanecerá instalado en el sistema aún después de la finalización de la prueba. De ese modo, esta falla, puede ser explotada cuando un usuario con este control en su equipo, visite un sitio de Internet malicioso. El exploit puede causar que el Internet Explorer se cuelgue, o que se ejecute código en forma arbitraria en la computadora afectada. Symantec ha reemplazado el control vulnerable en su sitio Web, de modo que los nuevos visitantes que entren a su página y ejecuten el Symantec Security Check, no podrán ser afectados por el exploit. * Actualización automática Aquellos que alguna realizaron el test mencionado, y por lo tanto puedan tener en su sistema el control ActiveX vulnerable, deberían volver a entrar al sitio de Symantec y ejecutar la prueba nuevamente. Esto cambiará automáticamente el control defectuoso por el ya corregido para solucionar el desbordamiento de búfer. Para ello, seleccione uno de estos enlaces (uno u otro): 1. En español (ofrece un análisis más antiguo, no lo recomendamos, salvo que usted no se lleve con el inglés): http://security.norton.com/default.asp?productid=symhome&langid=mx&venid=sym Luego, seleccione: "Analizar riesgos de seguridad" 2. En inglés (actualizado, recomendado): http://security.symantec.com/ Seleccione: "Security Scan", Start. En cualquiera de los dos casos, si usted tiene un control ActiveX antiguo, se presentará una ventana con un certificado de seguridad de Symantec, solicitando su aprobación para la descarga de un componente necesario (el control actualizado). Acéptelo. Luego de la descarga se procederá a escanear su equipo. Importante: Aún cuando usted tenga instalado un antivirus, el test de Symantec solo reconocerá como válido el Norton Antivirus. Cualquier otro que usted tenga, dará como resultado (al menos en inglés), algo como "WARNING! No known virus protection software found" (no se encontró ninguna protección antivirus). Esto no es cierto, y es una política desacertada de Symantec ignorar cualquier otro antivirus que no sea el suyo. * La solución "manual" Una solución alternativa, solo para usuarios avanzados, es intentar borrar el ActiveX defectuoso. Para ello, deberán reiniciar su PC (para asegurarse de que no está activo en memoria), y luego buscar la carpeta "C:\WINDOWS\Downloaded Program Files" (o la "carpeta donde tengan instalado Windows" y allí el directorio "Downloaded Program Files"), y borrar el archivo "rufsi.dll", si está presente. Aunque el "Symantec Security Check" está disponible tanto para usuarios de PC como de Mac, solo los primeros son afectados por la vulnerabilidad de este control. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Java.Needy.A. Usa falla de la Máquina Virtual Java _____________________________________________________________ http://www.vsantivirus.com/java-needy-a.htm Nombre: Troj/Java.Needy.A Tipo: Caballo de Troya (Java) Alias: Java/Needy.A, Needy.A, Java.Needy.A Plataforma: Windows 32-bit Fecha: 24/jun/03 Se trata de un troyano escrito en un applet de Java, que cambia la configuración del Internet Explorer, de modo que su página de inicio y las opciones de búsqueda son redirigidas a una página proporcionados por él. Se activa sin la intervención del usuario, cuando éste visita una página Web o un correo electrónico con formato HTML conteniendo el applet. No realiza ninguna otra modificación en el sistema. El troyano se presenta en un archivo JAR (un formato de archivo que reúne todos los componentes que requiere un applet de Java). Cuando es ejecutado, el troyano se vale de una falla en la Máquina Virtual de Java (reportada en el boletín MS03-011 de Microsoft) para obtener los máximos privilegios, eludir las restricciones de seguridad de Java, y ejecutar su código. El troyano crea entonces un archivo temporal conteniendo las configuraciones del registro (.REG) a modificar, y ejecuta el REGEDIT.EXE con parámetros para provocar los cambios. Serán modificadas estas claves del registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Use Search Asst = [valor proporcionado por el troyano] Search Page = [valor proporcionado por el troyano] Start Page = [valor proporcionado por el troyano] Search Bar = [valor proporcionado por el troyano] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search SearchAssistant = [valor proporcionado por el troyano] Además de limpiar los cambios realizados como se indica más adelante, es muy importante aplicar el parche correspondiente, para que este troyano (u otro código malicioso similar), no se aproveche en el futuro de la mencionada vulnerabilidad, con consecuencias quizás peores. La falla está relacionada con un error en el componente ByteCode Verifier, de la Microsoft Virtual Machine, que no comprueba ciertos códigos a ejecutar. Son vulnerables todas las versiones inferiores a la 3809, ésta incluida. Para conocer el número de versión actual de su equipo, e instalar el parche respectivo, siga este enlace: Alerta: Falla en Microsoft Virtual Machine (MS03-011) http://www.vsantivirus.com/vulms03-011.htm Para limpiar la infección, proceda de este modo: * Borrar Archivos temporales de Internet. Primero, debe borrar los archivos temporales de Internet. 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet pinche en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Pinche en Aceptar, etc. * Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Pinche en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Pinche en "Aceptar". * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Sprezza.A. Gusano de KaZaa, intenta descargar X.EXE _____________________________________________________________ http://www.vsantivirus.com/sprezza-a.htm Nombre: W32/Sprezza.A Tipo: Gusano de Internet (P2P) Alias: Worm.P2P.VB.u Fecha: 24/jun/03 Tamaño: 9,728 bytes Plataforma: Windows 32-bit Este gusano se propaga por la red de intercambio de archivos entre usuarios KaZaa. No modifica ningún otro archivo ni toca el registro de Windows. Solo queda residente en memoria. Cuando se ejecuta, intenta descargar un archivo llamado X.EXE de un sitio Web, que actualmente no está disponible. Eso genera un mensaje de error (archivo no disponible). Además se copia a si mismo a la carpeta por defecto del KaZaa, utilizando los siguientes nombres, para infectar a otros usuarios: 007 Crack.exe 007 keygen.exe 007.exe 3D Flash Animator v3.7.exe 3D magic Pixel 3D Crack.exe 3D magic Pixel 3D.exe AbsoluteFTP Crack.exe AbsoluteFTP Keygen.exe AbsoluteFTP.exe Acrobat Reader 5.1.exe Ad-Aware Retail Crack.exe Ad-Aware Retail.exe Adboe Acrobat Reader 5.10 Crack.exe Adboe Acrobat Reader 5.10 Keygen.exe Adboe Acrobat Reader 5.10.exe Adobe Acrobat Reader 5.1.exe Adobe InDesign 2.0.exe Adobe Photoshop Elements 7.0 Crack.exe Adobe Photoshop Elements 7.0 Keygen.exe Adobe Photoshop Elements 7.0.exe Alto MP3 Maker v3.20.exe Antiy Ghostbusters Profes.exe Awave Studio v8.5 Retail.exe Battle.net keygen.exe Beach Screen Saver.exe Bleem 1.6.exe Borland 3 Crack.exe Borland 3 keygen.exe Borland 3.exe Business Card Designer Plus 7.3.exe C and C Renegade Crack.exe C and C Renegade keygen.exe C and C Renegade.exe CD Ripper 1.71.exe CDR Win 5.0.exe CD-R.Diagnostic.v1.7.2.140.exe Clone CD 4.0.1.3.exe Clone CD 4.0.exe CloneCD 3.3.4.1 .exe Coffe Cup 9.3.exe Combat.exe Counter Strike Hacks.exe Crack Hotmail.exe Cracking Hotmail Accounts.exe cs hack.exe cs keygen working.exe Cute Ftp 3.0 Pro.exe Cute FTP Pro v3.exe CuteFTP 5.0.exe DDS.Femtools.v2.1.1-ISO.exe Digimation.Darwin.v1.0.fo.exe Direct x 8.2.exe Direct x 9.exe DirectX 9.0 Beta.exe DirectX V9 Final Release Full Installer.exe DivX 5.02 Pro Bundle + Keymaker.exe Divx 5.02 Pro bundle.exe Divx 5.exe DivX.Pro.v5.0.Incl.Keymak.exe Doom 3 Alpha Crack.exe Doom 3 Alpha keygen.exe Doom 3 Alpha.exe Download Accelerator 5.exe Download Accelerator Pro 5.3.exe Dreamweaver MX.exe Duke Nukem 3D Crack.exe Duke Nukem 3D keygen.exe Duke Nukem 3D.exe DVD Genie 4.5.exe Dvd Ripper Pro.exe DVD-Divx rip Pack 2.exe Easy CD Creator 5.exe EFCommander Keygen.exe EFCommander.exe Fast Mp3 Search.exe Flash MX.exe FTP LE 5.08.exe FTP Pro 7.6.exe Full Programz.exe Getright 5.0.exe Ghost Recon Desert Siege Crack.exe Ghost Recon Desert Siege keygen.exe Ghost Recon Desert Siege.exe hacking.exe Hitman 2 Crack.exe Hitman 2 keygen.exe Hitman 2.exe Hotmail Accont Cracker.exe Hotmail Hacking.exe Jukebox 8.0.exe key cs working.exe Lame MP3 Encoder 3.92.exe Linux Red Hat 7.3.exe Macromedia Director 8.5.exe Mafia Bloodpatch.exe magic Pixel 3D Keygen.exe Max Payne Crack.exe Max Payne keygen.exe Max Payne.exe Maya v4.5 beta.exe McAfee SpamKiller v4.0.40.1.exe Media Player DVD.exe MegaPing 3.10.exe MIB 2 Crossfire Crack.exe MIB 2 Crossfire keygen.exe MIB 2 Crossfire.exe Microsoft Visio C++ 4.exe Microsoft Visual Basic Net Crack.exe Microsoft Visual Basic Net Keygen.exe Microsoft Visual Basic Net.exe Microsoft Visual C++ 4.0.exe mIRC.exe Need 4 Speed 3.exe Nero Burning Rom 5.5.9.17.exe Nero Mix v1.3.1.5.exe NightFire Crack.exe NightFire keygen.exe NightFire.exe Nokia LogoManager 1.2.80 Crack.exe Nokia LogoManager 1.2.80 Keygen.exe Nokia LogoManager 1.2.80.exe Norton Antivirus 2002 v7.0.exe Norton AntiVirus2003v9..exe Norton Ghost 2002.exe Norton Ghost 2003 for DOS.exe Norton Personal Firewall 2003 Crack.exe Norton Personal Firewall 2003 Keygen.exe Norton Personal Firewall 2003.exe Office XP Pro ISO.exe OPTICORE.OPUS.REALIZER.V1.exe Outlook Express Backup v5.1.46.exe PartitionMagic 7.0.exe PC Cillin Antivirus 2003.exe PDF Creator.exe Personal Firewall 2003.exe PGA Tour 2002.exe Photo Impact 7.exe PhotoImpact 7.exe Photoshop Plugins.exe Pop Up Stopper.exe PopUp Killer 1.9.exe Power Dvd.exe PowerArchiver v2002 8.0 RC3 Crack.exe PowerArchiver v2002 8.0 RC3 Keygen.exe PowerArchiver v2002 8.0 RC3.exe PowerStrip.v3.30.Build.364.exe Prisoner of War Crack.exe Prisoner of War keygen.exe Prisoner of War.exe PSX CD-Disk Copier Prog.exe Quake 3 Arena Crack.exe Quake 3 Arena keygen.exe Quake 3 Arena.exe Resident Evil 2 Crack.exe Resident Evil 2 keygen.exe Resident Evil 2.exe Risa.Technologies.RISA.3D.exe Serials 2k v7.1.exe Serialz 2000.exe Silent Hill 2 Crack.exe Silent Hill 2 keygen.exe Silent Hill 2.exe Sim City 3000 Unlimited Crack.exe Sim City 3000 Unlimited Keygen.exe Sim City 3000 Unlimited.exe Sim City 4 Crack.exe Sim City 4 keygen.exe Sim City 4.exe SoftImage XSI 3.0.exe Soldier of Fortune 2 Crack.exe Soldier of Fortune 2 keygen.exe Soldier of Fortune 2.exe Sound Forge 5.0.exe StarCraft Crack.exe StarCraft keygen.exe StarCraft.exe Starship Troppers Crack.exe Starship Troppers keygen.exe Starship Troppers.exe Sub 7 hack program.exe Symantec.Norton.Ghost.200.exe System Analyzer Diagnost.exe System Cleaner 4.84.exe Thumbs Plus 5.01.exe Thumbs Plus v5.01 Crack.exe Thumbs Plus v5.01 Keygen.exe Thumbs Plus v5.01.exe Tomb Raider 4 Crack.exe Tomb Raider 4 keygen.exe Tomb Raider 4.exe Tray Helper.exe Turok Dinosaur Hunter Crack.exe Turok Dinosaur Hunter keygen.exe Turok Dinosaur Hunter.exe Ulead Cool 3D.exe Ulead Media Studio + Crack.exe Underage Teen.exe Visual Studio 6.exe War Commander Crack.exe War Commander keygen.exe War Commander.exe warcraft 3 ONLINE B.NET WORKING KEYGEN.exe WarCraft Crack.exe WarCraft keygen.exe WarCraft.exe Wet Teen.exe Win DVD 2000.exe Win Proxy 4 Crack.exe Win Proxy 4 Keygen.exe Win Proxy 4.exe Win Xp Key Changer.exe Winace 2.3 Beta Crack.exe Winace 2.3 Beta Keygen.exe Winace 2.3 Beta.exe Winamp 3.exe Windows Media Player 9.exe Windows XP CD Key and Product ID Changer.exe Windows Xp Key Program.exe Windows XP Pro Activated ISO.exe Windows XP Theme 2.0.exe WinDVD Plus Crack.exe WinDVD Plus Keygen.exe WinDVD Plus.exe WinOnCD 3.8 Power Edition.exe WinRar 3.00.exe Winrar 3.10.exe WinXP CD-Key Crack.exe Winzip 8.1 sr1 corp.exe WinZip 8.1 SR-1.exe Working BattleNet Keygen.exe working cs keygen.exe Write.Brothers.Movie.Magi.exe WS.exe x.exe Xara 3d 5.02.exe X-Box Emulator.exe Xbox Emulator.exe XP Anti Spy 3.02.exe XP Anti-Spy 3.51.exe XP CD Key and Product ID Changer.exe XP Fast BOOT.exe Xp Service Pack 1.exe Zip Password Cracker.exe Zip Password Finder Crack.exe Zip Password Finder Keygen.exe Zip Password Finder.exe * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Reinicie su computadora para sacar el virus de la memoria. 2. Actualice sus antivirus con las últimas definiciones 3. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 4. Borre los archivos detectados como infectados * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - JS/Fortnight.E. Infecta desde pagina Web y firma del OE _____________________________________________________________ http://www.vsantivirus.com/fortnight-e.htm Nombre: JS/Fortnight.E Tipo: Caballo de Troya en JavaScript Alias: JS_FORTNIGHT.E, FORTNIGHT.E, JS/Fortnight-E, Troj/ByteVeri-A Fecha: 24/jun/03 Plataforma: Windows 32-bit Tamaño: 606 bytes Este troyano se propaga a través de enlaces ocultos al final de mensajes creados con el Outlook Express. El enlace aparece en una marca del tipo HTML IFRAME, y apunta a un determinado sitio web. Este sitio contiene un applet de Java que intenta sacar provecho de una vulnerabilidad en la máquina virtual Java de Microsoft, para obtener acceso no autorizado a la máquina infectada. La descripción de esta vulnerabilidad puede encontrarse aquí: Alerta: Falla en Microsoft Virtual Machine (MS03-011) http://www.vsantivirus.com/vulms03-011.htm El applet se aprovecha de esta falla para modificar el registro y crear nuevos archivos en el sistema. Esta es la lista de archivos creados. Aquellos que ya existan son sobrescritos: c:\windows\s.htm c:\windows\hosts c:\windows\system32\drivers\etc\hosts c:\windows\favoritos\Nude Nurses.url c:\windows\favoritos\Search You Trust.url c:\windows\favoritos\Your Favorite Porn Links.url NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). La carpeta "c:\windows\favoritos\" es tomada del valor "Favorites" en la siguiente entrada del registro: HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Shell Folders El gusano modifica el registro para hacer que la firma por defecto del usuario actual en el Outlook Express, sea el archivo S.HTM. HKCU\Identities\{ID de Usuario}\Software\Microsoft \Outlook Express\5.0\signatures Default Signature = "00000000" HKCU\Identities\{ID de Usuario}\Software\Microsoft \Outlook Express\5.0\signatures\00000000 file = "c:\windows\s.htm" name = "Signature #1" text = "" type = "2" Este archivo HTML contiene el enlace a un sitio web comercial (se utiliza un truco para disfrazar la verdadera dirección, que está después de la arroba). Ver "¿@ en un URL? Algo me huele mal", http://www.vsantivirus.com/gm-arroba-url.htm): http://www001.up[xxx].so-net.ne.jp:3128@[xxx].com/m.html De este modo, todos los mensajes enviados por el usuario infectado con el Outlook Express, llevarán un enlace a la página infectada. Los archivos con extensión .URL, son accesos directos a inofensivas páginas web. El archivo HOSTS (sin extensión), se crea en las dos ubicaciones por defecto para Windows 95, 98 y Me (carpeta \windows\) y para Windows NT, 2000 y XP (carpeta \windows\system32\drivers\etc\). Este archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS. El troyano crea este archivo con varias entradas apuntando a direcciones IP propias. Estas son algunas de las direcciones de Internet que serán desviadas a otra página, cuando el usuario infectado pretenda acceder a ellas: adv.sexcounter.com auto.search.msn.com cart.penispill.com in.paycounter.com lobby.sexlist.com penismedical.net rd1.hitbox.com refer.ccbill.com search.msn.com secure.2000charge.com select.2000charge.com srd.yahoo.com the.sextracker.com www.1shoppingcart.com www.asacp.org www.big-penis.com www.ccbill.com www.cyberpatrol.com www.cybersitter.com www.herbalbucks.com www.herbalo.com www.icra.org www.morepenis.com www.n69.com www.netnanny.com www.penilesecrets.com www.penismedical.net www.penispill.com www.pillmedics.com www.pillscash.com www.pillsmoney.com www.pluspills1.com www.rsac.org www.safesurf.com www.signup.globill-systems.com www.spyglass.com www.surfwatch.com www.tv69.com El troyano también crea las siguientes entradas en el registro para desactivar las lengüetas "Seguridad" y "Avanzadas" en la ventana de "Opciones de Internet" del Internet Explorer: HKCU\Software\Policies\Microsoft \Internet Explorer\Control Panel SecurityTab = "1" AdvancedTab = "1" También modifica las siguientes entradas, para que las opciones de búsqueda del Internet Explorer, apunten por defecto a la página del troyano: HKCU\Software\Microsoft\Internet Explorer\Main\Search Page HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar HKLM\Software\Microsoft\Internet Explorer\Main\Search Page HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar HKCU\Software\Microsoft\Internet Explorer\Main\SearchAssistant HKCU\Software\Microsoft\Internet Explorer\Main\CustomizeSearch HKLM\Software\Microsoft\Internet Explorer\Main\SearchAssistant HKLM\Software\Microsoft\Internet Explorer\Main\CustomizeSearch HKLM\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\s.htm c:\windows\hosts c:\windows\system32\drivers\etc\hosts c:\windows\favoritos\Nude Nurses.url c:\windows\favoritos\Search You Trust.url c:\windows\favoritos\Your Favorite Porn Links.url Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \URL \DefaultPrefix 3. Pinche en la carpeta "DefaultPrefix" y en el panel de la derecha, bajo la columna "Nombre", busque y asegúrese de que exista la siguiente entrada (si existe NO LA BORRE, si es diferente, cámbiela por "http://";): (Predeterminado) = http:// 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Policies \Microsoft \Internet Explorer \Control Panel 5. Pinche en la carpeta "Control Panel" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: SecurityTab AdvancedTab 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Modificar archivo de firmas en Outlook Express En el Outlook Express seleccione Herramientas, Opciones, Firmas. Desmarque en "Modificar firma" la opción Archivo o seleccione otro archivo. * Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Pinche en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Pinche en "Aceptar". * Actualizar Internet Explorer Actualice su Internet Explorer según se explica en el siguiente artículo: http://www.vsantivirus.com/vulms03-020.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1082 Año 7, Martes 24 de junio de 2003