Mostrando mensaje 133     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1084 Año 7, Jueves 26 de junio de 2003 Fecha: Jueves, 26 de Junio, 2003  03:14:15 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1084 Año 7, Jueves 26 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Media Player: Acceso no autorizado a librería de medios 2 - Ejecución de código en Microsoft Windows Media Services 3 - W32/Sobig.E. Nueva versión vigente hasta el 14/7/03 4 - Troj/Zasil.B. Troyano que descarga otros de Internet 5 - W32/Lovgate.L. Versión recomprimida del Lovgate 6 - W32/Yaha.U (Yaha.T). Envío masivo de correo infectado _____________________________________________________________ 1 - Media Player: Acceso no autorizado a librería de medios _____________________________________________________________ http://www.vsantivirus.com/vulms03-021.htm Boletín: MS03-021 Fecha: 25/jun/03 Productos: Microsoft Windows Media Player 9 Resumen: Acceso no autorizado a la librería de medios Impacto: Revelación de información Riesgo: Moderado Plataforma: Windows 9x, Me, XP, NT, 2000 Referencia: Microsoft Security Bulletin MS03-021 Identificación en base de datos: 819639 El autor de una página Web, puede incluir archivos multimedia en la misma, gracias a un control ActiveX incluido en Windows Media Player 9. Este control también le proporciona al usuario una interface para controlar la reproducción. Una falla en dicho control, permite a un atacante el acceso a información de la computadora del usuario. Para explotar la vulnerabilidad, el pirata debe poseer un sitio Web malicioso que contenga una página diseñada específicamente para aprovecharse de la falla. Para llevar a su víctima a dicho sitio, puede incluir un enlace en un correo del tipo SPAM con formato HTML. Si el usuario abre el mensaje o lo visualiza en el panel de vista previa, el enlace podría activarse automáticamente para conectar al usuario al sitio con la página maliciosa. El atacante solo podrá acceder a la información contenida en la librería de medios en la computadora de su víctima. No podrá hacerlo al resto del disco duro ni tendrá accesos a contraseñas o datos encriptados. Tampoco podrá modificar el contenido de ningún archivo, incluidos los propios archivos de la librería de medios, pero podrá modificar el contenido de cualquier entrada asociada con dichos archivos, obteniendo información del usuario. Esta falla es considerada como moderada por Microsoft, y un parche puede ser descargado para corregirla. Más información y descarga de los parches: http://www.microsoft.com/technet/security/bulletin/ms03-021.asp También: http://windowsupdate.microsoft.com/ Más información: http://support.microsoft.com/?kbid=819639 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Ejecución de código en Microsoft Windows Media Services _____________________________________________________________ http://www.vsantivirus.com/vulms03-022.htm Boletín: MS03-022 Fecha: 25/jun/03 Producto: Microsoft Windows Media Services Resumen: Falla en el archivo "nsiislog.dll" Impacto: Ejecución de código Riesgo: Importante Plataforma: Microsoft Windows 2000 Referencia: Microsoft Security Bulletin MS03-022 Identificación en base de datos: 822343 Una falla en las extensiones ISAPI para Windows Media Services, pueden provocar la ejecución de código. Microsoft Windows Media Services es una característica implementada en Microsoft Windows 2000 Server, Advanced Server, y Datacenter Server. También está disponible una versión descargable para Windows NT 4.0 Server. Windows Media Services ofrece el soporte para la difusión de contenido multimedia en vivo a clientes a través de una red en lo que se conoce como multicast streaming. Se denomina "streaming" a la técnica utilizada para transmitir datos de tal modo que estos puedan ser procesados como un flujo continuo y constante, mostrando la información transmitida antes de que el archivo se haya descargado en su totalidad. Mediante el método denominado multicast, la información puede ser recibida por múltiples nodos de la red y por lo tanto por múltiples usuarios, pero el servidor no mantiene conexión directa ni tiene conocimiento del cliente que puede estar recibiendo el flujo de datos. Para facilitar el registro de esta información en el cliente, existe una opción específicamente diseñada para este propósito, que permite registrar las transmisiones multicast y unicast (éstas últimas se refieren a las comunicaciones establecidas entre un solo emisor y un solo receptor en una red). Esta capacidad de registro (logging), está implementada en las extensiones ISAPI (Internet Services Application Programming Interface), en el archivo "nsiislog.dll". Cuando Windows Media Services está instalado en Windows NT 4.0 Server o habilitado a través de las opciones de agregar o quitar programas de Windows 2000, nsiislog.dll es copiado en el directorio de scripts del servidor Internet Information Services (IIS). Existe una vulnerabilidad con la cuál un atacante podría enviar una solicitud HTML especialmente construida al servidor, causando la falla del mismo, o incluso la ejecución de código en el sistema del usuario. La falla se produce por la manera que nsiislog.dll procesa la información recibida. Windows Media Services no se instala por defecto en Windows 2000, y debe ser descargado e instalado específicamente en Windows NT 4.0. * Nota para administradores de sistemas Una forma de determinar si el servidor tiene instalada la capacidad de registro que es vulnerable, es utilizar la opción Buscar, Archivos y carpetas, para localizar el archivo NSIISLOG.DLL. Si aparece este archivo en cualquier directorio compartido por el IIS, el servidor puede ser vulnerable. * Solución Descargar e instalar el parche que elimina el fallo. Más información y descarga del parche: http://www.microsoft.com/technet/security/bulletin/ms03-022.asp Más información: http://support.microsoft.com/?kbid=822343 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Sobig.E. Nueva versión vigente hasta el 14/7/03 _____________________________________________________________ http://www.vsantivirus.com/sobig-e.htm Nombre: W32/Sobig.E Tipo: Gusano de Internet Alias: Win32/Sobig.E, Sobig.E, I-Worm.Sobig.gen, W32/Sobig.E@mm, Win32.HLLM.Reteras, W32.Sobig.E@mm, W32/Sobig-E, W32/Sobig.e@MM Fecha: 25/jun/03 Plataforma: Windows 32-bit Tamaño: 86,528 bytes Otra versión del Sobig, detectada por primera vez el 25 de junio de 2003. Se propaga simulando provenir de direcciones de correo falsas. La infección ocurre solo si el usuario hace doble clic sobre el archivo contenido dentro del adjunto (que siempre es .ZIP). El gusano está compilado en Microsoft Visual C ++ (MSVC) y comprimido con la utilidad Telock, a diferencia de las anteriores, comprimidas con UPX. Busca archivos con las extensiones .DBX, .EML, .HTM, .HTML, .TXT y .WAB, en todos los discos duros, para extraer direcciones de correo a las que luego se enviarán los mensajes infectados. Esas extensiones incluyen además de páginas Web en archivos temporales, las bases de mensajes y los mensajes del Outlook Express y la libreta de direcciones de Windows. Para enviarse por correo, el gusano utiliza su propio motor SMTP, no dependiendo del cliente de correo instalado. Los mensajes enviados poseen las siguientes características: Como remitente, utiliza una dirección falsa obtenida en la máquina infectada. Texto del mensaje (siempre el mismo): Please see the attached zip file for details Como asunto, uno de los siguientes al azar: 004448554.pif Application.pif Applications.pif movie.pif new document.pif Re: Application Re: document.pif Re: Documents Re: Movie Re: Movies Re: Re: Application ref 003644 Re: Re: Document Re: ScRe:ensaver Re: Submitted Referer.pif Screensaver.scr submited.pif Your application Como datos adjuntos (uno de los siguientes): application.zip (contiene "application.pif") document.zip (contiene "document.pif") movie.zip (contiene "Movie.pif") screensaver.zip (contiene "sky.world.scr") your details.zip (contiene "details.pif") El archivo .ZIP, de 82,195 bytes, contiene un archivo .PIF o .SCR, de 86,528 bytes. El usuario debe abrir el .ZIP y hacer doble clic sobre el .PIF o el .SCR para infectarse. Para seleccionar sus destinatarios, el gusano busca direcciones en la máquina infectada, dentro de archivos con las siguientes extensiones: .dbx .eml .htm .html .txt .wab Crea varios archivos, algunos copias de si mismo, otros usados para guardar las direcciones obtenidas en la máquina infectada, a las que luego se envía. El propio gusano se copia en el siguiente archivo: c:\windows\winssk32.exe c:\windows\msrrf.dat También modifica el registro para autoejecutarse en la máquina infectada al reiniciarse ésta: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SSK Service = c:\windows\winssk32.exe Si el sistema operativo es Windows NT, 2000 o XP, también agrega este valor: HKCU\Software\Microsoft\Windows\CurrentVersion\Run SSK Service = c:\windows\winssk32.exe NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Si la fecha actual es anterior a la indicada como 14-07-2003 (14 de julio de 2003), cada 30 minutos el gusano enumera las carpetas compartidas en red, y si tiene los permisos, intentará propagarse a través de recursos compartidos en redes, a otras computadoras, a los siguientes recursos compartidos: C$ D$ E$ IPC$ Windows 95, 98 y Me: C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio Windows XP y 2000: C:\Documents and Settings \All Users\Menú Inicio\Programas\Inicio Windows NT: C:\WinNT\Profiles \All Users\Menú Inicio\Programas\Inicio Las computadoras así infectadas, cargarán al gusano en memoria cuando las mismas sean reiniciadas. En ocasiones, se copia en los directorios raíz o en la carpeta actual. El gusano tiene como fecha de desactivación el 14 de julio de 2003, por lo que podría estar activo hasta el 13/jul/03. Sin embargo, puede ser actualizado descargando archivos de diferentes sitios. * Reparación manual Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: winssk32.exe; msrrf.dat 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione Todos los archivos y carpetas 3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente: winssk32.exe; msrrf.dat 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SSK Service 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (podría no existir): SSK Service 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Zasil.B. Troyano que descarga otros de Internet _____________________________________________________________ http://www.vsantivirus.com/troj-zasil-b.htm Nombre: Troj/Zasil.B Tipo: Caballo de Troya Alias: Zasil.B, Trojan.Zasil.B, Win32/Zasil.B, Backdoor.SdBot.gen Fecha: 25/jun/03 Plataforma: Windows 32-bit Es un caballo de Troya capaz de descargar y ejecutar otros componentes en la máquina infectada. Ha sido enviado en forma de SPAM a un gran número de personas, en un mensaje con las siguientes características: Asunto: IMPORTANT!! Critical security hole in Windows! Texto: Dear Windows User! New Windows 9x/2000/NT/XP critical patch has been released. Due to security problems, your system needs to be updated as earlier as possible. You can download an update patch on Windows Update site: http://www.windows-update.com Best regards, Windows Update Group Cuando el usuario hace clic sobre el supuesto enlace, el navegador se conecta a un sitio falso que simula ser la página de actualización de Windows, descargando y ejecutando un archivo llamado UPDATE0932.EXE. Este archivo es el troyano identificado como Zasil.B. Cuando se ejecuta, el troyano se conecta a otro sitio Web, desde donde descarga un archivo llamado RQ.TXT. RQ.TXT es realmente un archivo de texto, pero contiene el nombre de un enlace, desde donde el troyano descargará otro ejecutable. Un pirata informático puede entonces seleccionar que archivo descargar y ejecutar, cambiando el texto de RQ.TXT. El archivo RQ.TXT original contenía un enlace a un archivo llamado WINPWR32.EXE. Este ejecutable es un paquete de instalación con varias herramientas de hackeo y troyanos de IRC. Luego de un tiempo, el archivo disponible fue SVSGHOST.EXE, un ejecutable conteniendo una herramienta de acceso remoto del tipo Backdoor. La posibilidad de cambiar el contenido de RQ.TXT, mientras el sitio siga activo, eleva el grado de peligrosidad del troyano Zasil.B, porque multiplica la cantidad de posibles amenazas. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Lovgate.L. Versión recomprimida del Lovgate _____________________________________________________________ http://www.vsantivirus.com/lovgate-l.htm Nombre: W32/Lovgate.L Tipo: Gusano, caballo de Troya e infector de archivos Alias: W32/Lovgate.L@m, W32.HLLW.Lovgate.L@mm, Win32/Lovgate.L.Worm, W32/Lovgate.I@m, W32.HLLW.Lovgate.I@mm, Win32/Lovgate.I.Worm Plataforma: Windows 32-bits Tamaño: 163,587 bytes Fecha: 25/jun/03 Esta versión es idéntica a la versión "Lovgate.J", solo que ha sido recomprimida para dificultar su identificación. Gusano con funciones de acceso remoto del tipo backdoor, que también actúa como virus, infectando ejecutables. Se propaga vía e-mail y a través de recursos compartidos en redes, liberando en este último caso las siguientes copias de si mismo en las carpetas compartidas con acceso de lectura y escritura: 100 free essays school.pif Age of empires 2 crack.exe AN-YOU-SUCK-IT.txt.pif Are you looking for Love.doc.exe autoexec.bat CloneCD + crack.exe How To Hack Websites.exe Mafia Trainer!!!.exe MoviezChannelsInstaler.exe MSN Password Hacker and Stealer.exe Panda Titanium Crack.zip.exe Sex_For_You_Life.JPG.pif SIMS FullDownloader.zip.exe Star Wars II Movie Full Downloader.exe The world of lovers.txt.exe Winrar + crack.exe A través del correo electrónico, se envía a si mismo como respuesta automática a todo mensaje recibido por el usuario infectado en el Outlook y Outlook Express, con el siguiente mensaje: De: [nombre del usuario infectado] Para: Asunto: RE: [asunto original] Texto: "<nombre del usuario infectado>" wrote: ==== ><Mensaje original> > ==== [dominio del remitente] account auto-reply: If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. > Get your FREE [dominio del remitente] account now! < Como archivo adjunto, uno de los siguientes: Britney spears nude.exe.txt.exe Deutsch BloodPatch!.exe dreamweaver MX (crack).exe DSL Modem Uncapper.rar.exe How to Crack all gamez.exe I am For u.doc.exe Industry Giant II.exe joke.pif Macromedia Flash.scr Me_nude.AVI.pif s3msong.MP3.pif SETUP.EXE Sex in Office.rm.scr Shakira.zip.exe StarWars2 - CloneAttack.rm.scr the hardcore game-.pif El gusano también recoge direcciones de correo desde archivos .HTML que busca en el directorio actual y en las carpetas "Windows", y "Mis documentos", enviando un mensaje infectado consigo mismo, a todas dichas direcciones. El mensaje enviado puede ser cualquiera de los siguientes: Asunto: Reply to this! Texto: For further assistance, please contact! Datos adjuntos: About_Me.txt.pif Asunto: Let's Laugh Texto: Copy of your message, including all the headers is attached. Datos adjuntos: driver.exe Asunto: Last Update Texto: This is the last cumulative update. Datos adjuntos: Doom3 Preview!!!.exe Asunto: for you Texto: Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy) Datos adjuntos: enjoy.exe Asunto: Great Texto: Send reply if you want to be official beta tester. Datos adjuntos: YOU_are_FAT!.TXT.pif Asunto: Help Texto: This message was created automatically by mail delivery software (Exim). Datos adjuntos: Source.exe Asunto: Attached one Gift for u.. Texto: It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West). Datos adjuntos: Interesting.exe Asunto: Hi Texto: Adult content!!! Use with parental advisory. Datos adjuntos: README.TXT.pif Asunto: Hi Dear Texto: Patrick Ewing will give Knick fans something to cheer about Friday night. Datos adjuntos: images.pif Asunto: See the attachement Texto: Send me your comments... Datos adjuntos: Pics.ZIP.scr Cuando se instala por primera vez, el gusano crea los siguientes archivos: C:\Windows\System\RAVMOND.exe C:\Windows\System\WinDriver.exe C:\Windows\System\WinGate.exe C:\Windows\System\WinHelp.exe C:\Windows\System\winrpc.exe C:\Windows\system32\NetServices.exe C:\Windows\system32\IEXPLORE.EXE C:\Windows\system32\reg678.dll C:\Windows\system32\Task688.dll C:\Windows\ily668.dll C:\Windows\kernel66.dll C:\Windows\111.dll En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Los archivos .DLL corresponden a los componentes troyanos del gusano. Se agrega al registro, creando las siguientes entradas. Esto le permite autoejecutarse cada vez que Windows se reinicie: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinHelp = C:\Windows\System\WinHelp.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinGate initialize = C:\Windows\System\WinGate.exe -remoteshell HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Remote Procedure Call Locator = RUNDLL32.EXE reg678.dll ondll_reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Program In Windows = C:\Windows\system32\IEXPLORE.EXE HKEY_CURRENT_USER\Software\Microsoft\WindowsNT \CurrentVersion\Windows run = RAVMOND.exe Además modifica las entradas por defecto en la siguiente clave del registro, de modo que se ejecuta cada vez que el usuario intenta abrir un archivo de texto haciendo doble clic sobre él (.TXT): HKEY_CLASSES_ROOT\txtfile\shell\open\command (Predeterminado) = winrpc.exe %1 El componente troyano que se encuentra en los archivos .DLL, abre ciertos puertos e inmediatamente envía un mail de notificación a un usuario remoto, avisándole que la computadora infectada está conectada y puede ser accedida. El troyano crea un hilo remoto con LSASS.EXE. Mediante comandos enviados por el intruso a través del puerto abierto, se puede obtener toda la información sensible de la computadora atacada, además de poder modificar la configuración del propio troyano. Puede crear hasta 10 hilos simultáneos, que intentan conectarse a otras máquinas remotas compartidas como IPC$ y lanzar entonces un ataque de fuerza bruta para poder acceder con nombre y usuario a las mismas. Para ello, utiliza una lista de contraseñas predefinidas: "!@#$" "!@#$%" "!@#$%^" "!@#$%^&" "!@#$%^&*" "0 " "000000" "00000000" "007" "1" "110" "111" "111111" "11111111" "12" "121212" "123" "123123" "1234" "12345" "123456" "1234567" "12345678" "123456789" "123abc" "123asd" "2002" "2003" "2600" "321" "54321" "654321" "666666" "888888" "88888888" "a" "aaa" "abc" "abc123" "abcd" "abcdef" "abcdefg" "admin" "Admin" "admin123" "administrator" "Administrator" "alpha" "asdf" "asdfgh" "computer" "database" "enable" "god" "godblessyou" "guest" "Guest" "home" "Internet" "Login" "login" "love" "mypass" "mypass123" "mypc" "mypc123" "oracle" "owner" "pass" "passwd" "password" "Password" "pc" "pw" "pw123" "pwd" "root" "secret" "server" "sex" "sql" "super" "sybase" "temp" "temp123" "test" "test123" "win" "xp" "xxx" "yxcv" "zxcv" Si el ataque tiene éxito, copia el archivo "NetServices.exe" en la carpeta "\admin$\system32", y ejecuta dicho archivo como servicio con el nombre de "Microsoft NetWork FireWall Services". Otro componente, WIN32VXD.DLL, es utilizado para el robo de contraseñas, exportando la función "SetHook()" para localizar en todos los procesos abiertos que contengan "@" y "<>", la cadena "password" y "username". La información obtenida es enviada a esta dirección: helo_dll@163.com Una vez activo en memoria, el gusano finaliza cualquier proceso que contenga una de las siguientes cadenas, con la intención de acabar con la ejecución de ciertos antivirus: Duba Gate KAV kill KV McAfee NAV RavMon.exe Rfw.exe rising SkyNet Symantec El gusano también puede infectar archivos .EXE en todas las unidades de disco duro, actuando como infector directo de archivos ejecutables de Windows. Los archivos infectados contienen tres componentes, el propio infector, el archivo original, y el cuerpo del gusano comprimido con la utilidad Aspack. En cada infección, el virus queda "dormido" por una hora y 30 segundos, antes de continuar infectando otros archivos. Cuando se ejecutan, se crean procesos separados para el ejecutable "normal" y el gusano. Esta versión registra este evento de Windows: I-WORM-NEW-IPC-20168 Si dicho evento existe, significa que el gusano está en memoria, y no vuelve a ejecutarse por segunda vez. El gusano también intenta compartir una carpeta GAME creada dentro de la carpeta de temporales de Windows, donde crea 10 archivos con nombre al azar y extensiones seleccionadas de la siguiente lista: .dat.exe .gif.exe .doc.exe .avi.exe .rm.exe .htm.exe .mp3.exe .jpg.exe .txt.exe * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\System\RAVMOND.exe C:\Windows\System\WinDriver.exe C:\Windows\System\WinGate.exe C:\Windows\System\WinHelp.exe C:\Windows\System\winrpc.exe C:\Windows\system32\NetServices.exe C:\Windows\system32\IEXPLORE.EXE C:\Windows\system32\reg678.dll C:\Windows\system32\Task688.dll C:\Windows\ily668.dll C:\Windows\kernel66.dll C:\Windows\111.dll También borre la carpeta GAME y todo su contenido: C:\Windows\TEMP\GAME Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \txtfile \shell \open \command 3. Pinche en la carpeta "command" y en el panel de la derecha busque la siguiente entrada: (Predeterminado) = winrpc.exe %1 4. Haga doble clic sobre "(Predeterminado)", y cambie el valor mostrado en el punto 3 (en "Información del valor") por el siguiente: C:\WINDOWS\NOTEPAD.EXE %1 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas: WinHelp WinGate initialize Remote Procedure Call Locator Program In Windows 7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \WindowsNT \CurrentVersion \Windows 8. Pinche en la carpeta "Windows" y en el panel de la derecha busque y borre las siguientes entradas: run 9. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/Yaha.U (Yaha.T). Envío masivo de correo infectado _____________________________________________________________ http://www.vsantivirus.com/yaha-u.htm Nombre: W32/Yaha.U Tipo: Gusano de Internet Alias: W32.Yaha.T@mm, I-Worm.Lentis.gen, W32/Yaha.t@MM, W32/Yaha-T Fecha: 25/jun/03 Plataforma: Windows 32-bit Tamaño: 51,424 bytes Gusano de Internet programado en Visual C++ y comprimido con la utilidad FSG, que se propaga a través del correo electrónico a todos los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book), lista de contactos de MSN Messenger y Yahoo Pager, así como a direcciones extractadas de archivos temporales y del caché de Internet (archivos HTM, HTML y HTA). Debido a la cantidad de variantes de este gusano, y al hecho de que cada antivirus ha examinado muestras en un orden diferente a como lo han hecho otras compañías, la denominación del virus varía entre fabricantes, causando confusión entre los usuarios. Esta descripción por lo tanto solo sirve como referencia. El gusano utiliza su propio motor SMTP de modo que puede enviarse en mensajes infectados, sin necesidad de utilizar las facilidades de programas como Outlook, etc. Puede finalizar procesos específicos relacionados con conocidos antivirus y cortafuegos. También puede provocar ataques de denegación de servicio (DoS), a determinadas direcciones fijas, incluidas directamente en su código (en este caso, cinco). Es capaz de infectar al solo leer o ver en la vista previa el mensaje que lo contenga, en aquellos sistemas que no han sido actualizados con los parches correspondientes (vulnerabilidad "Exploit IFRAME"). Esto incluye Internet Explorer 5.0 y anteriores –- no soportados por Microsoft —- e Internet Explorer 5.01 a 5.5 sin parches. Vea al final del artículo: "Actualizar Internet Explorer" Se propaga en mensajes creados de la siguiente manera: El campo "De:" puede ser falsificado por el gusano, de modo que rara vez indica la dirección verdadera del usuario infectado que lo envía. Algunas de las posibles combinaciones: De: [nombre][dirección] Donde [nombre] puede ser: admin@hackers.com admin@hackersclub.com admin@viruswriters.com American Beauty Benting britneyspears.org Cathy Kindergarten Clark Steel Club Jenna Codeproject Cupid Hardcore Screensavers Iori Yagami Jasmine Stevens Jaucques Antonio Barkinstein Jenna Jameson Jericho John Vandervochich Jonathan Keanu Stevenson Klein Anderson KOF Online Kyo Kusanagi Love Inc. Lovers Screensavers McAfee Inc. me2K Nicolas Schwarzeneggar Nomadic Screensavers Noopman Norton Antivirus Omega Rugal Paul Owen Playboy Inc. Plus 2 Plus 6 Ralph Jones Raveena Pusanova Real Inc. Rocking Stone Romantic Screensavers Romeo & Juliet Ross Anderson Screensavers of Love Sexy Screensavers SQL Library Super Soccer Susan Terry Bogard The Rock Trend Micro Valentine Screensavers Veronica Anderson XXX Screensavers Zdenka Podkapova zporNstarS Y [dirección] puede ser una de las siguientes: admin@clubjenna.com admin@codeproject2.com admin@hackers2.com admin@hackersclub2.com admin@kofonline2.com admin@zpornstars.com av_patch@mcafee.com av_patch@norton.com av_patch@trendmicro.com btq@2632.com caijob@online.sh.cn cathy@21cn.com cupid@freescreensavers.com DNA_seraph@163.com ericpan@online.com.pk free@hardcorescreensavers.com free@sexyscreensavers.com free@sql.library.com free@xxxscreensavers.com hamada@seikosangyo.com jenna@jennajameson.com kkn@k2k.comscreensavers@nomadic.com kl@aminoprojects.com love@lovescreensavers.com loverscreensavers@love.com lubing@7135.com luoairong@21cn.com marketing@suppersoccer.com me@me2K.com newsletters@britneyspears.org nics@noma.com paul@kqscore2.com plus@real.com ravs@go2pussy.com romanticscreensavers@love.com sales@playboy.com sales@real.com samsun@online.sh.cn screensavers@lovers.com services@tcsonline2.com stone@esterplaza.com super@21cn.com therock@wwe.com valentinescreensavers@t2k.com yjworks@online.sh.cn zdenka@zpornstars.com zhouyuye@citiz.net Uno de los siguientes "Asuntos": Are you a Soccer Fan ? Are you beautiful Are you in Love Are you looking for Love Are you the BEST Check it out Check this sh*t Check ur friends Circle Demo KOF 2002 Feel the fragrance of Love Find a good friend Freak Out Free Demo Game Free rAVs Screensavers Free Screenavers of Love Free Screensavers Free Screensavers 4 U Free Win32 API source Free XXX Hardcore Screensavers 4 U Hello hey check it yaar How sweet this Screen saver I am in Love I Love You I Love You.. Jenna 4 U Learn How To Love Learn SQL 4 Free Let's Dance and forget pains Looking for Friendship love speaks from the heart Lovers Corner make ur friend happy Need a friend? Need money ?? One Hacker's Love One Virus Writer's Story Patch for Elkern.gen Patch for Klez.H Play KOF 2002 4 Free Project Sample KOF 2002 Sample Playboy Sample Screensavers Say 'I Like You' To ur friend Screensavers from Club Jenna Sexy Screensavers 4 U Shake it baby The Hotmail Hack The King of KOF The world of Friendship Things to note to ur friends to ur lovers True Love U realy Want this Visit us Wanna be a HE-MAN Wanna be friends ? Wanna be friends ?? Wanna be like a stone ? Wanna be my sweetheart ?? Wanna Brawl ?? Wanna Hack ?? Wanna Rumble ?? war Againest Loneliness We want peace Whats up Who is ur Best Friend Who is your Valentine World Tour Wowwwwwwwwwww check it WWE Screensavers XXX Screensavers 4 U You are so sweet Como datos adjuntos, esta es una lista de posibles nombres de archivos que el gusano incluye en su código: Beautifull.scr Body_Building.scr Britney_Sample.scr Codeproject.scr Cupid.scr FixElkern.com FixKlez.com FreakOut.exe Free_Love_Screensavers.scr Hacker.scr Hacker_The_LoveStory.scr Hardcore4Free.scr I_Love_You.scr Jenna_Jemson.scr King_of_Figthers.exe KOF.exe KOF_Demo.exe KOF_Fighting.exe KOF_Sample.exe KOF_The_Game.exe KOF2002.exe Love.scr My_Sexy_Pic.scr MyPic.scr MyProfile.scr Notes.exe Peace.scr Playboy.scr Plus2.scr Plus6.scr Project.exe Ravs.scr Real.scr Romantic.scr Romeo_Juliet.scr Screensavers.scr Services.scr Sex.scr Sexy_Jenna.scr Soccer.scr SQL_4_Free.scr Stone.scr Sweetheart.scr The_Best.scr THEROCK.scr up_life.scr Valentines_Day.scr VXer_The_LoveStory.scr Ways_To_Earn_Money.exe World_Tour.scr xxx4Free.scr zDenka.scr zXXX_BROWSER.exe Como texto del mensaje, alguno de los siguientes: ----------------------------------------------------------- Variante 1: hey, did u always dreamnt of hacking ur friends hotmail account.. finally i got a hotmail hack from the internet that really works.. ur my best friend thats why sending to u.. check it..just run it..enter victim's address and u will get the pass. ----------------------------------------------------------- Variante 2: hi, check the attached love screensaver and feel the fragrance of true love.. ----------------------------------------------------------- Variante 3: Hi, check the attached screensaver.. its really wonderfool.. i got it from freescreensavers.com ----------------------------------------------------------- Variante 4: Hi, check ur friends circle using the attached friendship screensaver.. check the attached screensaver and if u like it send it to all those you consider to be true friends... if it comes back to you then you will know that you have a circle of friends.. ----------------------------------------------------------- Variante 5: Hi, check the attached screensaver and enjoy the world of friendship.. ----------------------------------------------------------- Variante 6: Hi, are u in a rocking mood... check the attached scrennsaver and start shaking.. ----------------------------------------------------------- Variante 7 Hi, Check the attached screensaver.. ----------------------------------------------------------- Variante 8: Hi, Are you lonely ??.. check the attached screensaver and forget the pain of loneliness ----------------------------------------------------------- Variante 9: Hi, Looking for online pals.. check the attached friend finder software.. ----------------------------------------------------------- Variante 10: Hi, sending you a screensaver.. check it and let me know how it is... ----------------------------------------------------------- Variante 11: Hi, Check the attached screensaver and feel the fragrance of true love... ----------------------------------------------------------- Variante 12: Hey, I just got this wonderfull screensaver from freescreensaver.com.. Just check it out and let me know how it is.. ----------------------------------------------------------- Variante 13: Hi, I just came across it.. check out.. ======================================================= Are you one of those unfortunate human beings who are desperately looking for friends.. but still not getting true friends with whom you can share your everything.. anyway you wont feel down any more cause GC Chat Network has brought up a global chat and online match making system using its own GC Messenger. Attached is the fully functional free version of GC Instant Messenger and Match Making client.. Just install, register an account with us and find thousands of online pals all over the world.. You can also search for friends by specific country,city,region etc. Regards Admin, GC Global Chat Network System.. ----------------------------------------------------------- Variante 14: Hi, So you think you are in love.. is it true love ? you may think right now that you are in true love but it is certainly possible that it is nothing but a mere infatuation to you.. anyway to know yourself better than you have ever known check the attached screensaver and feel the fragrance of true love.. ----------------------------------------------------------- Variante 15: Hey pal, you know friendship is like a business... to get something you need to give something.. though its not that harsh as business but to get love and care from your friends you need to give love,care and respect to your friends.. right? check the attached screensaver and you will learn how to make your friends happy.. ----------------------------------------------------------- Variante 16: Hi, Its quite obvious that in our life we have numerous friends but.. BUT Best Friend can only be ONE.. right ?? so can you decide who is your best friend ?? i guess not.. cause mostly you will find that your best friend wont care about u like somebody else.. anyway i found one way to find who is my best friend.. check it.. just check the attached screensaver.. answer some questions in it and also ask your best friend to answer the questions.. ..then you will know more about him.. ----------------------------------------------------------- Variante 17: Hey pal, wanna have some fun in life... feel like life is too boring and monotonous.. check the attached screensaver and bring colours to your black & white life.. :) ----------------------------------------------------------- Variante 18: Hi, I just came across this funny screensaver.. sending it to u.. hope u like it.. check out and die laughing.. :) ----------------------------------------------------------- Variante 19: <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> This E-Mail is never sent unsolicited. If you receive this E- Mail then it is because you have subscribed to the official newsletter at the KOF ONLINE website. King Of Fighters is one of the greatest action game ever made. Now after the mind boggling sucess of KOF 2001 SNK proudly presents to you KOF 2002 with 4 new charecters. Even though we need no publicity for our product but this time we have decided to give away a fully functional trial version of KOF 2002. So check out the attached trial version of KOF 2002 and register at our official website to get a free copy of KOF2002 original version Best Regards, Admin,KOF ONLINE.. <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> ----------------------------------------------------------- Variante 20: Hello, I just came across your email ID while searching in the Yahoo profiles. Actually I want a true friend 4 life with whom I can share my everything. So if you are interested in being my friend 4 life then mail me. If you wanna know about me, attached is my profile along with some of my pics. You can check and if you like it then do mail me. I will be waiting for your mail. Best Wishes, Your Friend.. ----------------------------------------------------------- Variante 21: Hello, Looking for some Hardcore mind boggling action ? Install the attached browser software and browse across millions of paid hardcore sex sites for free. Using the software you can safely and easily browse across most of the hardcore XXX paid sites across the internet for free. Using it you can also clean all traces of your web browsing from your computer. Note:The attached browser software is made exclusivley for demo only. You can use the software for a limited time of 35 days after which you have to register it at our official website for its furthur use. Regards, Admin. ----------------------------------------------------------- Variante 22: Klez.H is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC ----------------------------------------------------------- Variante 23: Hello, The attached product is send as a part of our official campaign for the popularity of our product. You have been chosen to try a free fully functional sample of our product.If you are satified then you can send it to your friends. All you have to do is to install the software and register an account with us using the links provided in the software. Then send this software to your friends using your account ID and for each person who registers with us through your account, we will pay you $1.5.Once your account reaches the limit of $50, your payment will be send to your registration address by check or draft. Please note that the registration process is completely free which means by participating in this program you will only gain without loosing anything. Best Regards, Admin, ----------------------------------------------------------- Variante 24: Hey listen pal, I am in big trouble.. Plz help me.. Check attached document.. ----------------------------------------------------------- Variante 25: hi plz check the attached document.. and contact me as soon as possible.. ----------------------------------------------------------- Variante 26: hi check this.. ----------------------------------------------------------- Variante 27: wanna exchange.. I really like ur gift check the attached document.. ----------------------------------------------------------- Variante 28: u shit... why the hell u send this to me.. i am returning ur document.. ----------------------------------------------------------- Variante 29: I think u are in love... check the attached file.. Play the game of love.. ----------------------------------------------------------- Variante 30: Plz check the attachment and plz dont be angry one me.. ----------------------------------------------------------- Variante 31: ur system is infected with W32/Yaha.K use the attached patch to disinfect... ----------------------------------------------------------- Variante 32: hey pal I want to share a secret with u.. Check the attached document.. ----------------------------------------------------------- Variante 33: Hi dear... checked the attached document.. ----------------------------------------------------------- Variante 34: Attached is the Patch for OE 6 invalid MIME content vulnerability. This vulnerability may allow an attacker to execute any file without being opened.. Please use the attached program to patch up your system... ----------------------------------------------------------- Variante 35: Hello, Attached is a set of hacking utilities developed by our programmers. We are distributing it freely for evolution purpose... ----------------------------------------------------------- Variante 36: Hi Check the attached Valentine Screensaver... ----------------------------------------------------------- Variante 37: Hi Check the attached Lovers Screensaver... ----------------------------------------------------------- Variante 38: ======================================================= Are you one of those unfortunate human beings who are desperately looking for friends.. but still not getting true friends with whom you can share your everything.. anyway you wont feel down any more cause GC Chat Network has brought up a global chat and online match making system using its own GC Messenger. Attached is the fully functional free version of GC Instant Messenger and Match Making client.. Just install, register an account with us and find thousands of online pals all over the world.. You can also search for friends by specific country,city,region etc. Regards Admin, GC Global Chat Network System.. ----------------------------------------------------------- Variante 39: <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> This E-Mail is never sent unsolicited. If you receive this E- Mail then it is because you have subscribed to the official newsletter at our offical website. King Of Fighters is one of the greatest action game ever made. Now after the mind boggling sucess of KOF 2001 SNK proudly presents to you KOF 2002 with 4 new charecters. Even though we need no publicity for our product but this time we have decided to give away a fully functional trial version of KOF 2002. So check out the attached trial version of KOF 2002 and register at our official website to get a free copy of KOF2002 original version Best Regards, Admin,KOF ONLINE.. <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> ----------------------------------------------------------- El gusano obtiene las direcciones a las que se envía de la libreta de Windows (WAB), todos los contactos, caché de Messenger, Yahoo Pager, páginas Web, etc. Cuando se ejecuta el adjunto, el gusano se copia en la carpeta System de Windows, con los siguientes nombres: c:\windows\system\wintsk32.exe c:\windows\system\exeldr32.exe También se copia en "c:\windows\system\" con uno de los siguientes nombres: Be_happy.scr Best_friend.scr Colour_of_life.scr Dance.scr Friend_finder.exe Friend_happy.scr Friendship.scr Friendship_funny.scr Funny.scr Gc_messenger.exe Hotmail_hack.exe I_like_you.scr Life.scr Love.scr Shake.scr Sweet.scr True_love.scr World_of_friendship.scr En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Modifica el registro, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run MicrosoftServiceManager = c:\windows\system\wintsk32.exe HKLM\Software\Microsoft\WindowsCurrentVersion\RunServices MicrosoftServiceManager = c:\windows\system\wintsk32.exe También modifica las siguientes claves: HKLM\Software\Classes\exefile\shell\open\command (Predeterminado) = c:\windows\system\exeldr32.exe "%1" %* Esto hace que se ejecute el virus cada vez que una aplicación ejecutable es llamada por el sistema. Esto dificulta la limpieza del virus, ya que cualquier programa que se ejecute, incluido el antivirus, lanza al gusano en memoria. "C:\windows\system\exeldr32.exe" representa el nombre y ubicación del ejecutable del gusano una vez que se instaló en nuestro PC. En principio suele ser el que se indica, pero podría ser alguno de las otras copias del gusano. El gusano intenta acabar con la ejecución de una larga lista de programas de seguridad, como antivirus, cortafuegos, etc., matando en memoria los procesos que contengan cualquiera de las siguientes cadenas: _avp32 _avp32.exe _avpcc _avpcc.exe _avpm _avpm.exe Ackwin32 Ackwin32 Ackwin32.exe Ackwin32.exe Advxdwin Advxdwin.exe Agentw.exe Alertsvc Alertsvc.exe Alogserv Alogserv Alogserv.exe Alogserv.exe Amon9x Amon9x.exe Anti-trojan Anti-trojan.exe Ants Ants.exe Apvxdwin Apvxdwin Apvxdwin.exe Apvxdwin.exe Atcon Atcon.exe Atupdater Atupdater.exe Atwatch Atwatch.exe Autodown Autodown Autodown.exe Autodown.exe Autodown.exe Autotrace Autotrace.exe Avconsol Avconsol.exe Avgcc32 Avgcc32.exe Avgctrl Avgctrl Avgctrl.exe Avgctrl.exe Avgserv Avgserv Avgserv.exe Avgserv9 Avgserv9.exe Avgw Avgw.exe Avkpop Avkpop.exe Avkserv Avkserv.exe Avkservice Avkservice.exe Avkwctl9 Avkwctl9.exe Avp Avp.exe Avp32 Avp32.exe Avpcc Avpm Avpm Avpm.exe Avpm.exe Avsched32 Avsched32.exe Avsynmgr Avsynmgr Avsynmgr Avsynmgr.exe Avwinnt Avwinnt.exe Avxmonitor9x Avxmonitor9x.exe Avxmonitornt Avxmonitornt.exe Avxquar Avxquar.exe Avxquar.exe.exe Avxw Avxw.exe Blackd Blackd Blackd.exe Blackd.exe Blackice Blackice.exe Cdp.exe Cfgwiz Cfgwiz.exe Claw95 Claw95 Claw95.exe Claw95.exe Claw95cf Claw95cf Claw95cf.exe Claw95cf.exe Cleaner Cleaner.exe Cleaner3 Cleaner3.exe Cmgrdian Cmgrdian Cmgrdian.exe Connectionmonitor Connectionmonitor.exe Cpd Cpd.exe Cpdclnt Cpdclnt.exe Cpdclnt.exe Ctrl Ctrl.exe Defalert Defalert.exe Defscangui Defscangui.exe Defwatch Defwatch.exe Doors Doors.exe Dvp95 Dvp95.exe Dvp95_0 Dvp95_0.exe Efpeadm Efpeadm.exe Efpeadm.exe Etrustcipe Etrustcipe.exe Etrustcipe.exe Evpn Evpn.exe Evpn.exe Expert Expert.exe F-agnt95 F-agnt95.exe Fameh32 Fameh32.exe Fch32 Fch32.exe Fih32 Fih32.exe Fnrb32 Fnrb32.exe F-prot F-prot.exe F-prot95 F-prot95.exe Fp-win Fp-win.exe Frw Frw.exe Fsaa Fsaa.exe Fsav32 Fsav32.exe Fsgk32 Fsgk32.exe Fsm32 Fsm32.exe Fsma32 Fsma32.exe Fsmb32 Fsmb32.exe F-stopw F-stopw F-stopw.exe F-stopw.exe Gbmenu Gbmenu.exe Gbpoll Gbpoll Gbpoll.exe Gbpoll.exe Generics Generics.exe Guard Guard.exe Guarddog Guarddog.exe Iamapp Iamapp Iamapp.exe Iamapp.exe Iamserv Iamserv Iamserv.exe Iamserv.exe Iamstats Iamstats.exe Icload95 Icload95.exe Icloadnt Icloadnt.exe Icmon Icmon.exe Icsupp95 Icsupp95 Icsupp95.exe Icsupp95.exe Icsuppnt Icsuppnt.exe Iface Iface.exe Iomon98 Iomon98.exe Isrv95 Isrv95.exe Jedi Jedi.exe Ldnetmon Ldnetmon.exe Ldpromenu Ldpromenu.exe Ldscan Ldscan.exe Lockdown Lockdown.exe Lockdown2000 Lockdown2000 Lockdown2000.exe Lockdown2000.exe Luall Luall.exe Lucomserver Lucomserver.exe Luspt Luspt.exe Mcagent Mcagent.exe Mcmnhdlr Mcmnhdlr.exe Mcshield.exe Mctool Mctool.exe Mcupdate Mcupdate.exe Mcvsrte Mcvsrte.exe Mcvsshld Mcvsshld.exe Mgavrtcl Mgavrtcl.exe Mgavrte Mgavrte.exe Mghtml Mghtml.exe Minilog Minilog.exe Monitor Monitor Monitor.exe Monitor.exe Moolive Moolive.exe Mpfagent.exe Mpfservice Mpfservice.exe Mpftray.exe Mwatch Mwatch.exe Mwatch.exe Nav auto-protect Nav32_loader Navap Navapsvc Navapsvc.exe Navapsvc.exe Navapw32 Navapw32 Navapw32.exe Navengnavex15 Navlu32 Navlu32.exe Navw32 Navw32 Navw32.exe Navwnt Navwnt.exe Ndd32 Ndd32.exe Neowatchlog Neowatchlog.exe Netutils Netutils.exe Nisserv Nisserv.exe Nisum Nisum.exe Nmain Nmain.exe Normist Normist.exe Notstart Notstart.exe Nprotect Nprotect.exe Npscheck Npscheck.exe Npssvc Npssvc.exe Nsched32 Nsched32.exe Ntrtscan Ntrtscan.exe Ntvdm Ntvdm.exe Ntxconfig Ntxconfig.exe Nui.exe Nupgrade Nupgrade.exe Nvc95 Nvc95.exe Nvsvc32 Nwservice Nwservice.exe Nwtool16 Nwtool16.exe Padmin Padmin.exe Pavproxy Pavproxy Pavproxy.exe Pavproxy.exe Pcciomon Pcciomon.exe Pccntmon Pccntmon.exe Pccwin97 Pccwin97.exe Pccwin98 Pccwin98.exe Pcscan Pcscan.exe Persfw Persfw.exe Perswf Perswf.exe Pop3trap Pop3trap.exe Poproxy Poproxy.exe Portmonitor Portmonitor.exe Processmonitor Processmonitor.exe Programauditor Programauditor.exe Pview95 Pview95.exe Rapapp.exe Rav7 Rav7.exe Rav7win Rav7win.exe Realmon Realmon.exe Rescue Rescue Rescue.exe Rescue.exe Rtvscn95 Rtvscn95.exe Rulaunch Rulaunch.exe Sbserv Sbserv.exe Scan32 Scan32.exe Scrscan Scrscan.exe Smc Smc.exe Sphinx Sphinx Sphinx.exe Sphinx.exe Spyxx Spyxx.exe Ss3edit Ss3edit.exe Sweep95 Sweep95.exe Sweepnet Sweepsrv.sys Swnetsup Swnetsup.exe Symproxysvc Symproxysvc.exe Symtray Symtray.exe Syshelp.exe Taumon Taumon.exe Tc.exe Tca Tca.exe Tcm Tcm.exe Tcpsvs32 Tds-3 Tds-3.exe Tfak Tfak.exe Vbcmserv Vbcmserv.exe Vbcons Vbcons.exe Vet32 Vet32.exe Vet32.exe Vet95 Vet95 Vet95.exe Vet95.exe Vettray Vettray Vettray.exe Vettray.exe Vir-help Vir-help.exe Vpc32 Vpc32.exe Vptray Vptray.exe Vsched Vsched.exe Vsecomr Vsecomr.exe Vshwin32 Vshwin32 Vshwin32.exe Vsmain Vsmain.exe Vsmon Vsmon.exe Vsmon.exe Vsstat Vsstat.exe Watchdog Watchdog.exe Webscanx Webscanx.exe Webtrap Webtrap.exe Wgfe95 Wgfe95.exe Wimmun32 Wimmun32.exe Wingate.exe Winmgm32.exe Winservices Wradmin Wradmin Wradmin.exe Wradmin.exe Wrctrl Wrctrl Wrctrl.exe Wrctrl.exe Zapro Zapro.exe Zonealarm Zonealarm.exe También intenta borrar cualquiera de estos archivos: c:\windows\system\WinServices.exe c:\windows\system\Nav32_loader.exe c:\windows\system\Tcpsvs32.exe c:\windows\system\Syshelp32.exe c:\windows\system\Wingate.exe c:\windows\system\Winrpcsrv.exe c:\windows\system\Winmgm32.exe c:\windows\SNTMLS.dat * Para eliminar el virus de un sistema infectado 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Modificación del registro Es necesario renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com Si Windows no está instalado en "C:\Windows", debe cambiar esta referencia (Ej.: "C:\Nombre\Regedit.exe", etc.). 2. Desde Inicio, Ejecutar, teclee "Regedit.com" y pulse Enter 3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Classes \exefile \shell \open \command 4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como: (Predeterminado) = c:\windows\system\exeldr32.exe "%1" %* 5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el cargador: (c:\windows\system\exeldr32.exe) y dejar solo esto (comillas, porcentaje, número uno, comillas, espacio, porcentaje, asterisco): (Predeterminado) = "%1" %* 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: MicrosoftServiceManager 8. Repita los pasos 6 y 7 (pinchando en "RunServices") con la siguiente rama del registro: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 9. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Actualizar Internet Explorer Actualice su Internet Explorer según se explica en el siguiente artículo: http://www.vsantivirus.com/vulms03-020.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1084 Año 7, Jueves 26 de junio de 2003