| Asunto: | VSantivirus No. 1087 Año 7, Domingo 29 de junio de 2003 | | Fecha: | 29 de Junio, 2003 14:16:21 (+0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1087 Año 7, Domingo 29 de junio de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Crean falso sitio de Microsoft para difundir un troyano
2 - Troj/Wintrim.A. Troyano capaz de robar información
3 - W32/Merkur.E. Usa IRC, P2P, e-mail. Borra bloc de notas
4 - W32/Vivael.A. Gusano boliviano, muestra a Evo Morales
5 - W32/Klexe.A. Pide la descarga y ejecución de una tarjeta
_____________________________________________________________
1 - Crean falso sitio de Microsoft para difundir un troyano
_____________________________________________________________
http://www.vsantivirus.com/29-06-03.htm
Crean falso sitio de Microsoft para difundir un troyano
Por Angela Ruiz
angela@videosoft.net.uy
A mediados de esta semana, se ha reportado la circulación de
un correo electrónico simulando ser una supuesta
actualización de Windows.
El mensaje, que está en formato HTML, incita al usuario a
descargar un parche crítico de Internet, y para ello se
brinda un enlace a lo que parece ser el propio sitio de
Microsoft: http:/ /www.[xxx]windows-update com. (Aunque el
sitio había sido bloqueado por el proveedor ante el aumento
excesivo de tráfico, en este informe se ha falseado la
dirección con las [xxx] para evitar que un usuario
accidentalmente haga doble clic sobre ese enlace. La página
contiene un script que descarga y ejecuta un troyano).
El engaño está en que la dirección "windows-update com" no
pertenece a Microsoft (la verdadera es "windowsupdate com".
La falsa, creada el 22 de junio de 2003, está a nombre de Ewa
Pasternak Ivarsson, de Estocolmo (Suecia), según los
registros.
La alarma fue dada por la empresa de seguridad informática
dinamarquesa, Kruse Security, el 25 de junio.
El mensaje (originalmente en inglés) presenta estas
características:
Dear Windows User!
New Windows 9x/2000/NT/XP critical patch has been
released. Due to security problems, your system
needs to be updated as earlier as possible.
You can download an update patch on Windows Update
site: http:/ /[xxx]www windows-update com
Best regards, Windows Update Group
Cuando el usuario pincha en ese enlace, accede a un sitio,
que como dijimos, es falso.
La página contiene en su código una etiqueta iFrame, que
normalmente permite la inclusión de páginas o documentos
dentro de otras páginas, ya sean del mismo dominio o no.
Valiéndose de una vulnerabilidad del Internet Explorer, se
obliga a que el navegador intente abrir 3354 veces la
supuesta página dentro del iFrame. Esto provoca la descarga y
ejecución (después de todos esos intentos), del archivo
"update0932.exe", superando las restricciones de seguridad
que Windows impone a cualquier código cuando se usa dentro de
un iFrame.
Normalmente, un iFrame es seguro, y es imposible la ejecución
de código de otro dominio en nuestra computadora. Pero la
falla permite que después de determinada cantidad de ventanas
abiertas con el mismo enlace, se pueda ejecutar un código
remoto.
Esta falla ha sido anteriormente comentada en VSAntivirus, y
además ya existe un parche de Microsoft que resuelve el
problema (ver las referencias al final del artículo).
El archivo "update0932.exe" está comprimido con la utilidad
UPX, y contiene un troyano del tipo Trojan.Downloader, que a
su vez descarga el archivo "svghost.exe" desde la dirección
IP 38.115.134.3 (actualmente no responde).
Este último es un troyano de 15.904 bytes, también comprimido
con UPX, detectado como una variante del Troj/SdBot, un
gusano de redes multi-componentes, que se propaga a través de
recursos compartidos y que puede ser controlado vía IRC.
Este troyano libera y ejecuta otro archivo para controlar la
máquina de la víctima, "wsock32p.exe".
Para evitar la ejecución de código a través de las etiquetas
iFrame, se recomienda actualizar el Internet Explorer a la
brevedad, con el parche indicado en el siguiente enlace:
http://www.vsantivirus.com/vulms03-020.htm
Los administradores, pueden bloquear la dirección IP
mencionada.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Troj/Wintrim.A. Troyano capaz de robar información
_____________________________________________________________
http://www.vsantivirus.com/troj-wintrim-a.htm
Nombre: Troj/Wintrim.A
Tipo: Caballo de Troya
Alias: W32/Persis.A, Persis, W32/Downloader.Persis,
TrojanDownloader.Win32.Wintrim
Plataforma: Windows 32-bit
Fecha: 28/jun/03
Tamaño: 15,872 bytes (UPX)
Se trata de un software malicioso, que se instala en una
computadora sin la autorización del usuario, modificando el
sistema.
Puede llegar de varias maneras a la computadora. Se ha
comprobado que una de ellas ocurre cuando se enlaza a una
página web de origen pornográfico:
http:/ /network.nocreditcard[xxx].com/
NOTA: En esta descripción el nombre verdadero se ha
modificado con las [xxx] para evitar que un usuario
accidentalmente haga doble clic sobre ese enlace. La página
contiene un script que descarga y ejecuta el archivo
Wintrim.exe en la máquina del usuario.
Sin embargo, hay indicios que podrían existir otros enlaces
similares.
El archivo parece estar relacionado con un discador (dialer),
y en ocasiones, se presenta también un acceso directo con el
nombre "Sexonline".
Luego que se descarga en un equipo, el programa crea una
subcarpeta llamada "wintrim" en la carpeta de Windows:
c:\windows\wintrim\
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Sus propios componentes y otros archivos que descarga de
Internet, son copiados en la carpeta "Wintrim". Entre ellos,
pueden encontrarse estos archivos:
wintrim.exe
uninstall.exe
MagicControl.dll
egping.dll
En ocasiones (no siempre) también modifica el registro para
autoejecutarse en cada reinicio de Windows, creando alguna de
estas entradas:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Wintrim = c:\windows\wintrim\wintrim.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wintrim = c:\windows\wintrim\wintrim.exe
Aún cuando se copia clandestinamente, puede existir como
vemos, un archivo llamado UNINSTALL.EXE. Si se lo ejecuta con
la idea de desinstalar el programa, y no existe una conexión
a Internet, aparecerá un mensaje con el siguiente texto:
You have to connect to the internet
to uninstall this program
El mensaje informa que la desinstalación solo se hará si nos
conectamos (por supuesto, no debemos ejecutar este archivo,
si existiera la conexión no se produce realmente la
desinstalación, sino otras modificaciones maliciosas al
sistema).
El troyano posee también capacidad de keylogger, y es capaz
de capturar contraseñas y otra información similar, incluso
la relacionada con tarjetas de crédito.
Wintrim.exe suele mostrar el mismo icono de una carpeta de
Windows, dificultando su identificación.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Para borrarlo manualmente, borre la carpeta "wintrim" y todo
su contenido:
c:\windows\wintrim\
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Wintrim
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Wintrim
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Merkur.E. Usa IRC, P2P, e-mail. Borra bloc de notas
_____________________________________________________________
http://www.vsantivirus.com/merkur-e.htm
Nombre: W32/Merkur.E
Tipo: Gusano de Internet
Alias: W32.HLLW.Merkur.E@mm, WORM_MERKUR.E
Fecha: 28/jun/03
Plataforma: Windows 32-bit
Tamaño: 18,944 bytes
Este gusano de envío masivo, escrito en Microsoft Visual
Basic y comprimido con la utilidad UPX, utiliza el Outlook y
Outlook Express para enviarse a si mismo a todos los
contactos de la libreta de direcciones de Windows.
También intenta propagarse por IRC (Internet Relay Chat), y
por las redes P2P como KaZaA, KaZaA Lite, Bearshare y
eDonkey.
Cuando se propaga por correo electrónico, el mensaje presenta
estas características:
Uno de los siguientes asuntos:
Email Virus Remover.
Free Virus Remover.
Windows Update (Build: win1.19001281)
Texto del mensaje:
Install/Update: Please run the attatchment to
Install/Update your software, The program will
scan for any Infected Files then continue to
install/update. Regards, Bill Hanes - Nakitomi Corp.
Datos adjuntos: AVUpdate.exe
Cuando se ejecuta el gusano, se crean los siguientes
archivos:
C:\AutoExec.exe
C:\windows\notepad.exe
C:\windows\taskman.exe
C:\windows\screensaver.exe
C:\Windows\System\AVupdate.exe
Este último es puesto con los atributos de solo lectura (+R)
y oculto (+H).
Note que el gusano borra los archivos legítimos de Windows
NOTEPAD.EXE (el bloc de notas) y TASKMAN.EXE (el conmutador
de tareas de Windows), sobrescribiéndolos con su código.
También se copia en las siguientes carpetas para propagarse
por las redes P2P que las usan para compartir sus archivos
entre sus usuarios:
En C:\Archivos de programa:
\kazaa\my shared folder\Hotmail Hacker.exe
\kazaa\my shared folder\XP Key Patch.exe
\kazaa lite\My Shared Folder\Hotmail Hacker.exe
\kazaa lite\My Shared Folder\XP Key Patch.exe
\bearshare\shared\Hotmail Hacker.exe
\bearshare\shared\XP Key Patch.exe
\eDonkey2000\incoming\Hotmail Hacker.exe
\eDonkey2000\incoming\XP Key Patch.exe
C:\My Shared Folder\Hotmail Hacker.exe
C:\My Shared Folder\XP Key Patch.exe
Luego modifica el registro para ejecutarse automáticamente en
cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Swf32 = C:\Windows\AVupdate.exe
Crea un archivo SCRIPT.INI en cualquiera de las siguientes
carpetas si existen, para propagarse entre los usuarios de
los canales de chat visitados por los usuarios infectados que
utilicen el mIRC como cliente de IRC:
C:\Archivos de programa\mIRC32
C:\Archivos de programa\mIRC
C:\mIRC32
C:\mIRC
El archivo que se envía por los canales de IRC se llama
"screensaver.exe".
El gusano también crea un archivo que no es ejecutable, ni
tiene código viral alguno:
C:\Mercury.scr
Luego, utiliza el Outlook u Outlook Express para enviarse a
toda la lista de contactos de la libreta de direcciones, en
un mensaje como el ya visto.
Su código, contiene el siguiente texto:
(c) Merkur 2003
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\AutoExec.exe
C:\windows\notepad.exe
C:\windows\taskman.exe
C:\windows\screensaver.exe
C:\Windows\System\AVupdate.exe
C:\Archivos de programa
\kazaa\my shared folder\Hotmail Hacker.exe
\kazaa\my shared folder\XP Key Patch.exe
\kazaa lite\My Shared Folder\Hotmail Hacker.exe
\kazaa lite\My Shared Folder\XP Key Patch.exe
\bearshare\shared\Hotmail Hacker.exe
\bearshare\shared\XP Key Patch.exe
\eDonkey2000\incoming\Hotmail Hacker.exe
\eDonkey2000\incoming\XP Key Patch.exe
C:\My Shared Folder\Hotmail Hacker.exe
C:\My Shared Folder\XP Key Patch.exe
C:\Archivos de programa\mIRC32\Script.ini
C:\Archivos de programa\mIRC\Script.ini
C:\mIRC32\Script.ini
C:\mIRC\Script.ini
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Swf32
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Cómo recuperar NOTEPAD.EXE y TASKMAN.EXE
En Windows 98:
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que
desea restaurar", escriba el nombre del archivo a restaurar:
NOTEPAD.EXE (repita lo mismo después para TASKMAN.EXE)
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN98, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS"
(sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche
nuevamente en "Aceptar" (si no existe, tal vez se genere
ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").
En Windows Me:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar"
escriba el nombre del archivo a restaurar:
NOTEPAD.EXE (repita lo mismo después para TASKMAN.EXE)
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS"
(sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche
nuevamente en "Aceptar" (si no existe, tal vez se genere
ahora esta carpeta, generalmente:
"C:\WINDOWS\MSConfigs\Backups").
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Vivael.A. Gusano boliviano, muestra a Evo Morales
_____________________________________________________________
http://www.vsantivirus.com/vivael-a.htm
Nombre: W32/Vivael.A
Tipo: Gusano de Internet
Alias: W32/Evomo.A, W32/Evomo@MM, W32.Vivael@mm
Tamaño: 188,928 bytes
Plataforma: Windows 32-bit
Fecha: 27/jun/03
Fuente: HackSoft S.R.L. Lima-Perú
Detectado por primera vez por HackSoft, se trata de un gusano
de origen boliviano que se propaga a través del correo
electrónico, a todos los contactos de .NET Messenger.
Ver descripción completa [actualizada al 29/jun/03]:
W32/Evomo.A. Gusano boliviano, muestra a Evo Morales
http://www.vsantivirus.com/evomo-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Klexe.A. Pide la descarga y ejecución de una tarjeta
_____________________________________________________________
http://www.vsantivirus.com/klexe-a.htm
Nombre: W32/Klexe.A
Tipo: Caballo de Troya
Alias: W32.Klexe.Worm
Fecha: 27/jun/03
Tamaño: 36,864 bytes, 28,672 bytes
Plataforma: Windows 32-bit
Este gusano, escrito en Microsoft Visual Basic, se vale del
Outlook y Outlook Express para enviar el enlace a un sitio
web a todos los contactos de la libreta de direcciones.
El enlace contiene una versión comprimida (.ZIP) del gusano.
NOTA: El sitio mencionado ya ha sido dado de baja, pero
pueden existir variantes que le pidan descargarlo de otros
sitios.
El gusano contiene un componente troyano capaz de capturar
todo lo tecleado por el usuario infectado, y luego enviar la
información robada a una dirección de e-mail predeterminada,
en forma periódica.
El mensaje se presenta con las siguientes características:
Asunto: Re:
Texto del mensaje:
You received this email because you where sent a
'pass this on e-messenger card' through one of our
valued partners. If you believe you received this
message in error or would no longer like to receive
e-mail from us click here
http://www.geocities.com/ecardmessenger/us.htm
To download your card click on the link below:
http://www.geocities.com/ecardmessenger/ecmsetup1.zip
P.S. If you received this message but do not know
the sender or wish to unsubscribe or if you have any
questions, please mail to services@emmsconline.com
El archivo descargado (ecmsetup1.zip) contiene los dos
componentes del gusano:
ecmsetup1.exe
kl.exe
Cuando el usuario hace doble clic sobre "ecmsetup1.exe", el
gusano copia el segundo componente (kl.exe) con el nombre de
"Windows Explorer.exe" en las posibles siguientes carpetas:
c:\windows\startm~1\programs\startup\
d:\windows\startm~1\programs\startup\
e:\windows\startm~1\programs\startup\
f:\windows\startm~1\programs\startup\
Luego, utiliza el Outlook para enviar el mensaje ya visto, a
todos los contactos de la libreta de direcciones.
El componente troyano del gusano puede capturar la siguiente
información de la computadora infectada:
Nombre de la computadora
Información de fecha y hora locales (zona horaria)
Fecha y hora de la infección
Todo lo tecleado por la víctima (contraseñas, etc.)
Esta información es enviada periódicamente a la siguiente
dirección electrónica:
cardvict@rediffmail.com
El gusano no modifica el registro.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Para borrarlo manualmente, busque y borre los siguientes
archivos de todos sus discos:
ecmsetup1.exe
kl.exe
Windows Explorer.exe
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1087 Año 7, Domingo 29 de junio de 2003
|
VSantivirus No. 10
Responder a este mensaje
