|
Mostrando mensaje 171
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1122 Año 7, Domingo 3 de agosto de 2003 | | Fecha: | Domingo, 3 de Agosto, 2003 20:43:14 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1122 Año 7, Domingo 3 de agosto de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Los virus más reportados en VSAntivirus (julio 2003)
2 - Troj/Backdoor.Cirebot.A. Explota la falla en RPC
_____________________________________________________________
1 - Los virus más reportados en VSAntivirus (julio 2003)
_____________________________________________________________
VSantivirus No. 1122 Año 7, Domingo 3 de agosto de 2003
Los virus más reportados en VSAntivirus (julio 2003)
http://www.vsantivirus.com/virus-report-jul-03.htm
El ranking de julio de 2003
Estos son los datos obtenidos por VSAntivirus en el período
comprendido entre el 1 y el 31 de julio de 2003.
Total de mensajes monitoreados: 4.121
Total de virus reportados: 2.996
W32/Klez.H ................ 1258
W32/Bugbear.B ............. 998
W32/Mapson.B .............. 141
W32/Yaha.E ................ 86
W32/Klez.J ................ 71
W32/Bugbear.B.dam ......... 70
W32/Mapson.A .............. 58
W32/SirCam.A .............. 57
W32/Sobig.E ............... 47
JS/Fortnight.E ............ 44
JS/Fortnight.C ............ 34
W32/Funlove.4099 .......... 24
W95/Spaces.1445 ........... 24
W32/Nimda.E ............... 21
W32/Sobig.C ............... 12
W32/Hybris.B .............. 11
W32/Holar.H ............... 10
W32/Brid.B ................ 7
W32/Colevo.A .............. 7
JS/Fortnight.B ............ 5
W32/Lovgate.J ............. 4
W32/Nimda.A ............... 4
W32/Magistr.B ............. 2
W32/Ganda.A ............... 1
Cómo obtenemos estas estadísticas
Los datos de incidencia de virus reportados por Video Soft,
son capturados en una red de monitoreo que incluye desde
casos reportados directamente en nuestro servicio técnico,
hasta mensajes con muestras enviadas para su evaluación a
nuestra dirección especialmente creada para ello
(virus@videosoft.net.uy), además de los mensajes infectados
llegados a nuestros buzones de correo electrónico.
Se incluyen además de nuestras direcciones conocidas, un
sistema de monitoreo permanente implementado por Video Soft
desde setiembre de 2001, consistente a la fecha en más de 100
casillas de correo testigo, con varios dominios, que reciben
mensajes de varias listas de correo, páginas de ofertas, y
simple correo basura. Estas cuentas son filtradas y solo se
tiene en cuenta la existencia o no de código vírico o
potencialmente peligroso.
Puede obtener más información de los virus aquí reportados en
nuestro sitio, utilizando el buscador incorporado.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Troj/Backdoor.Cirebot.A. Explota la falla en RPC
_____________________________________________________________
http://www.vsantivirus.com/back-cirebot-a.htm
Nombre: Troj/Backdoor.Cirebot.A
Tipo: Caballo de Troya
Alias: Worm_Win32_Autorooter, Troj/Cirebot,
Exploit.Win32.Autorooter, RPC-1, Win32.RPC Trojan,
Backdoor.IRC.Cirebot, W32/Lolol.h.worm, Downloader-DM,
Win32/Autorooter.A, RPCWorm
Fecha: 2/ago/03
Tamaños: 113,507 bytes (WORM.EXE), 40,960 bytes (RPC.EXE),
94,298 bytes (RPCTEST.EXE)
Este troyano no posee rutinas de propagación (como un
gusano). Suele distribuirse manualmente, generalmente bajo la
premisa de que es una inocente utilidad. Los canales de
distribución más usados son el correo electrónico, listas de
noticias (newsgroups), canales de IRC, y redes P2P como KaZaa
y otros.
Cuando el archivo del troyano (que puede tener cualquier
nombre, aunque en las muestras detectadas parece ser siempre
WORM.EXE), se ejecuta en la máquina de su víctima, un
atacante puede tomar el control de la misma.
A pesar de no tener rutinas de auto propagación, algunos
fabricantes lo denominan gusano, ya que por sus
características, puede ser un prototipo de una nueva
generación de estos que se aprovechen de la vulnerabilidad de
la interface RPC (Remote Procedure Call) de Windows NT, 2000
y XP recientemente reportada. Esta falla tiene un parche
disponible desde julio de 2003, y está descripta en el
siguiente artículo de VSAntivirus:
Tres nuevos parches: MS03-026, MS03-027 y MS03-028
http://www.vsantivirus.com/vulms03-026-027-028.htm
Este troyano consiste en varios componentes, tres de ellos
integrados en un solo archivo comprimido auto extraíble
(WORM.EXE), el cuál contiene los siguientes tres archivos
(RPC.EXE, RPCTEST.EXE y TFTPD.EXE). El quinto es descargado
de Internet (LOLX.EXE o DCOMX.EXE)
Estos son los archivos relacionados con este troyano:
WORM.EXE
RPC.EXE
RPCTEST.EXE
TFTPD.EXE
LOLX.EXE o DCOMX.EXE
WORM.EXE es un archivo auto extraíble, comprimido a su vez
con la herramienta UPX, que contiene los archivos RPC.EXE,
RPCTEXT.EXE y TFTP.EXE. Cuando se ejecuta WORM.EXE, el mismo
se descomprime, copia los archivos mencionados en el
directorio raíz del disco C, y luego ejecuta al archivo
RPC.EXE.
RPC.EXE está escrito en Microsoft Visual Basic. Cuando se
ejecuta, intenta a su vez lanzar al archivo TFTPD.EXE, un
servidor FTP legítimo, usándolo para descargar el archivo
LOLX.EXE (o DCOMX.EXE), de un sitio de Internet. Luego
ejecuta el archivo descargado. También escanea la red
buscando puertos TCP 445 abiertos y ejecuta a RPCTEST.EXE.
Para generar las direcciones IP usadas para el escaneo, el
troyano utiliza un algoritmo basado en los siguientes grupos
de valores:
Dirección IP: A.B.C.D
Donde A es uno de estos valores:
4
12
24
64
65
68
128
165
208
211
213
217
218
220
B es un valor al azar entre 0 y 255.
C y D son valores del 1 al 255.
Por ejemplo, si A es 65 y B 123, el gusano busca todas las
máquinas en el rango comprendido entre la dirección IP
65.123.1.1, a la 65.123.255.255. Repite todas las secuencias
posibles hasta encontrar una máquina vulnerable.
RPCTEST.EXE es un exploit que se aprovecha de un
desbordamiento de búfer en la interface RPC (Remote Procedure
Call) de Windows, para ejecutar código en la máquina
vulnerable, si esta corre Windows NT, 2000 o XP (descripta en
el mencionado boletín MS03-026 de Microsoft).
También utiliza un DLL que no forma parte de la instalación
por defecto de Windows, lo que disminuye las probabilidades
de ejecutarse satisfactoriamente.
TFTPD.EXE es un servidor FTP legítimo, utilizado
maliciosamente por el troyano. Es instalado en el puerto
TCP/69, y habilita la unidad C:\ de la máquina infectada como
directorio root.
LOLX.EXE (también puede ser DCOMX.EXE), puede ser un troyano
de la familia SDBOT, o un gusano de la familia Lioten o
Randex, que utiliza el protocolo SMB (Server Message Block o
Bloque de mensajes de servidor). Este protocolo es usado por
Windows para permitir los recursos compartidos a través de la
red. En Windows NT, 2000 y XP, lo hace a través del puerto
445.
El troyano también es capaz de enviar instrucciones a través
del IRC (Internet Chat Relay) y del ICQ.
El componente principal (RPC.EXE), contiene los siguientes
textos:
rpc autorooter by ERIC
RPC autorooter
El archivo del exploit (RPCTEST.EXE), contiene la siguiente
leyenda en su código:
USE THE FORZ LUKE!
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Nota: No confíe en el cortafuegos incorporado en Windows XP
para esta tarea, ya que no bloquea todos los puertos.
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1122 Año 7, Domingo 3 de agosto de 2003
|
Responder a este mensaje
