| Asunto: | VSantivirus No. 1089 Año 7, Martes 1 de julio de 2003 | | Fecha: | Martes, 1 de Julio, 2003 02:27:58 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1089 Año 7, Martes 1 de julio de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Los virus más reportados en VSAntivirus (junio 2003)
2 - SCAM: Falso sitio de Yahoo! intenta robo de tarjetas
3 - W32/Colevo.A. Gusano boliviano, muestra a Evo Morales
4 - Troj/Dufil.A. Se ejecuta aprovechando una falla del IE
_____________________________________________________________
1 - Los virus más reportados en VSAntivirus (junio 2003)
_____________________________________________________________
http://www.vsantivirus.com/virus-report-jun-03.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Este mes, el Bugbear.B ha desbancado al Klez de nuestras
estadísticas. Y por cierto hay razones para que se haya
extendido tanto, lo que no quiere decir que las
justifiquemos. Por ello incluso ha acaparado los titulares de
medios que normalmente no hablan de virus de computadoras.
Lo que hace que este gusano se haya convertido casi en una
epidemia, es sin dudas el hecho de apelar al uso de mensajes
y textos encontrados en la máquina infectada. De ese modo,
para un usuario medio, es casi imposible imaginar la trampa
antes de caer en ella.
Pongámonos en ese lugar. ¿Cómo sospechar cuando el mensaje
nos dice algo como "Hola Pablo, te mando los datos para el
trabajo que me pediste. Te pido me lo confirmes...". Aunque
no nos llamemos Pablo, es casi seguro que la mayoría
pecaremos de curiosos y terminemos abriendo el adjunto para
saber de que se tratan esos datos enviados.
Pero ese es solo un ejemplo. Los mensajes que envía el
BugBear.B son todos diferentes, y es casi seguro que serán en
nuestro propio idioma, porque las máquinas infectadas son de
algún modo de gente que tiene en sus discos nuestras
direcciones (y no solo en la libreta, son válidos también
mensajes antiguos o que nos incluyen contra nuestro deseo por
ser parte de esas "malditas cadenas" del tipo "reenvíalo a
todos tus conocidos" que nunca deberíamos responder).
Además el gusano también puede ejecutarse sin abrir el
adjunto, con solo verlo en el panel de vista previa del
Outlook. Sin embargo, ello solo ocurre si tenemos una versión
5.5 o anterior sin actualizar. El OE 6.0 no es vulnerable. Y
como estadísticamente, una gran mayoría utiliza esta versión,
la razón de la propagación no es otra que la apertura
premeditada del adjunto. Y de no tener actualizado el
antivirus.
Hemos detectado que un 90% de los infectados que han
solicitado nuestros servicios para erradicar este gusano,
usaban la versión 6 del Outlook Express. Pero en cambio no
tenían al día el antivirus, o habían sido atacados antes por
otros virus, que habían deshabilitado esta protección.
Increíblemente, 3 de cada 5 infectados que hemos tratado nos
han dicho cosas como "si, creo que el antivirus no me andaba
desde hace un tiempo, pero no estoy seguro".
Y ni que decir que aquello de no abrir nada que no hemos
pedido, es para muchos tan difícil como dejar de fumar, y las
consecuencias son obvias.
Por lo pronto, que un virus con menos de un mes de detectado
(lo cumple recién el 5 de julio), haya desplazado al
imbatible Klez, no es poca cosa.
Menos explicable en todo caso, es que un virus como el
Sobig.E (que como casi todos los anteriores de esa familia,
menos el A, tiene fecha de caducidad), haya cosechado tantos
reportes.
Si abrir un adjunto e infectarnos es un descuido que no tiene
justificación, abrir un archivo comprimido y luego ejecutar
su contenido es directamente estúpido (sin ánimos de
ofender). Y sin embargo, las estadísticas nos dan
conclusiones claras al respecto. El Sobig.E estará activo
hasta el 14 de julio, según está indicado en su código.
Otro tema que no queremos dejar pasar, por su reiteración, es
la falta de celeridad en la respuesta de algunos fabricantes,
sobre todo con virus de origen hispano.
El primer caso reciente fue el Mapson, el gusano que entre
sus numerosos mensajes tiene uno que simula ser enviado por
VSAntivirus. De origen mexicano, tuvo una propagación
importante antes de ser detectado por los antivirus más
conocidos.
Solo fabricantes de origen sudamericano como Per y HackSoft
(ambos de Perú), lo detectaron con sus productos casi de
inmediato. Lo siguieron el Norton y de 24 a 48 horas después,
los demás.
Pero lo preocupante, es que hace apenas unos días, el hecho
volvió a repetirse de forma casi calcada, con otro gusano de
origen latino. Nos referimos al hoy llamado Colevo, de origen
aparentemente boliviano.
Otra vez solo The Hacker y Per Antivirus lo identificaron
prácticamente enseguida. Luego el Norton, y varias horas más
tarde los demás. Algunos casi 72 horas después.
Un caso particular fue el Nod32. La versión 2.0 (recién
salida, pero aún no disponible en español), lo identificaba
desde el primer momento (sin un nombre específico), gracias a
su potente heurística (que sin dudas dará que hablar). Sin
embargo, los usuarios que utilizan la versión 1.4 del
producto, tuvieron la actualización que lo reconoce, recién
48 horas después. Esto mismo se repitió con otros conocidos
fabricantes como Kaspersky, Panda, McAfee, TrendMicro,
Sophos, etc., en mayor o menor grado.
Consideramos inadmisible una demora de tantas horas para una
actualización, cuando una amenaza latente está dando vueltas
por la red. Casos similares, pero con virus en idioma inglés,
han tenido una respuesta más inmediata, por lo que queda
preguntarnos, si los grandes fabricantes de antivirus
realmente consideran al mercado hispano.
Ya hemos hecho notar este comportamiento a algunos de estos
fabricantes. Solo esperemos que cuando surja la próxima
amenaza en nuestro idioma, nos demuestren que realmente han
tomado en serio nuestras quejas, que son las de nuestros
lectores.
Hasta el próximo mes...
* El ranking de junio de 2003
Estos son los datos obtenidos por VSAntivirus en el período
comprendido entre el 1 y el 30 de junio de 2003.
Total de mensajes monitoreados: 5.007
Total de virus reportados: 3.471
W32/Bugbear.B ............. 1752
W32/Klez.H ................ 985
W32/Sobig.C ............... 114
W32/Sobig.E ............... 89
W32/Mapson.A .............. 86
W32/Yaha.E ................ 86
W32/Fizzer.A .............. 71
W32/Bugbear.B.dam ......... 68
W32/Lovgate.H ............. 62
W32/Mapson.B .............. 27
W32/Funlove.4099 .......... 19
W32/Colevo.A .............. 18
W32/Hybris.B .............. 17
JS/Fortnight.C ............ 15
W32/Magistr.B ............. 14
W32/SirCam.A .............. 9
W32/Yaha.N ................ 9
W32/Lovgate.J ............. 8
W32/Lovgate.C ............. 5
W95/Spaces.1445 ........... 5
W32/Moe.A ................. 3
W32/Sobig.D ............... 3
W32/Avril.C ............... 2
W32/Gibe.B ................ 2
W32/Klez.C ................ 2
Cómo obtenemos estas estadísticas
Los datos de incidencia de virus reportados por Video Soft,
son capturados en una red de monitoreo que incluye desde
casos reportados directamente en nuestro servicio técnico,
hasta mensajes con muestras enviadas para su evaluación a
nuestra dirección especialmente creada para ello
(virus@videosoft.net.uy), además de los mensajes infectados
llegados a nuestros buzones de correo electrónico.
Se incluyen además de nuestras direcciones conocidas, un
sistema de monitoreo permanente implementado por Video Soft
desde setiembre de 2001, consistente a la fecha en más de 100
casillas de correo testigo, con varios dominios, que reciben
mensajes de varias listas de correo, páginas de ofertas, y
simple correo basura. Estas cuentas son filtradas y solo se
tiene en cuenta la existencia o no de código vírico o
potencialmente peligroso.
Puede obtener más información de los virus aquí reportados en
nuestro sitio, utilizando el buscador incorporado.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - SCAM: Falso sitio de Yahoo! intenta robo de tarjetas
_____________________________________________________________
http://www.vsantivirus.com/scam-yahoo-wallet.htm
SCAM: Falso sitio de Yahoo! intenta robo de tarjetas
Publicado originalmente en Rynho Zeros Web
http://www.RZW.com.ar/
Falso sitio de Yahoo! intenta obtener contraseñas y números
de tarjetas de crédito
Hace unos días era reportado un sitio que simulaba una
supuesta actualización de Windows [Nota VSA: Ver "Crean falso
sitio de Microsoft para difundir un troyano",
http://www.vsantivirus.com/29-06-03.htm]. Ahora es el turno
de Yahoo!, debido a que algún individuo con malas intenciones
ha hecho circular un mensaje usando métodos de SPAM para
propagarlo y también usando la inocencia de los usuarios que
suelen reenviar este tipo de mensajes.
Tanto el mensaje como el sitio están en inglés, pero en éste
último se podía encontrar un pequeño formulario, en el cuál
se pedía que la víctima ingresara los siguientes datos:
Your E-Mail:
Password:
First Name:
Last Name:
ZIP:
Check or Credit Card #:
Expiration Date:
Check/ATM PIN:
Dicho formulario estaba ambientado con el estilo de Yahoo!,
tanto en imágenes como fuentes.
El sitio que intentaba obtener datos como la cuenta,
contraseña, nombre y apellido, zip, número de tarjeta de
crédito, fecha de expiración de la misma y su PIN; trataba de
engañar al usuario con la siguiente introducción en la
página:
"We encountered a billing error when attempting to renew your
Yahoo! service. This type of error usually indicates that
either the credit card you have on file has expired or that
the billing address we have is not current."
Traducido al español sería:
"¡Encontramos un error de facturación al procurar renovar su
servicio Yahoo!. Este tipo de error indica generalmente que o
ha expirado la tarjeta de crédito que usted tiene en archivo
o que la dirección de la facturación que tenemos no es
actual."
Con eso demuestra que el único objetivo es obtener números de
tarjetas de crédito, además de contraseñas de cuentas ajenas,
utilizando el famoso tema de la caducidad del servicio
gratuito de correo.
La web que pretendía ser de Yahoo! ya fue dada de baja, o al
menos el servidor que alojaba el dominio lo ha hecho, luego
de ser avisada; pero la web que era mostrada estaba en otro
servidor, y continúa estando online.
Esta era la URL de la web:
http://www.yahoo-wallet.com/
La pagina mostrada es la siguiente:
http://69.22.169.94/~astrupz
Los usuarios de los distintos tipos de webmail ya deberían
estar acostumbrados a este tipo de engaños, pero igual
siempre hay algunos que debido a su inexperiencia y/o
inocencia caen en estas trampas, para luego ver las
consecuencias en su resumen de la tarjeta de crédito.
El método utilizado en esta web, no es nada nuevo, y este
tipo de formularios puede encontrarse en muchísimos sitios
aficionados a la seguridad/hacking, y comúnmente son mal
llamados exploits para Yahoo!/Hotmail, ya que no explotan
fallas en dichos servicios sino en la confianza de las
personas.
Autor: Martin Aberastegue
http://www.rzw.com.ar
Créditos: Lokito
(http://foro.hackemate.com.ar/viewtopic.php?t=1831)
Noticia publicada originalmente en
http://www.rzw.com.ar/article507.html
* Nota VSAntivirus:
YAHOO-WALLET.COM no pertenece a Yahoo!, y fue registrado el
14 de junio de 2003 por NETWORK SOLUTIONS, INC. Las
referencias administrativas apuntan, entre otros, a los
siguientes datos:
Administrative Contact, Billing Contact:
Dank, Richard, 65 Chenango dr, Jericho, NY 11753, US.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Colevo.A. Gusano boliviano, muestra a Evo Morales
_____________________________________________________________
http://www.vsantivirus.com/colevo-a.htm
Nombre: W32/Colevo.A
Tipo: Gusano de Internet
Alias: W32/Evomo.A, W32/Evomo@MM, W32/Vivael.A,
W32.Vivael@mm, I-Worm.Colevo, W32/Colevo, W32/Meve,
Win32/Meve.a@MM, Win32/Colevo.A, WORM_COLEVO.A
Tamaño: 188,928 bytes
Plataforma: Windows 32-bit
Fecha: 27/jun/03
Fuente: HackSoft S.R.L. Lima-Perú
[Descripción basada en la proporcionada por HackSoft
http://www.hacksoft.com.pe/]
Gusano de origen boliviano que se propaga a través del correo
electrónico, a todos los contactos de .NET Messenger, en un
adjunto de nombre "Hotmailpass.Exe".
Cómo es costumbre, cada fabricante le ha dado un nombre
diferente, siendo "Colevo" el más común hasta el momento.
Detectado por primera vez por HackSoft, fue descripto al
comienzo como W32/Evomo.A (VSA 1086).
El gusano, escrito en Delphi, y comprimido con la herramienta
ASPACK, cuando se ejecuta muestra varias imágenes del
político de dicho país (Bolivia), Evo Morales.
NOTA: Evo Morales Ayma, fue candidato en las últimas
elecciones presidenciales y es el líder de la federación de
los productores de la hoja de coca y símbolo de la lucha
contra la política neoliberal en Bolivia.
Este gusano posee su propia máquina SMTP, por lo que no
depende de ningún cliente de correo electrónico instalado
para enviarse.
Los mensajes pueden presentar algunas de estas
características:
Ejemplo 1:
De: [usuario afectado]
Asunto: Al fin se puede hackear a hotmail!!
Datos adjuntos: hotmailpass.exe (puede variar)
Ejemplo 2:
De: [usuario afectado]
Asunto: El adelanto de matrix ta gueno
Datos adjuntos: hotmailpass.exe
Texto del mensaje:
Oye te ? paso el programa para entrar a cuentas
del messenger Z y facilingo te lo paso a voz nomas,
prometeme que no se lo pasas a nadie, ya? u
Respondeme que tal te parecio. chau
Cuando el usuario abre el adjunto, el gusano se ejecuta,
creando los siguientes archivos:
c:\windows\All Users.exe
c:\windows\command.exe
c:\windows\system.exe
c:\windows\Hot Girl.scr
c:\windows\Inf.exe
c:\windows\Temp.exe
c:\windows\Internet download[espacios vacíos].exe
c:\windows\Shell.exe
c:\windows\System32.exe
c:\windows\System64.pif
c:\windows\Internet File.exe
c:\windows\Part Hard Disk.exe
c:\windows\hotmailpass.exe
c:\windows\system\command.com
c:\windows\system\net.com
c:\windows\system\www.microsoft.com
c:\windows\system\Inf.exe
c:\windows\All User\Server.exe
c:\windows\menu inicio\programas\inicio\www.microsoft.com
c:\recycled\Evo Morales.scr
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System"
pueden variar de acuerdo al sistema operativo instalado (con
esos nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Luego modifica el registro de Windows para ejecutar el gusano
cada vez que se inicia una aplicación con extensión .EXE,
.PIF, .HTA, .BAT, o .COM
HKLM\software\Classes\exefile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
HKLM\software\Classes\comfile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
HKLM\software\Classes\batfile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
HKLM\software\Classes\htafile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
HKLM\software\Classes\piffile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
También modifica el registro para no mostrar las extensiones
.EXE:
HKLM\software\Classes\exefile
NeverShowExt = ""
Además crea estas entradas para autoejecutarse en cada
reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
System = [un archivo del gusano al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
System = [un archivo del gusano al azar]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System = [un archivo del gusano al azar]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
System = [un archivo del gusano al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System = [un archivo del gusano al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
System = [un archivo del gusano al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
System = [un archivo del gusano al azar]
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
System = [un archivo del gusano al azar]
Además, modifica los archivos WIN.INI, SYSTEM.INI y
DOSTART.BAT
En WIN.INI agrega referencias al gusano en las claves "run="
y "load=" bajo la etiqueta [windows], además de un comentario
político que no se muestra al usuario:
[windows]
load = c:\windows\archivo.exe
run = c:\windows\archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!!
mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####
En SYSTEM.INI, bajo [boot], modifica la siguiente entrada:
[boot]
shell = explorer.exe temp.exe
En DOSSTART.BAT añade la siguiente línea:
c:\windows\Shell.exe
Sustituye el contenido de WININIT.INI por lo siguiente:
null=c:\windows\system.exe
Crea WINSTART.BAT con el siguiente contenido:
c:\windows\Shell.exe
El gusano muestra en forma continua 10 imágenes con la figura
del político mencionado.
Los archivos (todos .JPG), son descargados desde los
siguientes sitios y visualizados por el navegador:
http:/ /jeremybigwood.net
http:/ /news.bbc.co.uk
http:/ /www.commondreams.org
http:/ /www-ni.laprensa.com.ni
http:/ /www.soc.uu.se
http:/ /www.cannabisculture.com
http:/ /www.chilevive.cl
http:/ /membres.lycos.fr
http:/ /www.movimientos.org
Hay indicios de que intenta abrir el puerto 2536 en la
computadora infectada. Sin embargo, no se ha detectado
actividad alguna del gusano que involucre ese puerto en las
pruebas realizadas.
* Reparación manual
* Reparación especial (archivos asociados)
NOTA: Debido a las modificaciones hechas al registro se deben
seguir los siguientes pasos para su correcta modificación.
1. Actualice sus antivirus con las últimas definiciones y
descargue (por ejemplo en el escritorio de Windows) el
archivo "exefile.reg" de nuestro sitio:
http://www.videosoft.net.uy/exefile.reg
Luego, reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Haga doble clic sobre el archivo "exefile.reg" descargado
anteriormente en su PC, y confirme las modificaciones a
realizar.
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\recycled\evo morales.scr
c:\windows\all users.exe
c:\windows\command.exe
c:\windows\dosstart.bat
c:\windows\hot girl.scr
c:\windows\hotmailpass.exe
c:\windows\inf.exe
c:\windows\internet download[espacios vacíos].exe
c:\windows\internet file.exe
c:\windows\menu inicio\programas\inicio\www.microsoft.com
c:\windows\part hard disk.exe
c:\windows\shell.exe
c:\windows\system.exe
c:\windows\system32.exe
c:\windows\system64.pif
c:\windows\temp.exe
c:\windows\wininit.ini
c:\windows\winstart.bat
c:\windows\system\command.com
c:\windows\system\inf.exe
c:\windows\system\net.com
c:\windows\system\www.microsoft.com
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
\1
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
System = [un archivo del gusano al azar]
También borre la carpeta "1".
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
System
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
\1
7. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
System
También borre la carpeta "1".
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
9. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
System
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce
11. Pinche en la carpeta "RunServicesOnce" y en el panel de
la derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
System
12. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce
13. Pinche en la carpeta "RunServicesOnce" y en el panel de
la derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
System
14. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\exefile
15. Pinche en la carpeta "exefile" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
NeverShowExt
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Editar el archivo WIN.INI y SYSTEM.INI
Nota: Cómo el gusano parece no examinar infecciones previas,
estas líneas pueden reiterarse varias veces. Modifíquelas y
bórrelas todas como se indica aquí, de modo que quede una
sola etiqueta [windows], [boot], etc.
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
load = c:\windows\archivo.exe
run = c:\windows\archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!!
mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####
Debe quedar como:
[windows]
load =
run =
3. Grabe los cambios y salga del bloc de notas.
4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
5. Busque lo siguiente:
[boot]
shell = explorer.exe temp.exe
y déjelo así:
[boot]
shell = explorer.exe
6. Grabe los cambios y salga del bloc de notas
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Recuperar asociación con archivos .HTA
1. Seleccione Panel de control, Herramientas, Opciones de
carpeta.
2. Seleccione la lengüeta "Tipos de archivos".
3. Busque la extensión "HTA".
4. Pinche en Cambiar, Otros, y busque en la carpeta System o
System32 (C:\Windows o C:\WinNT), el archivo MSHTA.EXE.
5. Pinche en Aceptar, Aplicar y Cerrar.
6. Reinicie el sistema.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Actualizaciones:
29/jun/03 - Alias: W32/Vivael.A, W32.Vivael@mm
29/jun/03 - Ampliación de la descripción
29/jun/03 - Alias: I-Worm.Colevo
29/jun/03 - Alias: W32/Colevo, W32/Meve
30/jun/03 - Alias: Win32/Meve.a@MM
30/jun/03 - Alias: Win32/Colevo.A
30/jun/03 - Ampliación de la descripción
30/jun/03 - Renombrado a W32/Colevo.A
30/jun/03 - Alias: WORM_COLEVO.A
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Dufil.A. Se ejecuta aprovechando una falla del IE
_____________________________________________________________
http://www.vsantivirus.com/troj-dufil-a.htm
Nombre: Troj/Dufil.A
Tipo: Caballo de Troya
Alias: Win32.Dufil, Downloader-BN.b, Win32/Dufil.Trojan
Fecha: 26/jun/03
Plataforma: Windows 32-bit
Este troyano descarga y ejecuta otros programas maliciosos.
Está relacionado con un falso sitio que aparentaba ser de
Microsoft.
Más detalles en "Crean falso sitio de Microsoft para difundir
un troyano", http://www.vsantivirus.com/29-06-03.htm
El troyano es descargado en la máquina desde un sitio Web,
que simula ser una actualización de Windows.
Para incitar al usuario a su descarga, el siguiente mensaje
fue enviado en forma de spam a una gran cantidad de usuarios,
supuestamente en forma premeditada:
Asunto: IMPORTANT!! Critical security hole in Windows!
Texto del mensaje:
Dear Windows User!
New Windows 9x/2000/NT/XP critical patch has been released.
Due to security problems, your system needs to be updated
as earlier as possible. You can download an update patch on
Windows Update site:
http:/ /www.windows-update.com
Best regards, Windows Update Group
El enlace llevaba a una página que contiene un exploit que se
aprovecha de una vulnerabilidad para descargar y ejecutar un
archivo llamado "update0932.exe" en el sistema del usuario.
Este archivo es el troyano propiamente dicho.
La vulnerabilidad es cono conocida como "File Download Dialog
Vulnerability", y afecta al Internet Explorer.
Esta vulnerabilidad es corregida en el siguiente parche de
Microsoft:
http://www.vsantivirus.com/vulms03-020.htm
Cuando se ejecuta, el troyano se copia a si mismo en la
siguiente ubicación:
c:\windows\regsvs32.exe
También crea esta clave del registro, para autoejecutarse en
cada reinicio del sistema infectado:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Regsvs Services = c:\windows\regsvs32.exe
El troyano descarga el archivo de texto: RQ.TXT del sitio
http:/ /lol.ifud.cc.
Este archivo contiene la dirección para descargar otro
archivo, que el troyano luego ejecuta. El contenido de RQ.TXT
puede ser cambiado cada cierto tiempo.
Los siguientes troyanos fueron identificados mientras la
página original estuvo activa:
winpwr32.exe (Troyano "IRCFlood")
svsghost.exe (variante de "Sdbot")
iisa.exe (Troyano "Holbot")
Aunque la página original fue dada de baja (http:/
/www.windows-update.com), nada impide que se utilice otro
método (u otra página), para la descarga de nuevas amenazas.
* Ver también:
Crean falso sitio de Microsoft para difundir un troyano
http://www.vsantivirus.com/29-06-03.htm
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Regsvs Services
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
Nota: Tenga en cuenta que este procedimiento se refiere solo
al troyano original. Cómo éste descarga y ejecuta otros
archivos malignos, luego de identificar estos, deberá
seguirse un procedimiento adecuado con cada caso en
particular.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1089 Año 7, Martes 1 de julio de 2003
|
VSantivirus No. 10
Responder a este mensaje
