| Asunto: | VSantivirus No. 1100 Año 7, Sábado 12 de julio de 2003 | | Fecha: | Sabado, 12 de Julio, 2003 05:46:28 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1100 Año 7, Sábado 12 de julio de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Su computadora puede ser un sitio porno y usted lo ignora
2 - Troj/Backdoor.Migmaf.A. Troyano Proxy para sitio porno
3 - W32/Mofei.C. Se propaga rápidamente en redes
4 - W32/Jantic.B. Borra archivos y se propaga por e-mail
5 - W32/Niden.A. Se propaga por P2P, borra archivos
_____________________________________________________________
1 - Su computadora puede ser un sitio porno y usted lo ignora
_____________________________________________________________
http://www.vsantivirus.com/ev-migmaf-trojan.htm
Su computadora puede ser un sitio porno y usted lo ignora
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
¿Sabe que usted podría estar en el negocio de la pornografía
sin saberlo?
Una nueva técnica empleada por piratas informáticos, permite
tomar por asalto computadoras personales para convertirlas en
sitios pornos.
Las computadoras asaltadas, que son escogidas por los piratas
entre aquellas con mayor velocidad de conexión a Internet,
reciben clandestinamente un troyano capaz de convertirlas en
emisarias de páginas de publicidad pornográficas, incluyendo
formularios para inscribir en esos servicios a posibles
clientes.
Un usuario común, o aquél sin la preparación adecuada, muy
probablemente no notará esta actividad extra en su PC. El
programa solo descarga brevemente el material pornográfico en
la computadora usurpada, y su acción es invisible al dueño
del equipo. No causa daños en la máquina ni perturba su
funcionamiento.
Los piratas informáticos operan un verdadero anillo de
computadoras asaltadas, y pueden dirigir el tráfico a cada
una de éstas, solo unos pocos minutos por vez, antes de
cambiar rápidamente a otras.
Por ejemplo, cuando se visita una página porno o con
publicidad pornográfica, los enlaces que se abren a otros
sitios condicionados, pueden estar hospedados durante diez
minutos en cada una de las computadoras tomadas por asalto.
La idea permite dividir el tráfico pesado entre miles de
máquinas, y el número puede aumentar rápidamente. Además,
hace prácticamente imposible que un proveedor de servicio
pueda bloquear las páginas, porque su origen cambia
constantemente. Esta técnica permite también usar los equipos
invadidos, como generadores de correo basura (spam),
amparados por las mismas "habilidades" para permanecer
encubiertos.
Richard M. Smith, un investigador independiente, publicó la
semana pasada estas afirmaciones en conocidas listas de
seguridad. "Hay gente que está en el negocio de la
pornografía, sin saberlo", afirma en relación a los usuarios
infectados por este troyano. Para Smith, el origen del anillo
de computadoras, podrían ser spammers de origen ruso. Los
últimos análisis parecen desechar esta teoría.
De este modo, los emisores de esta publicidad o del spam,
pueden ocultar su identidad, y resolver uno de los grandes
problemas para los proveedores de pornografía y correo
basura, impedir que cierren sus sitios por denuncias, En este
caso, el usuario común (usted mismo), sería el denunciado, o
al menos su propio proveedor de acceso a Internet.
Hace poco se comentó la acción de un troyano que permite
manejar una red distribuida y oculta de escaneo
(http://www.vsantivirus.com/ev-stumbler.htm). Aunque parece
no estar relacionado, la idea puede tener cosas en común.
Según las últimas investigaciones de Smith, habrían por lo
menos 2,000 computadoras hogareñas secuestradas por esta
técnica.
El troyano funciona como un proxy, sirviendo de
"anonimizador" inverso, para habilitar el acceso a estas
páginas pornográficas (las páginas están en otras máquinas,
ocultas de un rastreo desde la red al buscarse el origen).
Cómo estos sitios están activos periódicamente, en intervalos
de solo diez minutos, es muy dificultoso, por no decir
imposible, bloquearlos. El pirata solo debe tener instalados
servidores DNS para estos dominios (servidores que mantienen
la lista de nombres de sitios y su dirección IP asociada).
Estos servidores están en otras computadoras también bajo su
control. Desde allí se puede automatizar que cada par de
nombre de dominio y dirección IP, cambie cada 10 minutos.
El pasado 4 de julio, algunos de estos servidores fueron
usados para el envío masivo de mensajes solicitando las
contraseñas y números de tarjetas de crédito a incautos
usuarios de PayPal, el sitio de Internet que permite el pago
de servicios on-line.
Algunos de los nombres de dominio usados por el troyano hasta
el momento, son los siguientes:
onlycoredomains.com
pizdatohosting.com
bigvolumesites.com
wolrdofpisem.com
arizonasiteslist.com
nomorebullshitsite.com
linkxxxsites.com
Smith ha monitoreado, tan solo desde el 5 de julio a la
fecha, más de 2,000 direcciones IP únicas como hosts para
cada uno de estos dominios. La mayoría pertenecen a ISP
(proveedores de servicios de Internet), usados por usuarios
domésticos. El más usado es AOL.COM.
El troyano realiza un test de velocidad enviando información
basura al sitio de Microsoft, y los resultados son enviados
al servidor principal del pirata, el cuál solo selecciona las
computadoras con mayor velocidad (cable o conexión DSL por
ejemplo), para usarlas en el anillo.
La forma de instalación de este troyano podría ser a través
de algún gusano, de los que descargan actualizaciones de
Internet, como el Sobig, pero hasta el momento solo es una
teoría. Es muy probable que tanto las redes de intercambio de
archivos, como los canales de chat y las aplicaciones de
mensajería instantánea, hayan sido uno de los vehículos.
Una de las muestras del troyano, tiene como fecha de
compilación de su código, el 8 de julio, lo que hace suponer
que dicho troyano es continuamente modificado y actualizado
por el pirata.
Aunque los antivirus ya tienen muestras de este troyano
(denominado "Migmaf"), y ya es identificado por la mayoría de
los productos actualizados, hay que tener en cuenta su
habilidad de ser modificado, por lo que se recomienda
utilizar por lo menos algún cortafuegos personal, y tomar las
mayores precauciones posibles ante cualquier ejecutable
recibido o descargado de Internet, sobre todo con aquellos no
solicitados, o provenientes de fuentes no comprobadas.
Por lo pronto, la versión actual del troyano, puede ser
identificada por la aparición en la clave HKLM o HKCU
Software \Microsoft \Windows \CurrentVersion \Run, del valor
"Login Service".
El ejecutable parece instalarse en la carpeta de Windows
\System32\ con el nombre de "wingate.exe".
Busque la clave "Login Service" con el editor del registro
(REGEDIT) y bórrela si la tiene. También busque y borre el
archivo "wingate.exe" en \Windows\System32.
[Publicado con autorización de Enciclopedia Virus]
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=200
Relacionados:
Troj/Backdoor.Migmaf.A. Troyano Proxy para sitios porno
http://www.vsantivirus.com/Backdoor.Migmaf-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Troj/Backdoor.Migmaf.A. Troyano Proxy para sitio porno
_____________________________________________________________
http://www.vsantivirus.com/back-migmaf-a.htm
Nombre: Troj/Backdoor.Migmaf.A
Tipo: Caballo de Troya
Alias: Migmaf, Backdoor.Migmaf, Proxy-Migmaf
Fecha: 11/jul/03
Tamaño: 46,080 bytes
Plataforma: Windows 32-bit
Este caballo de Troya es el descripto en el artículo "Su
computadora puede ser un sitio porno y usted lo ignora",
http://www.vsantivirus.com/ec-migmaf-trojan.htm
Es un troyano escrito en Microsoft Visual C++, y comprimido
con la utilidad tElock v0.98, que posee capacidades de "Proxy
reverso".
Esto es, un usuario solicita una página al servidor
infectado, porque coincide el nombre de dominio con la
dirección IP de ese servidor (esto es algo totalmente
transparente para el usuario, quien solo teclea una dirección
como "linkxxxsites.com").
El servidor infectado descarga la página del servidor maestro
(controlado por un pirata informático). La dirección IP de
este servidor maestro queda oculta. Finalmente, el servidor
infectado muestra la página solicitada al usuario.
Cada 10 minutos el servidor de nombres controlado por el
atacante, cambia las direcciones IP de cada dominio
controlado, haciendo que la próxima solicitud de un usuario
sea a otra dirección IP diferente.
El servidor normalmente contiene material pornográfico.
El troyano suele distribuirse manualmente, generalmente bajo
la premisa de que es una inocente utilidad. Los canales de
distribución más usados son el correo electrónico, listas de
noticias (newsgroups), canales de IRC, y redes P2P como KaZaa
y otros.
Cuando el archivo del troyano (que puede tener cualquier
nombre), se ejecuta en la máquina de su víctima, examina la
presencia de la siguiente clave del registro:
HKEY_CURRENT_USER\Keyboard Layout\Preload
Allí comprueba si el idioma del teclado instalado es ruso, y
si lo fuera, deja de ejecutarse y no realiza ninguna otra
acción.
Luego crea un mutex (semáforo que indica a otros procesos o
al propio troyano, que ya está activo en memoria.
REQUEST_MANAGE_SUBSYSTEM
Modifica después el registro de Windows, para autoejecutarse
en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Login Service = [nombre y ubicación del troyano]
Establece luego una conexión con el servidor maestro,
controlado por el atacante. Para prevenir la identificación
del servidor maestro, el troyano no se conecta directamente a
una dirección IP, sino que crea varias combinaciones de
octetos A+B+C+D al azar:
A = 78, 209, 216
B = 12, 128, 164
C = 55, 211, 216
D = 61, 187, 210
Envía luego información basura al puerto 80 del servidor de
Microsoft, para comprobar la velocidad de conexión, y si el
usuario posee banda ancha. Esta información es enviada al
servidor maestro.
En los datos enviados al servidor de Microsoft por el gusano
puede verse este texto:
disclaimer: www.microsoft.com used for
bandwidth speed testing only
En algunas muestras examinadas, el ejecutable del troyano se
copiaba con el siguiente nombre y en la siguiente ubicación:
c:\windows\system32\Wingate.exe
La carpeta "System32" está en C:\Windows (Windows XP) o
C:\WinNT (Windows NT y 2000), por defecto.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Login Service
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Mofei.C. Se propaga rápidamente en redes
_____________________________________________________________
http://www.vsantivirus.com/mofei-c.htm
Nombre: W32/Mofei.C
Tipo: Gusano de Internet
Alias: Win32/Mofei.C, W32.Femot.Worm, W32/MoFei.worm,
WORM_MOFEI.C, W32/Mofei-C, Worm.Win32.Mofeir
Fecha: 11/jul/03
Plataforma: Windows 32-bit
Puertos: 135, 139
Esta versión está comprimida con la utilidad ASPACK, y el
ejecutable se llama LASVR32.EXE.
El gusano funciona propagándose a través de recursos
compartidos en redes locales, utilizando para ello los
puertos 135 y 139, asociados a NetBIOS. También posee
características de troyano, con las que habilita múltiples
comandos a un usuarios remoto, que podrá ejecutar en la
computadora infectada, comprometiendo su seguridad y
privacidad.
El gusano no examina si ya está en memoria, generando
múltiples instancias de si mismo, con la consiguiente
degradación del rendimiento en el peor de los casos.
Mientras está activo en memoria, el gusano también intenta
conectarse cada cierto tiempo a las siguientes direcciones
IP, por los puertos 1080 u 8080:
16.138.233.237 (google.ods.org)
218.17.1.109 (windowsupdate.daemon.sh)
Además intenta conectarse al puerto 8080 de las siguientes
direcciones:
rsthost1.ods.org
rsthost2.ods.org
rsthost3.ods.org
images.daemon.sh
Cuando se ejecuta, se copia en la siguiente ubicación:
c:\windows\system32\lasvr32.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También libera este archivo:
c:\windows\system32\mofei.cfg
De acuerdo al sistema operativo, copia diferentes archivos y
realiza los siguientes cambios:
* Equipos con Windows 95, 98 o Me.
Copia el siguiente archivo:
c:\windows\system32\lasvr32.exe
Este archivo es un componente troyano.
Agrega la siguiente entrada al registro de Windows, para
autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NavAgent32 = c:\windows\system32\lasvr32.exe -v
También crea estos archivos:
c:\windows\system32\lasvr32.dll
c:\windows\system32\navpw32.exe
c:\windows\system32\mofei.cfg
c:\windows\system32\mofei.id
c:\windows\system32\mofei.mis
* Equipos con Windows NT, 2000 y XP.
Crea los siguientes archivos:
c:\windows\system32\lasvr32.exe
c:\windows\system32\lasvr32.dll
c:\windows\system32\mofei.cfg
El gusano no examina si ya está instalado en memoria, por lo
que puede ejecutarse varias veces.
Agrega en el registro el servicio "Smart Card Helper", y lo
configura para que ejecute el archivo LASVR32.EXE. Este
archivo es el componente troyano.
HKLM\System\CurrentControlSet\Services\SCardDrv
ImagePath = c:\windows\system32\lasvr32.exe -v
El servicio "Smart Card Helper" es instalado en algunos
equipos por defecto. Si ya estuviera instalado en el equipo
infectado, el gusano lo reemplaza por el suyo.
* Rutina de funcionamiento en Windows NT, 2000 y XP
La rutina de propagación solo funciona en Windows NT, 2000 y
XP. El gusano intenta conectarse a otras computadoras
intentando usar la cuenta del administrador (admin), probando
las siguientes contraseñas:
stgzs
security
super
oracle
secret
root
admin
password
passwd
pass
88888888
888888
00000000
000000
111
11111
111111
111
fan@ing*
54321
654321
12345678
1234567
123456
12345
1234
123
12
También lo intenta con las siguientes direcciones IP:
192.168.0.3
192.168.0.20
164.100.0.0
164.100.255.255
Reitera el intento con los siguientes nombres de cuentas:
wachen
shhung
cesil
corden
smchou
rober
hychen
flora
cthsieh
yhchen
tcpang
Si se conecta, examina si existen los siguientes archivos (%s
es el nombre o la dirección IP de la máquina):
\\%s\admin$\system32\lasvr32.exe
\\%s\admin$\system32\mofei.ver
Si nos los encuentra, intenta crear los siguientes archivos
para agregar e iniciar su servicio infectado:
\\%s\admin$\system32\lasvr32.exe
\\%s\admin$\system32\mofei.ver
\\%s\ipc$\system32\lasvr32.exe
\\%s\ipc$\system32\mofei.ver
Si bien en Windows 95, 98 y Me, el gusano no se propaga, si
pueden infectarse equipos con estos sistemas. En cualquiera
de los dos casos, el gusano habilita las siguientes acciones
por parte de un usuario remoto, en la máquina infectada:
- Acceso a la línea de comandos de Windows (CMD.exe o
command.com)
- Ejecutar programas
- Borrar o crear archivos y carpetas
- Descargar otros archivos de Internet
También puede enviar al atacante, esta información de la
máquina infectada:
- Espacio libre (discos)
- Espacio total (discos)
- ID del volumen del disco
- Nombre del volumen
- Tipo de disco
- Memoria física disponible
- Tipo de procesador
- Dirección IP
- Nombre de la computadora
El troyano también tiene componentes de keylogger (captura y
envía lo tecleado por la víctima).
Además crea una cuenta llamada "tsinternetuser". Si esta
cuenta existe, le cambia la contraseña y la agrega al grupo
del administrador local.
El gusano también puede inyectar su código en hilos remotos
dentro de la ejecución de EXPLORER.EXE y LSASS.EXE. Algunos
de esos hilos remotos se encargan del escaneo de puertos de
máquinas dentro del rango 192.168.0.x.
El gusano puede reiniciar la máquina infectada o borrarse a
si mismo. También tiene la capacidad de ser actualizado en
forma remota.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar recursos ocultos en Windows NT, 2000 y XP
Se sugiere eliminar los recursos compartidos ocultos, como
C$, D$ (etc.), además de IPC$ y ADMIN$, para prevenir la
propagación de gusanos como éste.
Los siguientes comandos pueden implementarse en un archivo
.BAT o script, y ejecutarse desde la carpeta de inicio:
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share ipc$ /delete
net share admin$ /delete
Si su computadora es parte de una red corporativa, consulte
con su administrador.
* Remoción del gusano utilizando "Process Explorer" (Windows
NT, 2000 y XP)
Esta herramienta de uso gratuito "Process Explorer" (100 Kb),
puede ser descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta,
copie allí el contenido del archivo .ZIP descargado y ejecute
el archivo PROCEXP.EXE.
Bajo la columna "Process" de la ventana superior de la
utilidad "Process Explorer", localice y "mate" (Kill
Process), el siguiente proceso:
Smart Card Helper
* Remoción manual del proceso (Windows NT, 2000 y XP)
Para detener el gusano en memoria siga estos pasos:
1. Pinche en Inicio, y pinche en Ejecutar.
2. Escriba "services.msc" sin las comillas y pulse Enter.
3. Localice y seleccione el servicio "Smart Card Helper".
4. Pinche en Acciones y luego en Propiedades.
5. Pinche en Detener (si es aplicable).
6. Cambie el modo de inicio a Manual.
7. Pinche en Aceptar y cierre la ventana de servicios.
8. Reinicie la computadora.
* Antivirus (todos los Windows)
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos (no todos estarán presentes):
c:\windows\system32\lasvr32.dll
c:\windows\system32\lasvr32.exe
c:\windows\system32\mofei.cfg
c:\windows\system32\mofei.id
c:\windows\system32\mofei.mis
c:\windows\system32\mofei.ver
c:\windows\system32\navpw32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. (Solo Windows 95, 98 y Me). En el panel izquierdo del
editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
NavAgent32
4. (Solo Windows NT, 2000 y XP). En el panel izquierdo del
editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services
\SCardDrv
5. Pinche en la carpeta "SCardDrv" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Jantic.B. Borra archivos y se propaga por e-mail
_____________________________________________________________
http://www.vsantivirus.com/jantic-b.htm
Nombre: W32/Jantic.B
Tipo: Gusano
Alias: Win32/Jantic.B, W32.Jantic.B@mm, W32/Jantic.b@mm,
I.worm.jantic.b@mm, Bloodhound.W32.VBWORM, I-Worm.generic,
W32/Generic.a@MM
Tamaño: 40,960, 73,728 bytes
Fecha: 11/jun/03
Esta versión del gusano, escrito en Visual Basic y compilado
en código nativo, sin comprimir, se propaga enviándose a
todos los contactos de la libreta de direcciones de Windows
en mensajes como estos:
Versión 1:
Asunto: You have a ecard!
Datos adjuntos: attachment.exe
Texto:
You have recieved a E-Card!
Check your attatchments!
Versión 2:
Asunto: Technical Support - File you Requested.
Datos adjuntos: attachment.exe
Texto:
Hey, Here is the Attachment you Requested.
Please Respond Back. Thanks Technical Support.
Cuando se ejecuta muestra varias ventanas con mensajes:
Question
Guess Who's Back?
[ OK ]
W32.Jantic@mm
W32.Jantic@mm is
[ OK ]
Translate This
Hallo, Vermutung Was? Diese Akte jetzt löscht
Material, stellt Material her, täuscht vor,
norton zu sein und steckt Material an! Lol:)
Und Sie ließen die Akte laufen!
[ OK ]
Translate This
¿Hola, Conjetura Qué? ¡Este archivo ahora está
suprimiendo la materia, está creando la materia,
está fingiendo ser norton y está infectando la
materia! Lol:) ¡Y usted funcionó el archivo!
[ OK ]
Translate This
Hello, Suposição Que? Esta lima agora está
suprimindo o material, está criando o material,
está fingindo-o ser norton e infecting o material!
Lol:) E você funcionou a lima!
[ OK ]
Luego, se envía a todos los contactos de la libreta de
direcciones del Outlook y Outlook Express, en mensajes como
los ya vistos, utilizando las funciones MAPI del Outlook y
Outlook Express. MAPI (Messaging Application Programming
Interface), es la interface de programación para aplicaciones
que gestionan correo electrónico, servicios de mensajería,
trabajos en grupo, etc.
El gusano crea después los siguientes archivos:
c:\attachment.exe
c:\windows\start menu\programs\startup\norton antivirus.exe
c:\windows\start menu\programs\startup\mcafee antivirus.exe
c:\windows\start menu\programs\startup\error.exe
c:\windows\a++.exe
c:\windows\pintaisback.exe
c:\windows\file.bat
c:\my shared folder\brittany spears nude.jpeg.exe
c:\my shared folder\50cents pre-release!.mpeg
Posee una destructiva rutina que se activa la próxima vez que
la máquina infectada se reinicie. Cuando ello ocurre, el
gusano borra de carpetas específicas, los archivos con
extensión .EXE, .INI o .SCR, de acuerdo al siguiente filtro:
c:\program files\yahoo!\messenger\*.EXE
c:\windows\*.INI
c:\windows\system\*.SCR
De existir, también borrará los siguientes archivos
pertenecientes a productos antivirus de Norton:
c:\archivos de programa\norton antivirus\naw32.exe
c:\archivos de programa\norton antivirus\nav32.exe
También intenta borrar el siguiente archivo, correspondiente
a la utilidad de desfragmentar de Windows:
c:\windows\defrag.exe
Al finalizar mostrará el siguiente mensaje:
Error 0251d2
Please See Technical Support!
[ OK ]
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos borrados deberán ser reinstalados o
copiados de un respaldo anterior, aunque seguramente, si la
rutina destructiva se llegó a ejecutar, la única solución
efectiva sea reinstalar todos los programas y aplicaciones,
incluido Windows. Sugerimos que se llame a un servicio
técnico especializado para realizar estas tareas si desea
intentar la recuperación de la valiosa información guardada
en su computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\attachment.exe
c:\windows\start menu\programs\startup\norton antivirus.exe
c:\windows\start menu\programs\startup\mcafee antivirus.exe
c:\windows\start menu\programs\startup\error.exe
c:\windows\a++.exe
c:\windows\pintaisback.exe
c:\windows\file.bat
c:\my shared folder\brittany spears nude.jpeg.exe
c:\my shared folder\50cents pre-release!.mpeg
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Información adicional
* Cómo recuperar DEFRAG.EXE
En Windows 98:
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que
desea restaurar", escriba el nombre del archivo a restaurar:
DEFRAG.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN98, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS"
(sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche
nuevamente en "Aceptar" (si no existe, tal vez se genere
ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").
En Windows Me:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar"
escriba el nombre del archivo a restaurar:
DEFRAG.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS"
(sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche
nuevamente en "Aceptar" (si no existe, tal vez se genere
ahora esta carpeta, generalmente:
"C:\WINDOWS\MSConfigs\Backups").
En Windows XP:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Expandir archivo"
3. En "Archivo para restaurar" escriba el nombre del archivo
a restaurar:
DEFRAG.EXE
4. En "Restaurar desde" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS"
(sin las comillas).
7. Pinche en "Expandir".
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Niden.A. Se propaga por P2P, borra archivos
_____________________________________________________________
http://www.vsantivirus.com/niden-a.htm
Nombre: W32/Niden.A
Tipo: Gusano de Internet
Alias: W32.HLLW.Niden, Win32/Niden.A
Fecha: 11/jul/03
Plataforma: Windows 32-bit
Tamaño: 81,920 bytes
Escrito en Microsoft Visual Basic, este gusano se propaga a
través de redes de intercambio de archivos entre usuarios,
copiándose en algunas carpetas compartidas por defecto. Pero
solo funciona si se ejecuta con el nombre de WORM9X.EXE.
Tampoco funciona si no existen las librerías "run-time" de
Visual Basic instaladas.
Para pasar desapercibido, se muestra con el mismo icono usado
por Norton Antivirus 2003.
Posee una rutina para enviarse a través del correo
electrónico, pero la misma falla por errores de programación.
Cuando logra ejecutarse, intenta eliminar varios archivos
relacionados con algunos productos antivirus. También puede
borrar o sobrescribir archivos de Windows, como DEFRAG.EXE
(el desfragmentador de disco), REGEDIT.EXE, (editor del
registro de Windows), WSCRIPT.EXE (host de secuencias de
comandos para scripts), RUNDLL.EXE (ejecuta archivos DLL) y
WIN.INI (archivo de configuración de Windows).
Al ejecutarse, muestra una ventana con un mensaje de error
falso:
Error Starting Application
A required .DLL file, MSVBVM60.DLL, was not found
[ OK ]
Nota: Este mensaje también es mostrado por otros virus,
porque es similar a un mensaje real del sistema.
Luego se copia a la carpeta de inicio de Windows, con lo que
se autoejecutará en cada reinicio del sistema:
c:\windows\start menu\programs\startup\systemtray.exe
También se copia en la carpeta de Windows con los siguientes
nombres:
c:\windows\defrag.exe
c:\windows\wscript.exe
c:\windows\win.ini
c:\windows\rundll.exe
c:\windows\rundll322.exe
c:\windows\msnotepad32.pif
Si el sistema es Windows NT o 2000 se copia con estos
nombres:
c:\winnt\start menu\programs\startup\systemtray.exe
c:\winnt\defrag.exe
c:\winnt\wscript.exe
c:\winnt\win.ini
c:\winnt\rundll.exe
c:\winnt\rundll322.exe
c:\winnt\msnotepad32.pif
Y en todos los casos, sustituye un ejecutable de Norton
Antivirus con su propio código:
c:\program files\norton antivirus\navw32.exe
Luego se copia también en las carpetas compartidas usadas por
algunas aplicaciones del tipo P2P:
c:\my shared folder\50cents pre-release.mpg.exe
c:\my shared folder\girl rubbing pussy by pool.jpeg.exe
c:\my shared folder\horney girl with horney guys.mpeg
c:\my shared folder\winzip + winxp serials!
Cuando se activa en próximos reinicios, borra los siguientes
archivos, pertenecientes a algunos antivirus y cortafuegos:
c:\program files\esafe\protect\*.exe
c:\program files\mcafee\mcafee virusscan\*.exe
c:\program files\bullguard\*.exe
c:\program files\zone labs\zonealarm\*.exe
También borra el editor del registro de Windows:
c:\windows\regedit.exe
El gusano intenta enviarse a todos los contactos de la
libreta de direcciones de Windows (.WAB), como adjunto a un
mensaje como el siguiente, pero falla por un error en su
código:
Asunto: The Bin Laden game
Texto:
Hi! This is an awesome Bin Laden game.
Shoot him good.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Cómo recuperar archivos borrados de Windows
En Windows 98:
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que
desea restaurar", escriba el nombre del archivo a restaurar
(repita estos pasos una vez por cada uno de estos
ejecutables):
DEFRAG.EXE
REGEDIT.EXE
WSCRIPT.EXE
RUNDLL.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN98, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS"
(sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche
nuevamente en "Aceptar" (si no existe, tal vez se genere
ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").
En Windows Me:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar"
escriba el nombre del archivo a restaurar (repita estos pasos
una vez por cada uno de estos ejecutables):
DEFRAG.EXE
REGEDIT.EXE
WSCRIPT.EXE
RUNDLL.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS"
(sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche
nuevamente en "Aceptar" (si no existe, tal vez se genere
ahora esta carpeta, generalmente:
"C:\WINDOWS\MSConfigs\Backups").
En Windows XP:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Expandir archivo"
3. En "Archivo para restaurar" escriba el nombre del archivo
a restaurar (repita estos pasos una vez por cada uno de estos
ejecutables):
DEFRAG.EXE
REGEDIT.EXE
WSCRIPT.EXE
RUNDLL.EXE
4. En "Restaurar desde" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS"
(sin las comillas).
7. Pinche en "Expandir".
* Información adicional
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1100 Año 7, Sábado 12 de julio de 2003
|
VSantivirus No. 11
Responder a este mensaje
