| Asunto: | VSantivirus No. 1103 Año 7, Martes 15 de julio de 2003 | | Fecha: | Martes, 15 de Julio, 2003 05:50:27 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1103 Año 7, Martes 15 de julio de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Elucubraciones de un Internauta de a pie
2 - Vulnerabilidad en ventanas "chromeless" del IE
3 - HOAX: Advertencia de sismos en Perú
4 - W32/Lohack.B. Utiliza mensajes en español
5 - W32/Kamadina.A. Utiliza redes P2P y Windows en español
_____________________________________________________________
1 - Elucubraciones de un Internauta de a pie
_____________________________________________________________
http://www.vsantivirus.com/cs-hinfohakers.htm
Elucubraciones de un Internauta de a pie
Por Carlosues
carlosues@videosoft.net.uy
Cuando conocí ese fascinante mundo (la Red) caí, sin
acordarme de la edad y la experiencia, en sueños sobre
Libertad, Igualdad, Solidaridad... y al saber diferenciar
entre crackers y hackers... Me acordé de Robin Hood, ¡¡que
ilusos podemos llegar a ser!!! Me olvidé de que, no solo el
poder, el dinero y la política corrompen, a veces el Ego es
peor.
Hace unos días nos sorprendía una noticia, detenían en
Cataluña (España), al presidente y miembro fundador de
Hinfohakers (Carlos Mesa), y otras 2 personas por intrusión
en servidores de la Generalitat de Cataluña.
http://www.hispamp3.com/noticias/noticia.php?noticia=20030709080923
http://www.noticiasdot.com/publicaciones/2003/0703/1007/noticias100703/noticias100703
-4.htm
Tras esto se prometió que se darían explicaciones con pelos y
señales y que estaban el libertad sin cargos.
Hoy se sabe mas sobre el asunto, en su carta-excusa-
explicación Carlos Mesa dice textualmente que "en el juicio
se aclarará todo".. ¿sin cargos?.. Entonces... ¿porqué un
juicio?. Acusa a un joven hacker hoy ponente en numerosas
conferencias de estar detrás de todo.
* COMUNICADO PUBLICO DE CARLOS MESA (CONDE) EN LISTAS DE
DIFUSION
¿Qué pasó el viernes 4 de julio? Pues que sencillamente
arrestaron a J.N., uno de los hasta ese momento vocales de la
AIH. Yo recibí una llamada telefónica del sargento A.C.
preguntándome dónde me encontraba. Eran las tres de la tarde.
No esperaba lo que sucedería después. Nos vimos y lo vi muy
serio.
- ¿Qué ocurre, Alfons?
- Que hemos arrestado a J.N.
- ¿Pero por qué?
- Por el asunto Gencat.
Me callé. Independientemente de si J.N. tenía algo que ver
con ello o no, me preguntaba qué tenía que ver yo en toda esa
movida. Me introdujeron en un coche y pusimos rumbo hacia
donde estaba ubicado el servidor de correo de la AIH. Por el
camino me estuvieron poniendo al corriente. Al parecer,
tenían pruebas concluyentes de que J.N. y otro miembro de
Vilahack habían accedido a la mentada web. Se basaban en los
logs personales de navegación de ambos.
Por lo visto, debían tener sus líneas "pinchadas".
¿Y qué pintaba yo en todo aquello? Pues que el mismo día que
se produjo el acceso, se remitió un correo electrónico a
Hispamp3, con una especie de nota de prensa que luego se
publicó. El correo electrónico tenía la extensión
@infohackers.net, y justo la IP del servidor de correo se
encuentra en una ADSL gestionada con Telefónica a mi nombre.
Llevaban una orden judicial. Nada más llegar, les mostré el
servidor de correo. Querían saber cómo acceder al contenido
de esa cuenta. Lo cierto es que para el software del servidor
de correo, eso es imposible incluso para el administrador.
Los e-mail se encuentran encriptados en CRAM-MD5. Entonces
fueron a por los logs. ¿Dónde estaban los logs? Tampoco les
servía de nada, ya que el sistema borraba los logs de forma
automática al llegar el 31 de diciembre, cuando ellos sólo
estaban interesados en una fecha concreta de octubre del
2002. Aún así, desmontaron el disco duro; más bien, lo
extrajeron porque se trataba de un hotswap.
Pero ahí no iba a terminar la broma. Estaban representando su
papel. Me dijeron que J.N. había dicho que yo era el
verdadero culpable del acceso no permitido a la web de la
Gencat. ¡No podía dar crédito a lo que oía! ¿Pero cómo era
eso posible?, partiendo de alguien a quien yo había
depositado toda mi confianza.
Me arrestaron a mi también. De nuevo en el coche y raudos
hacia las dependencias de los Mossos. Fue un trayecto donde
pude escuchar más cosas que me dejaron perplejo.
Evidentemente no creía que J.N. hubiera dicho nada de mí,
porque jamás tuve nada que ver con el delito del que
hablaban. Pero, claro, oí nombres y apellidos, y situaciones
explicadas por J.N. a los Mossos, que me dejaron más
estupefacto. ¿Qué tenía que ver todo aquello con la AIH? ¿Por
qué me daban detalles de situaciones que nada tenían que ver
con ese supuesto delito?
Según los Mossos, yo sólo tenía que declarar y saldría a la
calle en un momento. Me lo creí, aunque luego vería que todo
era mentira. También me dieron a entender que el arresto se
debía a las pruebas presentadas por un confidente, un soplón
que por lo visto les había dado mucho trabajo en éste y otros
casos. Me dieron su nombre. Días más tarde, otras fuentes me
confirmaron esto mismo.
Recordé lo que le había sucedido a un socio de la AIH tiempo
atrás. A.G, alias L. Sí, ese de Ispaxack o algo así, el que
vive del cuento por ese caso que le dio la popularidad. Pues
bien, L. Había amenazado a ese socio para obtener unos
correos de la lista de distribución interna de la AIH. Por lo
visto, L. pensaba que todos estábamos incriminados en lo
mismo. No obtuvo nada, claro. El socio tampoco se apabulló,
en todo caso L. añadió un nuevo enemigo a su larga lista.
Otra vez estaba L. implicado en algo que nos concernía.
Siempre L., el tío más prepotente que he conocido. Para botón
de muestra, un ejemplo. El tal L. tenía una conferencia este
fin de semana en el recinto ferial de Vigo. El amigo comienza
su ponencia con una frase abrumadora. "Vosotros (dirigiéndose
al público asistente) no tenéis por qué preocuparos de la
seguridad informática, porque sois simples usuarios de Word y
Office, pero yo que tengo en mi portátil datos muy
confidenciales...". Nada más soltar estas palabras, un grupo
de usuarios de Linux se ha levantado y ha abandonado la sala.
Este es L. Cuando lo conocí, nos encontrábamos en el coloquio
de una radio. Lo presentaron como el gran hacker, el hacker
de élite, porque según sus palabras: "Yo soy hacker porque
los demás me llaman hacker". Y muestra una enorme sonrisa
cuando lo dice. A la salida me confesó algo: "No me parece
bien que os llaméis Asociación de Hackers. Precisamente, hace
mucho tiempo que tenía una idea similar, y me habéis robado
esa idea. Yo quería crear una asociación". ¿Qué? Ni lo sabía;
además qué importaba aquello. Cada uno es libre de poner en
marcha sus ilusiones e ideas de la forma que quiera.
Desde aquel momento L. se convirtió en nuestro enemigo. A los
pocos meses sufrimos un crackeo en la web de la AIH. Luego,
otro y otro. En diferentes épocas. No dijimos nada. Pero
luego nos dimos cuenta de quién estaba detrás de esos
crackeos. L., cómo no; con la ayuda de un grupo, donde la
única intervención de L. se limitaba a escribir una especie
de "deface" donde se nos insultaba y se exponían situaciones
que no venían a colación para justificar su acción. En
concreto, se nos tildaba de "estafadores" por vender carnets
de hackers e impartir cursos. Quienes nos conocen saben que
no vendemos carnets de hackers. Sería algo totalmente absurdo
y carente de toda lógica. Entregamos un carnet a los socios
de la AIH, pero no para convertirlos en nada, sino para que
se sientan afiliados como socios, como haría cualquier
asociación. Yo, por ejemplo, pertenezco a la AIPET, y guardo
un carnet de esta asociación en mi bolsillo. Además, nuestro
carnet dispone de un chip smartcard que sirve para almacenar
pequeños datos, como contraseñas.
En cuanto a los cursos. Pues ha sido un placer para nosotros
enseñar seguridad informática, que es como siempre los hemos
anunciado. Nada de cursos de hacker, sino seguridad
informática, con un precio básico para cubrir costes y poco
más. Si alguno supiera lo que vale alquilar un aula dotada de
ordenadores en pleno centro de Barcelona, junto al Paseo de
Gracia, se callaría definitivamente.
Lo cierto es que el daño ya estaba hecho. Pero no contento
con el mal causado, L. probó una nueva jugada. Envío sendos
correos electrónicos a Bandaancha y Barrapunto con la
cabecera falsificada. Parecían provenir de mi dirección de
correo electrónico. Y en ellos L. amenazaba a ambos weblogs
con la LSSI en un momento crucial de esta ley. La reacción
fue inmediata. Quienes no me conocían, me crucificaron en sus
mensajes. Tuve que soportar todo tipo de calumnias y llamadas
telefónicas anónimas. ¿Qué podía hacer? ¿Qué podía decir? Por
mucho que hiciera, la comunidad under no me iba a creer. Como
estoy seguro que aún sincerándome ahora, seguirán sin creer
en mis palabras. Sólo Arturo Q. se atrevió a demostrar en las
listas anti LSSI que el correo electrónico probablemente
había sido falsificado.
En definitiva, eso fue lo que sucedió. Nunca dije nada, pero
ahora ha llegado ese momento porque los excesos de L. han
alcanzado extremos incontrolados. Así que no tengo de qué
arrepentirme. Miento. Hay algo de lo que me arrepiento, y ya
pedí disculpas en su día: de haber actuado en contra de la
AI. Sigo pidiéndoles mil perdones. Creo que están haciendo
una labor magnífica.
Es evidente que L. no está en sus cabales. Si alguno ha
llegado a conocerle, sabrá que tiene problemas con todo el
mundo, y que lo más probable es que sufra algún tipo de
trastorno esquizofrénico. Cómo entender, si no, esta
persecución paranoide por la AIH o por mi persona.
Lo último que digo al respecto es que L. sufrirá en sus
carnes el desprecio de sus compañeros algún día. Si hay peor
en el under es un confidente de la pasma, un soplón, un
Judas. Muchos pensarán que lo tenemos bien empleado y hasta
justificarán las acciones de L. Pero L. lo hará de nuevo
cuando alguno se cruce en su camino y no le sirva para sus
propósitos. Espero que la comunidad under adopte medidas,
sino quiere ver cómo un infiltrado de la pasma se cuela en
sus foros, IRC privados y demás, y traspasa información de un
sitio a otro. El que no quiera creerme, allá él ¡Ya se lo
encontrará y se acordará de estas palabras!
Pero volviendo al tema de la detención. Llegué a las
dependencias de los Mossos. Cual película policíaca me
despojaron de cinturón, cordones de zapatos, efectos
personales... Me leyeron mis derechos y me encerraron en un
calabozo toda la noche. Lejos de una declaración rápida, se
trataba de minarme la moral encerrándome en una celda de dos
metros cuadrados con una letrina a ras de suelo y sin papel
higiénico. Un triste camastro y una manta era lo único que
había. Fue una noche larguísima, donde cada dos horas se me
despertaba con la excusa de ver si "todo estaba bien".
A las 11 del sábado se me tomó declaración. Expliqué algunas
de las cosas que aquí estoy manifestando, más lo que sabía
del caso Gencat, que apenas era nada. Poco después de la
llegada de mi abogado, me soltaron sin cargos.
Como me preocupaba la trascendencia de un caso así antes los
medios de comunicación, hice un trato. Ellos no dirían nada,
a cambio de que yo tampoco dijera nada. Pero el trato con los
Mossos fue roto por ellos a los tres días. Les faltó tiempo
para colgarse la medalla de la detención de tres hackers que
habían accedido a la web de la Generalitat. En mi caso, la
tragedia era peor, porque yo salía retratado con nombre y
apellidos, y como presidente de la AIH. ¡Aquello era
terrible! Mi nombre estaba mancillado antes amigos,
familiares, o en el ámbito laboral. A sabiendas de que nada
tenía que ver con ese asunto, como se diría vulgarmente "he
tenido que comerme el marrón de otro". Y más grave aún era
que el sensacionalismo amarillista colgaba la tilde de
"presidente de la AIH" para acrecentar el morbo.
Hay preguntas que formularse claro. ¿El por qué de mi
arresto? ¿Qué tiene que ver el presidente de una asociación
en esto? Si alguien tenía acceso a la administración de las
cuentas de correo, ¿soy culpable porque desde esa cuenta de
correo se enviará una nota de prensa? No me imagino al
presidente de Terra arrestado, sólo porque desde Terra se
enviara una nota de prensa mencionando un crackeo. Es decir,
hay una justicia para pobres, y una justicia para ricos.
Además, ¿son culpables el resto de socios por las acciones de
un vocal? ¿Hasta qué punto era una prueba el disco duro del
servidor de correo de la asociación? ¿Tenían derecho a
llevárselo sin dejarnos una triste copia?
Supongo que se dará respuesta a todo cuando llegue el juicio.
Mientras tanto, hay que arreglar los desperfectos del barco.
Aparte de la expulsión del vocal, habrá que convocar
elecciones para una nueva Junta Directiva de la AIH en
septiembre. Por descontado, no voy a presentarme de nuevo. No
creo que sea lo más adecuado, después de lo sucedido.
Cualquiera podría pretender relacionar un supuesto delito con
la asociación. Y eso no es nada bueno. Además, una nueva
Junta y un nuevo presidente, dotarán de un aire fresco a la
asociación, con nuevas ideas y aportaciones. Desde luego, L.
siempre estará ahí, acechando como un ave de rapiña. Y
supongo que elucubrando nuevas acciones contra la nueva
Junta. Pero habrá que estar más atentos que nunca a lo que
pueda estar planeando y, por encima de todo, seguir a flote
con la cabeza bien alta.
Ya está. He expresado todo lo que quería decir. Tampoco es
tanto ni tan grave. Sólo la verdad, la verdad por encima de
todo. Reitero mis disculpas a todos aquellos que se hayan
visto implicados en esta historia. Nunca ha sido esa mi
intención, pero a veces nos vemos abocados por el destino,
cuando una mosca cojonera se cruza en el camino.
Conde
---/ Socio de la AIH /---
Por si alguien quiere decirme algo, bueno o malo:
conde@infohacker.org (infohacker, en singular)
* Noticia de hoy en Noticiasdot.
El presidente de la AIH acusa a ex miembro de Hispahack de
haberles delatado a la policía
Habían prometido contarlo todo lo relacionado con el hackeo
al Servidor Web de la Generalitat de Catalunya y el proceso
que condujo a la detención de tres miembros de esta
asociación legalizada de Hackers... aunque finalmente todo
quedo en un relato, sucinto, de los sucesos del viernes 4 de
julio.
http://www.noticiasdot.com/publicaciones/2003/0703/1407/noticias140703/noticias140703
-9.htm
Muy jugosa.
Por otro lado, en Lavozdegalicia.com podemos leer (con
permiso expreso para VSAntivirus)
"Ser hacker es un honor"
Albert Gabàs, de 26 años, es miembro del grupo Chaos Computer
y de Mentes Inquietas. Este experto en seguridad predica la
ética, lo que le ha granjeado enemistades en la Red
http://www.lavozdegalicia.com/se_sociedad/noticia.jsp?CAT=105&TEXTO=1827964
Y creo que a partir de aquí, cada uno debe sacar sus
conclusiones. Las mías son que esto es malo, muy malo para
los internautas de a pie. Justifica la intervención de la red
por parte de los paternalistas que ven que no sabemos
controlarla nosotros.
Pardonad la extensión, creo que el fondo la justifica.
[Nota: Los enlaces de esta noticia, por lo extensos, pueden
salir cortados].
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Vulnerabilidad en ventanas "chromeless" del IE
_____________________________________________________________
http://www.vsantivirus.com/vul-chromeless.htm
Vulnerabilidad en ventanas "chromeless" del IE
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Existen algunas vulnerabilidades reportadas en IE 5.5 y
superiores, que pueden permitir a un atacante remoto
falsificar los elementos de la interface de usuario de
Windows, para ejecutar código en forma arbitraria en el
sistema.
Se le llama ventana "chromeless", a aquella que carece de
borde, barra de título, barras de herramientas o barras de
desplazamiento. Si una ventana chromeless es abierta sobre
otra ventana, es posible imitar los elementos de una
interface de usuario y ejecutar código en forma arbitraria.
Es posible obtener una ventana de este tipo, utilizando el
método "createPopup". Una ventana abierta con este método,
posee algunas propiedades inusuales:
- La ventana es cerrada cuando se pincha fuera del pop-up.
Esto es fácil de eludir volviéndola a crear al cerrarse.
- No se puede enfocar. Eso hace imposible colocar controles
como entrada de campos de texto en ella, lo que previene su
uso para sobrescribir con formularios falsos la información
ingresada en otros sitios web. El foco permanece en la
ventana abierta.
- Flota sobre ventanas normales, permitiendo obscurecerlas,
aún cuándo el foco permanece en aquellas.
Un pop-up puede ser creado por cada ventana, permitiendo
cubrir un rectángulo arbitrario en el área de despliegue de
la pantalla con una interface falsa. Cubiertas más
complicadas pueden ser creadas, teniendo múltiples ventanas
abriendo cada una un pop-up diferente. Por otra parte, un
pop-up es también una ventana que puede ser usada para abrir
otros pop-ups.
Pueden verse ejemplos en el siguiente enlace:
http://www.doxdesk.com/personal/posts/bugtraq/20030713-ie/
La primera de las demostraciones disfraza el verdadero
contenido de la barra de direcciones, mostrando el de otro
sitio.
La segunda intenta engañar al usuario al agregar un marcador
a la lista de favoritos, escondiendo la caja de diálogo que
está en foco.
La última esconde un certificado de seguridad que advierte
sobre la descarga de un control ActiveX, para obligar al
usuario a ejecutar un código.
Las demostraciones permiten mover la ventana "que está
detrás" para que notemos como se produce el engaño y
conozcamos el riesgo, pero esto puede evitarse con un código
más sofisticado.
Microsoft fue avisado el 23 de enero de 2003, sin que hasta
la fecha haya publicado alguna solución.
Aunque se sugiere deshabilitar el Active Scripting, esto no
siempre es una solución.
Solo debemos recordar que no todo es lo que parece, cuando
ingresamos datos o descargamos archivos de sitios que no
merezcan nuestra confianza.
Sistemas afectados, Microsoft Internet Explorer 5.5 y 6.0.
* Créditos:
Andrew Clover <and@doxdesk.com>
* Referencias:
http://www.securityfocus.com/archive/1/328947/2003-07-11/2003-07-17/0
* Ejemplos:
http://www.doxdesk.com/personal/posts/bugtraq/20030713-ie/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - HOAX: Advertencia de sismos en Perú
_____________________________________________________________
http://www.vsantivirus.com/hoax-sismo.htm
HOAX: Advertencia de sismos en Perú
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Según informa Latindot.com, se ha estado divulgando por
Internet, un mensaje que contiene información falsa sobre un
inminente sismo de gran magnitud en Perú.
La redacción del mismo es tendenciosa, y totalmente errónea,
sin embargo, puede crear preocupación entre usuarios de la
zona involucrada.
Publicamos a continuación dicho mensaje, y un comentario del
Ing. Federico Stein Ponce, experto en el tema, tal como lo
publica Latindot en sus páginas (ver enlace al final).
Si usted ha recibido o recibe un correo alarmante referente a
la "inminente presencia de un sismo de gran magnitud", como
el que sigue, ignórelo:
--- Comienzo del texto ---
El Instituto geofísico ubicado en la costa occidental de
Yioto, Japon. ha reportado una fractura en la falla de Nazca
que como consecuencia ha originado los tres ultimos
movimientos sísmicos en las zonas de Chilca Sur hasta
Pativilca. Como consecuencia de esta falla atípica, se
pronostica que estamos ante la inminente presencia de un
movimiento telúrico de gran magnitud, es decir, que la
resistencia de la energia liberada podria causar un efecto de
8.6 grados en la escala de Rittcher.
--- Final del texto ---
La siguiente es la aclaración publicada en Latindot.com:
LEA LA ACLARACION SIGUIENTE
Como referencia de fuente informativa mencionan al "Instituto
geofísico ubicado en la costa occidental de Yioto, Japon". Al
respecto y con título más grande les comunico que esa suceso
pronosticado es:
FALSO – EQUIVOCADO – POCO PROBABLE – IRRESPONSABLE
Se puede apreciar que quien lo produce, comunica, traduce ó
transcribe no es experto en la materia, ha escrito "Rittcher"
en vez de lo correcto que es Richter, "Yioto" en lugar de
Kioto o Kyoto, el "Instituto geofísico..." no es un nombre
formal y por último dice que: "la resistencia de la energia
liberada podria causar...".
La energía liberada, ya fue liberada y no es técnico decir
que hay una "resistencia de la energía liberada". Si se
espera a que las autoridades se pronuncien ante esta
estupidez difundida, entonces habrán muchas víctimas y
muertos, pero de infarto!.
Como profesional y experto en mecánica de suelos, rocas y
cimentaciones especiales, sigo muy de cerca los adelantos
técnicos en este campo y creo oportuno el momento para
manifestarles lo siguiente:
La mayoría de los expertos opinan que cuando ocurre un
movimiento sísmico, la energía acumulada entre las placas
continentales se disipa parcialmente cuando se produce un
deslizamiento de las mismas, reduciéndose así la probabilidad
de otro sismo inmediato y de magnitud mas relevante. O sea, a
mayor frecuencia de sismos menores, menor probabilidad de
terremoto.
Si consideramos que en Japón se encuentran los mas
renombrados sismólogos y centros de investigación sísmica del
mundo, estos no fueron capaces de prevenir, pronosticar ni
menos de determinar las magnitudes de los terremotos
ocurridos últimamente en su propio país (como el de Kobe).
Los ciclos en que ocurren los movimientos telúricos son hasta
este momento muy indeterminados, solo nos basta recordar lo
que los avezados "expertos" se atrevieron a pronosticar luego
de los terremotos ocurridos en los años 1966 – 1970 y 1974 y
todos deliraban y hasta veían acontecer otro terremoto en
1978, los pobres se tuvieron que "enterrar".
Es muy lógico que ocurra cierta "coincidencia" entre los
miles de pronósticos que se dan al año, es como la lotería,
alguien tiene que ganar en esa y esta "timba".
Cuando reciban mensajes de alarma, fíjense que contengan el
nombre de una institución seria, el nombre de la persona que
publica el aviso y luego consulten a un experto en la
materia.
Ing. Federico Stein Ponce
Ingeniero Civil, M.E.
CIP 3204
Nota VSA: En el artículo original se dan otros consejos
específicos para habitantes de las zonas involucradas.
* Artículo original:
Email Falso Sobre los Temblores (Ing. Federico Stein Ponce)
http://www.latindot.com/boletin/articulos.asp?b=54&a=5
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Lohack.B. Utiliza mensajes en español
_____________________________________________________________
http://www.vsantivirus.com/lohack-b.htm
Nombre: W32/Lohack.B
Tipo: Gusano de Internet
Alias: W32.Lohack.B.Worm, Win32/Lohack.B, I worm-Lohack.b@mm,
W32.Lohack.B@mm
Fecha: 14/jul/03
Plataforma: Windows 32-bit
Tamaño: 47,132 bytes
Gusano de Internet escrito en Visual Basic y comprimido con
la herramienta UPX, que se propaga a través del correo
electrónico y de la red KaZaa de intercambio de archivos
entre usuarios.
El mensaje, en español, puede poseer varios asuntos y
diferentes nombres de adjuntos, todos ellos con la extensión
.EXE o .SCR.
Los mensajes son creados con las siguientes características:
De: [uno de estos remitentes falsos]:
"Ministerio de Ciencia y Tecnologia" <info@myct.es>
"Panda Antivirus" <info@myct.es>
Asunto [uno de los siguientes al azar]:
- a las buenas
- Acelerador de descargas ultra pequeño!!
- el fichero que me pediste
- FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece
en internet
- FW:CAMPAÑA de información sobre la LSSICE
- Fw:Te reenvío esta presentación que me ha llegado, ya me
contarás
- importante ACTUALIZACIÓN PARA WINDOWS
- Información sobre la LSSICE
- Información sobre la LSSICE y sus consecuencias
- Nuestras libertades en internet en peligro
- Nuevas formas de control
- NUEVO VIRUS muy PELIGROSO
- palabrerias
- PandaSoftware: Nueva utilidad para protegerte de hop.a
- Resumen de la ley de internet
- Salvapantallas cachondisimo
Datos adjuntos [uno de los siguientes al azar]:
downloadit.exe
FixWin32-hop.a.exe
ley de internet y el comercio electronico.txt.exe
ley lssi.pdf.exe
ley.pdf.exe
NO A LA LSSICE, otra internet es posible.txt.exe
presentacion.exe
que no jueguen con tus libertades.txt.exe
resumen.txt.exe
Rg2catdb.exe
texto integro de la lssice.txt.exe
texto.txt.exe
www.lssi.es.exe
www.mcyt.com.exe
www.senado.lssice.es.exe
xscreensaver.scr
Texto del mensaje [existen múltiples variantes, esta es una
de ellas]:
AVISO URGENTE
PandaSoftware Antivirus acaba de publicar su última
herramienta para remover el gusano hop.a Esta
herramienta no solo remueve de su sistema el
gusano/virus si es encontrado, sino que le protege
de posibles infecciones futuras.
Intrucciones de instalación:
Ejecutar el fichero adjunto y reiniciar el ordenador
----------------------------------------------------
PandaSoftware Antivirus - http:/ /www.pandasoftware.es
El cuerpo del mensaje está en formato HTML, y puede incluir
código en JScript que se ejecuta automáticamente mostrando
alguno de los siguientes mensajes:
- Tal día como hoy, el fenómeno auto-censura
comenzó en españa...
- gracias a la LSSICE (www.lssi.es)
- este mail está dedicado a todos aquellos
que día a día...
- luchan por recortarnos las libertades enmascarándolo
con bonitas palabras
- Perdón por las molestias. Hasta la próxima
- para saber más mira la presentación que te adjunto
Si el mensaje es abierto en una versión desactualizada de
Microsoft Outlook u Outlook Express, el archivo adjunto se
ejecutará en forma automática sin la intervención del
usuario.
El gusano utiliza su propio motor SMTP, de modo que no
depende del cliente de correo instalado para propagarse.
Para propagarse a través del KaZaa, se copia a la carpeta
compartida por este programa en la computadora infectada, de
modo que cualquier otro usuario del KaZaa que lo descargue y
ejecute, también será infectado.
Cuando ello ocurre, el gusano se copia él mismo en las
siguientes ubicaciones y con los siguientes nombres:
C:\Windows_update.exe
C:\Windows\Explorer.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Además, crea archivos de texto, inofensivos:
C:\LSSI INFO.txt
C:\NO A LA LSSICE.txt
C:\i-worm_info.txt
El primero, contiene el siguiente mensaje en español:
Informacion sobre la LSSICE
También crea la siguiente entrada en el registro de Windows
para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsUpdate = c:\windows_update.exe
Para enviarse a través del correo electrónico, obtiene la
dirección del usuario infectado y su servidor SMTP, de la
cuenta por defecto, obtenida en la siguiente clave del
registro:
HKCU\SOFTWARE\Microsoft\Internet Account Manager\Accounts
Examina la lista de contactos del MSN Messenger de las
siguientes entradas del registro:
HKCU\Software\Microsoft\MessengerService
\ListCache\.NET Messenger Service
HKCU\Software\Microsoft\MSNMessenger
\ListCache\.NET Messenger Service
Allí, obtiene las direcciones de los contactos permitidos y/o
bloqueados, a los que enviará sus mensajes infectados.
También busca direcciones electrónicas, examinando todos los
archivos con las siguientes direcciones:
.dbx
.htm
.html
.mbx
.pmo
.pmr
.pst
.wab
Cada 10 segundos, monitorea la existencia de alguna conexión
a Internet activa, enviando un PING a la dirección de
Microsoft (www.microsoft.com). El PING (Packet INternet
Groper), es un paquete ICMP (Protocolo de mensajes de control
de Internet), usado para generar un eco como respuesta, que
indicará si existe o no la dirección destino.
Crea las siguientes entradas en el registro, a la clave donde
se almacena la carpeta de archivos del KaZaa, habilitando las
unidades de disco C y D como carpetas compartidas:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
dir0 = 012345:C:\
dir1 = 012345:C:\
dir2 = 012345:D:\
Se copia luego a si mismo en el raíz de esos discos usando
los siguientes nombres:
Adobe uniVersal crack.exe
AdobePhotoshop 7 crack.exe
gta3 crack NO CD.exe
HackersTools 7.5.exe
Macromedia Flash 5 key Generator.exe
Macromedia Universal crack.exe
Microsoft OfficeXP key Generator.exe
Microsoft Universal Crack.exe
MicrosoftWindowsXP key Generator[by_ka0s_te4m].exe
Tony Hawks pro Skater4!!! crack.exe
Unreal Tournament 2003 KeyMaker [by_nobody].exe
También se copia en la carpeta indicada por el siguiente
valor del registro:
HKEY_CURRENT_USER\Software\Kazaa\Transfer
DlDir0
Después enumera los recursos de red, e intenta conectarse con
aquellos compartidos sin restricciones, con los siguientes
nombres:
downloadit.exe
fotos.del.ultimo.viaje.html.exe
FUERA_la_LSSI.es_INNECESARIA.html.exe
ley de internet y el comercio electronico.txt.exe
ley lssi.pdf.exe
ley.pdf.exe
NO A LA LSSICE, otra internet es posible.txt.exe
NO_a_la_CENSURA_informativa.txt.exe
NO_a_la_MANIPULACION_informativa.html.exe
NO_al_control_informativo.html.exe
no_queremos_vivir_asi.html.exe
NO_queremos_vuestra_ley_DISCRIMINATORIA.doc.exe
NO_queremos_vuestra_ley_INCONSTITUCIONAL.html.exe
nuevo_virus_en_internet-LEEME.txt.exe
por_una_sociedad_mas_justa.html.exe
presentacion.exe
que no jueguen con tus libertades.txt.exe
README.txt.exe
resumen.txt.exe
Rg2catdb.exe
salvador_de_pantallas.scr
tarifa_plana_DE_VERDAD_ya.html.exe
texto integro de la lssice.txt.exe
texto.txt.exe
vuelve_la_INQUISICION.html.exe
www.lssi.es.exe
www.mcyt.com.exe
www.senado.lssice.es.exe
xscreensaver.scr
XXX.jpg.exe
Finalmente modifica el archivo WIN.INI en la carpeta de
Windows, agregando la siguiente entrada:
[windows]
run = Windows_update.exe
* Reparación manual
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows_update.exe
C:\Windows\Explorer.exe
C:\LSSI INFO.txt
C:\NO A LA LSSICE.txt
C:\i-worm_info.txt
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
WindowsUpdate
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run = Windows_update.exe
Debe quedar como:
[windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
* Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el
siguiente artículo:
http://www.vsantivirus.com/vulms03-020.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Kamadina.A. Utiliza redes P2P y Windows en español
_____________________________________________________________
http://www.vsantivirus.com/kamadina-a.htm
Nombre: W32/Kamadina.A
Tipo: Gusano de Internet (P2P)
Alias: Kamadina, Worm.P2P.Kamadina, Win32/Kamadina.A
Plataforma: Windows 32-bit
Tamaño: 1,5 Kb
Fecha: 14/jul/03
Se trata de un pequeño gusano de redes de intercambio de
archivos entre usuarios (P2P). Con solo 1,5 Kb es el más
pequeño conocido hasta la fecha.
Cuando este gusano se ejecuta, se copia a si mismo en las
carpetas compartidas de varias aplicaciones P2P, como por
ejemplo Bearshare, Edonkey, Grokster, Kazaa, Limewire,
Morpheus y también ICQ.
Se ejecuta solo si Windows está en español. También se copia
en las siguientes carpetas, siempre que las mismas existen:
c:\Archivos de programa\My Music\
c:\Archivos de programa\My Downloads\
c:\Archivos de programa\My Documents\My Music\
El gusano se copia siempre con el mismo nombre del archivo
desde el que se ejecutó. Cada vez que se cambia el nombre,
utiliza el nuevo nombre para copiarse. Los primeros reportes
mencionaban el siguiente nombre de archivo:
MySQL-checker.exe
El gusano no queda en memoria luego de copiarse. No tiene
ninguna acción destructiva.
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1103 Año 7, Martes 15 de julio de 2003
|
VSantivirus No. 11
Responder a este mensaje
