| Asunto: | VSantivirus No. 1105 Año 7, Jueves 17 de julio de 2003 | | Fecha: | Jueves, 17 de Julio, 2003 07:05:41 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1105 Año 7, Jueves 17 de julio de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Tres nuevos parches: MS03-026, MS03-027 y MS03-028
2 - W32/Gruel.A. Falsos mensajes de Microsoft y Symantec
3 - Troj/Backdoor.Webber.A. La PC infectada puede enviar spam
4 - W32/Jantic.F. Asunto: Microsoft Technical Support
_____________________________________________________________
1 - Tres nuevos parches: MS03-026, MS03-027 y MS03-028
_____________________________________________________________
http://www.vsantivirus.com/vulms03-026-027-028.htm
Tres nuevos parches disponibles: MS03-026, MS03-027 y MS03-
028
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Microsoft publicó tres nuevos boletines de seguridad, con sus
respectivos parches, que afectan a diferentes productos.
El parche del boletín MS03-026, corrige una falla que permite
a un atacante tomar el control de una computadora que ejecute
Windows. La vulnerabilidad afecta solo a Windows NT, 2000, XP
y ServerT 2003.
El boletín MS03-027 contiene la solución para un problema que
compromete a los usuarios de Windows XP únicamente.
Y por último, el boletín MS03-028, soluciona una falla que
afecta al servidor Internet Security and Acceleration Server
2000 (ISA Server).
* MS03-026 (Parche crítico)
Un desbordamiento de búfer en la interface RPC (Remote
Procedure Call) permite la ejecución arbitraria de código.
El Remote Procedure Call (RPC) permite el intercambio de
información entre equipos, y está presente por defecto en el
protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y
XP.
Existe una vulnerabilidad en la parte de RPC encargada del
intercambio de mensajes sobre TCP/IP, que ocasiona que uno de
ellos incorrectamente creado, permita a un atacante ejecutar
cualquier código con los privilegios locales (Mi PC).
Para explotar esta vulnerabilidad un atacante debe establecer
una conexión TCP/IP al RPC Endpoint Mapper remoto y enviar un
mensaje malformado, que provoque un desbordamiento de búfer
en la memoria, pudiendo ejecutar programas, ver o borrar
información, o crear nuevas cuentas con todos los
privilegios.
Además de la descarga de los parches necesarios, se
recomienda bloquear todos aquellos puertos que no son
utilizados.
Afecta a los siguientes sistemas únicamente:
Microsoft Windows NT® 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003
Descarga y más información:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/security/security_bulletins/MS03-026.asp
* MS03-027 (Parche importante)
Un búfer no comprobado en el shell de Windows, puede
comprometer al sistema. Este fallo solo afecta a usuarios de
Windows XP, y puede permitir a un atacante la ejecución
arbitraria de código.
El shell de Windows, brinda una variedad de funciones, además
de crear el entorno de trabajo para la interface, como el
escritorio. Permite organizar archivos y carpetas, ejecutar
programas, etc.
Un búfer es un área en la memoria creado para almacenar datos
en forma provisoria. Una de las funciones del shell,
utilizada para extraer información personalizada de ciertas
carpetas, posee un búfer que no comprueba el tamaño de los
datos recibidos.
Es posible para un atacante explotar esta falla para poder
ejecutar cualquier código en forma arbitraria, y sin
autorización. Esto puede implementarse con la creación de un
archivo DESKTOP.INI conteniendo atributos corruptos, y
almacenado en una carpeta de cualquier recurso accesible por
el usuario.
Cuando el usuario examina en el explorador la carpeta con el
archivo modificado, puede ocurrir que su sistema falle, o que
se ejecute algún código con los privilegios del usuario
local.
El ataque solo puede producirse si el archivo .INI se coloca
en una carpeta compartida.
Solo afecta a usuarios con Windows XP Service Pack 1. Los
usuarios de Windows XP Gold no son afectados, como tampoco
las demás versiones del sistema operativo.
Descarga del parche y más información:
http://www.microsoft.com/technet/security/bulletin/ms03-027.asp
http://www.microsoft.com/security/security_bulletins/ms03-027.asp
* MS03-028 (Parche importante)
Una falla en el servidor ISA permite un ataque Cross-Site
Scripting (XSS), pudiéndose provocar la ejecución de un
código no deseado.
ISA Server contiene varias páginas HTML, que le permite
responder con un mensaje personalizado cuando se produce un
error. La vulnerabilidad Cross-Site Scripting se produce por
la manera que dichas páginas son manejadas bajo ciertas
condiciones y con determinados errores.
Para explotar la falla, un atacante tendría que tener acceso
al servidor y conocer sus políticas. Luego, tendría que crear
manualmente una solicitud para provocar una respuesta con un
mensaje de error. También tendría que crear una página o un
enlace en un correo electrónico enviado a una víctima, para
que ésta visite el sitio automáticamente.
Sólo afecta a usuarios con Microsoft(r) ISA Server.
Descarga y más información:
http://www.microsoft.com/technet/security/bulletin/ms03-028.asp
http://www.microsoft.com/security/security_bulletins/ms03-028.asp
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Gruel.A. Falsos mensajes de Microsoft y Symantec
_____________________________________________________________
http://www.vsantivirus.com/gruel-a.htm
Nombre: W32/Gruel.A
Tipo: Gusano de Internet
Alias: W32/Gruel-A, W32/Fakerr@MM, W32.Gruel@MM,
W32.Gruel@mm, Win32.Gruel, Win32/Gruel.A
Plataforma: Windows 32-bit
Tamaño: 102,400 bytes
Fecha: 16/jul/03
Este gusano, de envío masivo a través del correo electrónico,
se disfraza como una actualización de Windows enviada por
Microsoft, o como una herramienta de Symantec, para remover
al propio virus.
Se auto envía a direcciones de correo tomadas de la libreta
del Outlook y Outlook Express de la computadora infectada.
También es capaz de borrar archivos y de copiarse él mismo en
carpetas compartidas utilizadas por KaZaa, de modo que puede
ser descargado por otros usuarios, los que se infectarán al
ejecutar esos archivos.
El gusano deshabilita múltiples características de Windows,
como el administrador de tareas, las opciones de apagar, etc.
También cambia la asociación con varios tipos de archivos,
como .EXE, etc., de modo de ejecutarse él antes, y borra
numerosos archivos en las carpetas de Windows y sus
subcarpetas.
Compromete la seguridad al cambiar al azar las contraseñas
del usuario infectado, y además oculta el disco C a la vista
desde el explorador de Windows.
El título de la ventana del Internet Explorer es cambiado por
el siguiente:
kIlLeRgUaTe 1.03, I mAke ThIs vIrUs BeCaUsE
I dOn'T hAvE NoThInG tO dO!!
Los mensajes infectados recibidos, pueden tener estas
características:
Versión 1:
Asunto: Microsoft Windows Critical Update.
Datos adjuntos: [uno de los siguientes]
Windows Critical Update 088562.exe
AntiVirus_Patch.exe
Texto:
Critical Update: The Microsoft Windows updates found
on this patch include fixes to following Windows
operating systems: Any update that is critical to
the operation of your computer is considered a
Critical Update, and is automatically selected for
installation during the scan for available updates.
This patch is provided to help resolve known issues,
and to protect your computer from known security
vulnerabilities and all kinds of viruses. Whether a
patch applies to your operating system, software
programs, or hardware, it is listed in the Critical
Updates category, like this patch attached. For
Support please contact us at support@microsoft.com.
Versión 2:
Asunto: Symantec: New serious virus found
Datos adjuntos: [uno de los siguientes]
Rundll32.exe
Symantec_Norton_Tool.exe
Texto:
Norton Security Response: has detected a new virus
in the Internet. For this reason we made this tool
attachement, to protect your computer from this
serious virus. Due to the number of submissions
received from customers, Symantec Security Response
has upgraded this threat to a Category 5 (Maximum ).
Prevention, using the W32.Gruel@mm Tool:
To prevent or remove W32.W32.Gruel@mm , apply this
attachment tool as quickly as possible. This is the
easiest way to remove/prevent this threat.
Technical Details:
Also Known As: W32.Gruel@mm , W32.KillerGuate
Type: Virus
Infection Length: 45,195 bytes (zip file), 45,528 bytes
(executable) (45KB approx)
Systems Affected: Windows 95, Windows 98, Windows NT,
Windows 2000, Windows XP, Windows Me, Windows 2003
Systems Not Affected: Macintosh, OS/2, UNIX, Linux
Additional information:
Security Response has received many submissions of
corrupted W32.W32.Gruel@mm . A specific detection for
this type of infected file has been added as
W32.W32.Gruel@mm . This detection is available in virus
definitions dated June 12 2003. Be sure to delete the
files detected as W32.W32.Gruel@mm .
Note: If you believe your computer may already be
infected or just want to protect it agains
W32.W32.Gruel@mm , please download this tool now.
Symantec Corporation.
Last Updated on: July 13, 2003 04:55:35 PM
Note que éste último simula ser una cura para el propio virus
que a su vez incluye en el adjunto (recuerde que jamás
recibirá un adjunto no solicitado de ninguna compañía, y
menos de una dedicada a fabricar antivirus).
Cuando se ejecuta, el gusano muestra una ventana falsa, con
el estilo de Windows XP, donde se informa de un error de
Windows, y se pide reportarlo a Microsoft:
Windows
Windows has encountered a problem a needs to close.
We are sorry for the inconvenience. If you were in
the middle of something, the information you were
working on might be lost. Please tell microsoft
about this problem. We have created an error report
thet you cand send to us. we will treat this report
as confidential and anounymous. To see what data
this error report contains.
Windows X found serious error.
[Send Error] [Send and Close]
Si el usuario pincha en el botón [Send Error], se muestra
otra ventana falsa con el formato de los mensajes de error,
similar a la anterior, pero con los siguientes botones:
[<< Back] [Close]
El botón [Close] no funciona, y [<< Back] vuelve al mensaje
anterior. Al mismo tiempo, se ejecutan las rutinas de envío
de mensajes y las que copian el gusano al disco, y modifican
el registro.
Si se pincha en [Send and Close], se producen las siguientes
acciones:
- Desaparece la barra de tareas
- Desaparece la opción "Ejecutar" del menú "Inicio"
- Desaparecen las opciones "Reiniciar" y "Apagar" del menú
"Inicio/Apagar"
- El disco C ya no es visible y desaparecen todos sus
iconos.
- Se abre la bandeja del CD-Rom
- Se abren múltiples ventanas del Panel de Control.
- Se deshabilita la bandeja del sistema (System Tray)
- Un mensaje del autor del gusano es mostrado, y el mismo no
puede ser movido ni cerrado.
Solo permanecen las ventanas abiertas. Los mensajes generados
por el propio gusano quedan obscurecidos.
El gusano también intenta borrar los siguientes archivos:
c:\autoexec.bat
c:\config.sys
c:\winnt\system32\*.dll
c:\winnt\system32\ntoskrnl.exe
c:\winnt\system32\command.com
c:\winnt\regedit.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\command.com
c:\windows\regedit.exe
c:\winnt\system32\*.exe
c:\winnt\system32\*.com
c:\winnt\system32\*.ocx
c:\windows\system32\*.dll
c:\windows\system32\*.ocx
c:\windows\system32\*.exe
c:\windows\system32\*.com
Cuando se ejecuta el gusano con el botón [Send Error] visto
antes, se copia a si mismo en el siguiente archivo, con los
atributos de oculto y de sistema:
c:\rundll32.exe
También cambia los siguientes valores del registro:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\piffile\shell\open\command
HKEY_CLASSES_ROOT\htafile\shell\open\command
HKEY_CLASSES_ROOT\htfile\shell\open\command
En todos ellos se agrega como:
(Predeterminado) = [archivo del gusano] %1
Como resultado, al abrirse archivos con extensión .EXE, .COM,
.BAT, .PIF, .HTA y .HT, se ejecuta el gusano.
Cambia o crea los siguientes valores del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MediaPath = c:\rundll32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Rundll32.exe = c:\rundll32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX
DevicePath = c:\rundll32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SETUP
NetCache = c:\rundll32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
ProxyDevice = c:\rundll32.exe
HKEY_CURRENT_USER\Software\kIlLeRgUaTe 1.03
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoDrives = 1
NoFind = 1
NoRun = 1
Busca la carpeta compartida por defecto por el KaZaa
(\kazaa\my shared folder\) y se copia en ella con uno de los
siguientes nombres:
norton 2003 pro.exe
windows xp keygen 2.5.exe
* Reparación manual
Nota: Si se ejecutó el gusano, los cambios realizados en el
registro de Windows, y los archivos borrados, harán imposible
una recuperación del sistema. La única solución efectiva será
reinstalar todos los programas y aplicaciones, incluido
Windows.
Sugerimos que se llame a un servicio técnico especializado
para realizar estas tareas si desea intentar la recuperación
de la valiosa información guardada en su computadora.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Troj/Backdoor.Webber.A. La PC infectada puede enviar spam
_____________________________________________________________
http://www.vsantivirus.com/back-webber-a.htm
Nombre: Troj/Backdoor.Webber.A
Tipo: Caballo de Troya
Alias: Backdoor.Berbew, Troj/Webber-A, BackDoor-AXJ,
TrojanProxy.Win32.Webber.10, Win32/Webber.10, Win32/Webber.A,
Troj/Webber.A, TrojanProxy.Win32.Webber, W32/Heloc-mm
Fecha: 16/jul/03
Puertos: 7714 y 8546 (pueden modificarse)
Tamaños: 39,140 bytes, 5,633 bytes
Plataforma: Windows 32-bit
Troyano que roba información confidencial de la computadora
infectada, así como datos de cuentas bancarias, capturando
todo lo tecleado por el usuario al acceder a bancos on-line.
También puede descargar otros componentes de Internet, además
de enviar la dirección IP de la máquina infectada a otros
equipos, actuando como Proxy de hasta 100 conexiones
simultáneas. Esto puede ser usado para que un usuario remoto
utilice la máquina infectada como "lanzadera" de cualquier
clase de datos, por ejemplo SPAM.
Fue distribuido a través de un mensaje como el siguiente,
enviado como SPAM, el 16 de julio de 2003, con un adjunto con
extensión .PIF:
Asunto: Re: Your credit application
Datos adjuntos: web.da.us.citi.heloc.pif
Cuerpo del mensaje:
Dear sir,
Thank you for your online application for a
Citibank Home Equity Loan. In order to be approved
for any loan application we pull your Credit Profile
and Chexsystems information, which didn't satisfy
our minimum needs. Consequently, we regret to say
that we cannot approve you for Citibank Home Equity
Loan at this time.
*Attached are copy of your Credit Profile and Your
Application that you submitted with us. Please take
a close look at it, you will receive hard copy
by mail withing next few days.
El mensaje afirma ser la devolución de cierta información
sobre créditos solicitados a una institución bancaria,
simulando que los mismos fueron rechazados.
Cuando se ejecuta el adjunto, se descarga e instala
clandestinamente un servidor proxy (un .EXE de 39,140 bytes),
que consta, además de un archivo .DLL (5,633 bytes).
Crea también un mutex llamado "Webber10_" para indicar su
ejecución a otros procesos y a él mismo.
El tercer componente (5,664 bytes), es el encargado de
descargar y ejecutar desde una dirección de Internet, un
archivo llamado RTDX32.EXE.
Este componente es un robador de contraseñas, que intenta
extraer información de la máquina infectada y enviarla a un
script de CGI en una dirección determinada.
El troyano busca toda la información almacenada en el caché
de contraseñas de Windows, lo que incluye contraseñas de
accesos telefónicos, etc.
Para registrar la información obtenida, utiliza los
siguientes archivos en la carpeta System:
c:\windows\system\NtXgl16.dat
c:\windows\system\NtXgl16.vxd
c:\windows\system\NtXgl16.sys
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Luego, registra todas las ventanas abiertas e intercepta
cualquier clase de datos ingresados a ellas, así como el
contenido del portapapeles (lo que se guarda al seleccionar
Cortar o Copiar).
También puede interceptar accesos a cuentas bancarias on-
line, y robar la información ingresada.
Para que el usuario ingrese los datos desde el teclado,
modifica el registro para que los mismos no queden guardados
por defecto (la opción "Recordar datos").
Para ello cambia estos valores:
HKCU\Software\Microsoft\Internet Explorer\Main
FormSuggest Passwords = Yes
FormSuggest PW Ask = Yes
Use FormSuggest = Yes
El componente principal, se copia a si mismo en el directorio
System de Windows, y luego crea el DLL correspondiente. Todos
los archivos copiados utilizan nombres creados al azar, de 8
o 6 caracteres.
El troyano no crea ni modifica ninguna entrada conocida en el
registro o archivos de inicio de Windows para autoejecutarse.
En lugar de ello, emplea un mecanismo diferente, modificando
la siguiente clave del registro:
HKCR\CLSID\{79FA9088-19CE-715D-D85A-216290C5B738}
InProcServer32 = [nombre del componente DLL]
ThreadingModel = Apartment
HKLM\Software\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad
Web Event Logger = {79FA9088-19CE-715D-D85A-216290C5B738}
Básicamente, la librería .DLL del troyano se identifica como
clase con un valor específico, de 128 bits, el denominado
Class ID (la clave CLSID en el registro de Windows).
Luego, se apunta la subclave "InprocServer32" a dicha
librería para ponerla en funcionamiento cuando se ejecuta un
evento determinado. El valor "ThreadingModel" con el dato
"Apartment", indica que el objeto solo puede ejecutar un solo
hilo.
Finalmente se suplanta el valor correspondiente al "Monitor
de sitios Web" del Internet Explorer (que entre otras cosas
carga la página de Inicio del Explorer), por una llamada a la
Class ID creada por el troyano.
Como resultado, de acuerdo a ciertos eventos, el troyano será
activado.
El componente principal es un proxy que queda "escuchando"
hasta 100 conexiones informando la dirección IP de la máquina
infectada. Además envía la información capturada antes por el
robador de contraseñas, a una dirección específica de
Internet, especificada en su código:
http:/ /weyrauch.addr.com
También puede descargar y ejecutar otros archivos desde
Internet.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\ShellServiceObjectDelayLoad
3. Pinche en la carpeta "ShellServiceObjectDelayLoad" y en el
panel de la derecha, bajo la columna "Nombre", busque y borre
la siguiente entrada:
Web Event Logger
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
5. Pinche en la carpeta "CLSID" y borre la siguiente entrada:
{79FA9088-19CE-715D-D85A-216290C5B738}
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Jantic.F. Asunto: Microsoft Technical Support
_____________________________________________________________
http://www.vsantivirus.com/jantic-f.htm
Nombre: W32/Jantic.F
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: W32.Jantic.F@mm, W32/Jantic.C
Fecha: 17/jul/03
Plataforma: Windows 32-bit
Tamaño: 102,400 bytes
Gusano escrito en Microsoft Visual Basic, que se muestra con
el mismo icono de Norton Antivirus.
Se propaga a través del correo electrónico, enviándose a
todos los contactos de la libreta de direcciones en un
mensaje como el siguiente:
Asunto: Microsoft Technical Support
Datos adjuntos: Attachment.exe
Texto:
Dear Sir or Madame, Before we start your
subscription Service to Msn8 Please Confirm
your One year Purchase of Subscription Service.
Check Attachment for more details.
Thanks, Microsoft Technical Support
Cuando se ejecuta, se copia en las siguientes carpetas (si
existen):
c:\attach.exe
c:\attachment.exe
c:\my shared folder\american gaurd antivirus 2003.exe
c:\my shared folder\coke vs. pepsicola.mov
c:\my shared folder\digital girl.exe
c:\my shared folder\girl rubbing pussy by pool.jpeg
c:\my shared folder\icecreamcola.mpeg
c:\my shared folder\norton antivirus scanner 2003 full.exe
c:\my shared folder\opera.exe
c:\my shared folder\virtrual reality sex.exe
c:\windows\start menu\programs\startup\error.exe
También crea el siguiente archivo que solo contiene texto:
c:\windows\system\windows
\Hackergetthisfileonports1080.Encryptedtext
Envía los mensajes infectados con las características ya
vistas, y luego abre el puerto 1080. quedando a la espera de
instrucciones de un usuario remoto desde Internet.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este gusano, solo actualice sus antivirus
con las últimas definiciones, y ejecútelos en modo escaneo,
revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1105 Año 7, Jueves 17 de julio de 2003
|
VSantivirus No. 11
Responder a este mensaje
