| Asunto: | VSantivirus No 2413 Año 11, miércoles 4 de abril de 2007 | | Fecha: | Miercoles, 4 de Abril, 2007 05:19:22 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2413 Año 11, miércoles 4 de abril de 2007
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - MS07-017 Vulnerabilidad en motor de gráficos (925902)
2 - Exploit para Firefox e Internet Explorer en Vista
3 - Stration.YL. Gusano y troyano que descarga archivos
4 - Viking.CW. Se propaga por redes, infecta ejecutables
_____________________________________________________________
1 - MS07-017 Vulnerabilidad en motor de gráficos (925902)
_____________________________________________________________
http://www.vsantivirus.com/vulms07-017.htm
MS07-017 Vulnerabilidad en motor de gráficos (925902)
* Nivel de gravedad: Crítico
* Impacto: Ejecución remota de código
* Fecha de publicación: 3 de abril de 2007
* Software afectado por este parche:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows XP Professional x64 Edition SP2
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 Service Pack 2
- Microsoft Windows Server 2003 (Itanium)
- Microsoft Windows Server 2003 SP1 (Itanium)
- Microsoft Windows Server 2003 SP2 (Itanium)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows Server 2003 x64 Edition SP2
- Windows Vista
- Windows Vista x64 Edition
El software en esta lista se ha probado para determinar si es
afectado. Otras versiones anteriores no mencionadas, podrían
o no ser vulnerables, pero ya no incluyen soporte de
actualizaciones de parte de Microsoft.
* Descripción
Esta actualización corrige siete vulnerabilidades
relacionadas con el motor de proceso de gráficos de Windows
(Graphics Rendering Engine), que podrían permitir desde la
elevación de privilegios a la ejecución de código.
Una de las vulnerabilidades, quizás la más importante, es la
relacionada con el manejo del formato de cursores, cursores
animados e iconos, que está siendo activamente explotada para
la ejecución remota de código.
La explotación puede realizarse cuando el usuario visita un
sitio Web malicioso, sin ninguna otra acción específica de su
parte. También puede explotarse mediante el envío de un
correo electrónico con formato HTML.
Un atacante que explote exitosamente esta vulnerabilidad,
puede llegar a tomar el control completo del sistema
afectado, incluyendo la instalación de programas; visualizar,
cambiar o borrar información; o crear nuevas cuentas con
todos los privilegios, si el usuario actual tiene privilegios
administrativos. Si el usuario actual no posee esos
privilegios, el atacante también verá restringidas sus
acciones.
La vulnerabilidad deriva de una insuficiente validación de
los formatos al analizar sintácticamente los cursores,
cursores animados e iconos, y por una comprobación inadecuada
del número de cuadros especificado en el encabezamiento de
los archivos .ANI.
La extensión .ANI corresponde a los cursores animados de
Windows (Windows Animated Cursor), que consisten en una
cantidad determinada de cuadros (imágenes diferentes).
La vulnerabilidad también puede hacer que el kernel utilice
todos los recursos del procesador, haciendo que todo el
sistema deje de responder o se vuelva inestable. Ello ocurre
cuando se abre una carpeta conteniendo archivos .ANI, .ICO o
.CUR con el explorador de Windows.
La explotación puede producirse aún cuando se renombre un
archivo .ANI con otra extensión, por ejemplo .JPG.
Más información sobre este fallo en el siguiente artículo:
Todo sobre la vulnerabilidad en cursores animados
http://www.vsantivirus.com/vul-cve-2007-0038.htm
Las otras vulnerabilidades, también relacionadas con el motor
de gráficos, permiten desde la elevación de privilegios a un
usuario ya logeado, la ejecución remota de código, o que los
programas relacionados dejen de responder.
Una de estas vulnerabilidades se produce en el proceso de
archivos de imágenes EMF (Enhanced Metafile), y puede
permitir la ejecución de código, de tal modo que un atacante
llegue a tomar el control total del sistema. Afecta a
cualquier programa que procese imágenes EMF en el equipo
afectado.
Otra de las vulnerabilidades, relacionada con el proceso de
archivos de imágenes WMF (Windows Metafile), puede hacer que
el sistema deje de responder. Se produce por un error del
componente involucrado, al intentar acceder a una dirección
de memoria inválida.
Las otras vulnerabilidades, solo pueden ser explotadas de
forma local, y están relacionadas con el manejo de
determinados parámetros de ventanas, colores y fuentes. Todas
ellas permiten la elevación de privilegios a usuarios ya
logeados, y no pueden ser explotadas de forma remota.
Las vulnerabilidades corregidas están relacionadas con las
siguientes referencias CVE:
CVE-2006-5758
GDI Local Elevation of Privilege Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5758
CVE-2007-1211
WMF Denial of Service Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1211
CVE-2007-1212
EMF Elevation of Privilege Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1212
CVE-2006-5586
GDI Invalid Window Size Elevation of Privilege Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5586
CVE-2007-0038
Windows Animated Cursor Remote Code Execution Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038
CVE-2007-1215
GDI Incorrect Parameter Local Elevation of Privilege
Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1215
CVE-2007-1213
Font Rasterizer Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1213
CVE (Common Vulnerabilities and Exposures), es la lista de
nombres estandarizados para vulnerabilidades y otras
exposiciones de seguridad que han tomado estado público, la
cuál es operada por cve.mitre.org, corporación patrocinada
por el gobierno norteamericano.
* Reemplazos:
Este parche reemplaza los siguientes:
- En Windows 2000 SP4, Windows XP SP2, Windows Server 2003,
Windows Server 2003 SP1 y SP2:
MS06-001 Vulnerabilidad en motor de gráficos (912919)
http://www.vsantivirus.com/vulms06-001.htm
MS05-053 Ejecución de código imágenes WMF/EMF (896424)
http://www.vsantivirus.com/vulms05-053.htm
- En Windows Server 2003:
MS05-002 Vulnerabilidad en cursores e iconos (891711)
http://www.vsantivirus.com/vulms05-002.htm
* Descargas:
Las actualizaciones pueden descargarse del siguiente enlace:
www.microsoft.com/technet/security/bulletin/ms07-017.mspx
El parche también está disponible a través de las
actualizaciones automáticas de Windows Update.
* Nota:
Antes de instalar esta actualización, verifique que el
software que se menciona tenga instalado los Service Pack a
los que se hace referencia. En caso contrario la aplicación
puede fallar o ejecutarse de manera incorrecta.
* Más información:
Microsoft Security Bulletin MS07-017
www.microsoft.com/technet/security/bulletin/ms07-017.mspx
Microsoft Knowledge Base Article - 925902
http://support.microsoft.com/?kbid=925902
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Exploit para Firefox e Internet Explorer en Vista
_____________________________________________________________
http://www.vsantivirus.com/exploit-ani-vista.htm
Exploit para Firefox e Internet Explorer en Vista
Por Angela Ruiz
angela@videosoft.net.uy
Determina, la misma compañía de seguridad que descubrió la
vulnerabilidad en los cursores e iconos animados de Windows
(archivos .ANI), ha publicado en su blog, un video en flash
que muestra en acción un nuevo exploit también basado en esa
vulnerabilidad, que puede aprovecharse tanto de Internet
Explorer 7, como de Mozilla Firefox 2.0 para acceder en
Windows Vista a un equipo atacado.
En la demostración, la característica de seguridad denominada
DEP (Data Execution Prevention) en Vista, ha sido
deshabilitada (por defecto la misma no está habilitada para
todos los programas, sino solo para los esenciales de
Windows).
El problema con esto, es que no todo el software está
preparado para DEP, y por lo tanto, si seleccionamos la
opción DEP para todos los programas, debemos poner a los que
no lo soportan en una lista de excepciones.
Ese es el caso de Firefox. Y aunque la compañía Determina no
piensa hacer público el exploit hasta que Mozilla corrija la
vulnerabilidad, el hecho de que Firefox no soporte este modo
de protección, agrega un riesgo extra que sus usuarios, al
menos no deberían ignorar.
Lamentablemente Mozilla parece no tener planes por el momento
para agregar esta habilidad a sus programas, por razones no
muy claras, a pesar de haber aceptado hace un tiempo la
invitación de Microsoft para intercambiar información sobre
el uso de las aplicaciones en Vista, lo que incluye la
implementación de DEP.
Un caso concreto. La reciente vulnerabilidad en cursores e
iconos animados de Windows, no afecta del mismo modo a los
usuarios de Vista e Internet Explorer 7, con el modo de
prevención de ejecución de datos habilitado.
Si bien DEP no evita la vulnerabilidad ni la lectura de
información de parte del atacante, sí impide la ejecución de
código, bloqueando la posibilidad de propagación de todo el
malware que se aprovecha del fallo.
Mozilla Firefox en cambio, no goza de ese beneficio.
Recordemos que en los últimos meses, Firefox ha tenido más
fallos críticos que Internet Explorer, y aunque también es
cierto que la reacción de Mozilla suele ser más rápida que la
de Microsoft a la hora de solucionarlos, el no tener el
beneficio de esta característica de seguridad de Windows, es
algo que juega en su contra.
* Sobre DEP (Prevención de ejecución de datos)
La prevención de ejecución de datos (DEP), es un conjunto de
tecnologías de hardware y software que realizan
verificaciones adicionales en la memoria para ayudar a
proteger contra la explotación en base a códigos maliciosos.
La misma ya había sido incluida en el Service Pack 2 de
Windows XP, y se aplica tanto a nivel de hardware como de
software.
Básicamente, se trata de marcar zonas críticas de la memoria,
como no ejecutables para las aplicaciones. Esto impide por
ejemplo, la ejecución de código basada en desbordamientos de
búfer, o de corrupción de pila (stack).
Para funcionar en modo hardware, se requiere que el
procesador lo soporte. Los nuevos equipos utilizados con
Windows Vista, tanto con procesadores de Intel como de AMD,
poseen esa posibilidad. De lo contrario, la protección es un
poco menos efectiva, ya que debe basarse solo en software.
Para acceder a la configuración de esta protección, en
Windows XP SP2, seleccione "Panel de control", "Sistema",
lengüeta "Opciones avanzadas". En la sección "Rendimiento",
pulse el botón "Configuración" y seleccione la lengüeta
"Prev. de ejecución de datos".
Las opciones disponibles son "Activar DEP sólo para los
programas y servicios de Windows esenciales" (por defecto), o
"Activar DEP para todos los programas y servicios excepto los
que seleccione".
En la misma ventana, en la parte de abajo, un mensaje nos
indicará si el procesador admite la protección DEP basada en
hardware ("El procesador es compatible con DEP basado en
hardware"). Si no lo es, el mensaje dirá "El procesador de su
equipo no es compatible con DEP basado en hardware. Sin
embargo, Windows puede usar software de DEP para ayudar a
prevenir cierto tipo de ataques."
En Windows Vista, la opción está en "Equipo", menú
"Propiedades de sistema". Luego en "Tareas", seleccione la
opción "Protección de sistema" (requiere permisos de
administrador). Lengüeta "Opciones avanzadas", y en
"Rendimiento", haga clic en el botón "Configuración", luego
seleccione la lengüeta "Prevención de ejecución de datos". El
resto es igual que como se indicó para Windows XP.
* Referencias:
Exploiting Vista with ANI (Demostración con video)
http://determina.blogspot.com/2007/04/exploiting-vista-with-ani.html
* Relacionados:
MS07-017 Vulnerabilidad en motor de gráficos (925902)
http://www.vsantivirus.com/vulms07-017.htm
Todo sobre la vulnerabilidad en cursores animados
http://www.vsantivirus.com/vul-cve-2007-0038.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Stration.YL. Gusano y troyano que descarga archivos
_____________________________________________________________
http://www.vsantivirus.com/stration-yl.htm
Nombre: Stration.YL
Nombre NOD32: Win32/Stration.YL
Tipo: Gusano de Internet y caballo de Troya
Alias: Stration.YL, Email-Worm.Win32.Warezov.ms, I-
Worm/Stration, Malware.n, TR/Crypt.XDR.Gen,
Trojan.Crypt.XDR.Gen, Trojan-Spy.Win32.Agent.hz,
W32.Stration@mm, W32/Spamta.VK.worm, W32/Strati-Gen,
W32/Stration.MS@mm, Win32.HLLM.Limar, Win32.Worm.Stration.FC,
Win32/Stration.YL, Win32/Stration.ZP
Fecha: 3/abr/07
Plataforma: Windows 32-bit
Tamaño: 132,385 bytes (UPACK)
Gusano de Internet que se propaga por correo electrónico,
enviándose como adjunto en un mensaje a toda la lista de
direcciones obtenidas en diferentes archivos de la máquina
infectada.
También posee la capacidad de descargar y ejecutar otros
componentes de Internet.
Intenta deshabilitar el acceso a sitios relacionados con
aplicaciones de seguridad.
Al ejecutarse, abre el bloc de notas mostrando caracteres al
azar.
Puede mostrar una ventana con un mensaje de error falso.
Luego, crea los siguientes archivos:
c:\windows\system32\dmdlmsvf.dll
c:\windows\system32\dmdlmsvf.exe
Cuando se conecta a un determinado sitio, puede descargar
otros archivos y luego liberar los siguientes en el equipo:
c:\windows\serv.dat
c:\windows\serv.dll
c:\windows\serv.exe
c:\windows\serv.s
c:\windows\serv.wax
c:\windows\serv.z
c:\windows\system32\e1.dll
c:\windows\system32\iissmtxl.dll
c:\windows\system32\vdiealrs.exe
NOTA: La ubicación y nombres de las carpetas "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
Crea las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\dmdlmsvf
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
serv = "c:\windows\serv.exe s"
HKLM\SOFTWARE\Microsoft
\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "dmdlmsvf.dll e1.dll"
Para propagarse como gusano, utiliza mensajes con las
siguientes características:
De: [dirección falsa]
Para: [dirección al azar]
NOTA: El gusano, busca direcciones en archivos con las
siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Asunto: [uno de los siguientes]
Error
Good day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test
Texto del mensaje: [uno de los siguientes]
[vacío]
Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters [and has been
sent as a binary attachment.
También puede utilizar el siguiente texto:
Mail server report.
Our firewall determined the e-mails containing worm copies
are being sent from your computer.
Nowadays it happens from many computers, because this is a
new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the
computer unnoticeably.
After the penetrating into the computer the virus harvests
all the e-mail addresses and sends the copies of itself to
these e-mail addresses
Please install updates for worm elimination and your
computer restoring.
Best regards,
Customers support service
Datos adjuntos: [uno de los siguientes]
data.[ext 1].[ext 2]
body.[ext 1].[ext 2]
data.[ext 1].[ext 2]
doc.[ext 1].[ext 2]
docs.[ext 1].[ext 2]
document.[ext 1].[ext 2]
file.[ext 1].[ext 2]
message.[ext 1].[ext 2]
readme.[ext 1].[ext 2]
test.[ext 1].[ext 2]
text.[ext 1].[ext 2]
Update-KB????-x86.exe
Donde "????" son números al azar.
[Ext 1] puede ser una de las siguientes extensiones:
.dat
.elm
.log
.msg
.txt
[Ext 2] es una de las siguientes extensiones:
.bat
.cmd
.exe
.pif
.scr
En ocasiones, entre [ext 1] y [ext 2] pueden existir varios
espacios en blanco.
Puede agregar entradas al archivo HOSTS de Windows, para
impedir el acceso a determinados sitios relacionados con
programas de seguridad.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Windows
3. Haga clic en la carpeta "Windows" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 6
del ítem "Antivirus", bajo la clave "AppInit_DLLs".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
\Notify
\dmdlmsvf
5. Haga clic en la carpeta "dmdlmsvf" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 6 del ítem
"Antivirus".
8. Cierre el editor del registro.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
6. Reinicie su computadora.
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Viking.CW. Se propaga por redes, infecta ejecutables
_____________________________________________________________
http://www.vsantivirus.com/viking-cw.htm
Nombre: Viking.CW
Nombre NOD32: Win32/Viking.CW
Tipo: Gusano, caballo de Troya e infector de ejecutables
Alias: Viking.CW, MalwareScope.Worm.Viking.3,
TR/Crypt.NSPM.Gen, Trojan.Crypt.NSPM.Gen, Trojan/Worm,
Trojan-PSW.Win32.Nilage.ara, Viking.gen, W32.Looked.BK,
W32/Viking.gen1, W32/Viking.JZ, W32/Viking.jz, W32/Viking.SL,
Win32.HLLP.Viking.IJ, Win32.HLLW.Gavir.54,
Win32.Worm.Viking.IZ, Win32/Looked.HT, Win32/Viking.CW,
Win32/Viking.Gen, Win32:Tibs-ADO, Worm.Win32.Viking.jz,
Worm/Delf.BJY
Fecha: 31/mar/07
Plataforma: Windows 32-bit
Tamaño: 180,172 bytes (UPack)
Gusano y caballo de Troya que se propaga a través de recursos
compartidos en redes, intenta infectar archivos .EXE, y puede
modificar las configuraciones de seguridad de Windows para
permitir la descarga y ejecución de archivos remotos.
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\logo1_.exe
c:\windows\uninstall\rundl132.exe
[carpeta actual]\richdll.dll
\TEMP\$$a5.bat
\TEMP\$$ab.bat
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
NOTA: [carpeta actual] es la carpeta donde se ejecuta el
troyano por primera vez.
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
También creará las siguientes entradas para autoejecutarse en
cada reinicio de Windows:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
load = "c:\windows\uninstall\rundl132.exe"
HKLM\SOFTWARE\Soft\DownloadWWW
auto = "1"
Cada vez que se ejecuta, intentará inyectar el archivo
"richdll.dll" en cada proceso activo de Internet Explorer o
Windows Explorer.
También intentará descargar archivos de diferentes sitios de
Internet, los que suplantarán los creados antes por el
troyano.
Buscará luego archivos .EXE en todas las unidades de disco de
la C a la Y inclusive, para infectarlos, agregando su código
al comienzo de los mismos.
Las siguientes carpetas están excluidas de su búsqueda, y sus
archivos no serán infectados:
Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
MSN
MSN Gamin Zone
NetMeeting
Outlook Express
Program Files
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt
El troyano envía paquetes ICMP a direcciones IP de una
posible red local (192.168.0.30 y 192.168.8.1), y también a
direcciones IP dentro del rango de la IP actual del equipo
infectado.
ICMP (Protocolo de mensajes de control de Internet), es una
extensión del Protocolo de Internet (IP), y permite generar
mensajes de error, paquetes de prueba y mensajes informativos
relacionados con IP. Básicamente, se usa para comprobar la
existencia de la máquina consultada.
Intentará abrir las siguientes carpetas compartidas en otros
equipos dentro del rango de las direcciones que respondan,
siempre que tengan como usuario "administrator" y una
contraseña en blanco (solo Enter):
\\admin$
\\ipc$
Si la conexión es exitosa, se copiará en dichas carpetas.
También se copia en todas las carpetas compartidas que tengan
usuario y contraseña en blanco.
Puede infectar los archivos .EXE que encuentre en dichas
carpetas.
El troyano intentará detener el siguiente servicio:
Kingsoft AntiVirus Service
También intentará detener los siguientes procesos,
relacionados con otras aplicaciones de seguridad:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
mcshield.exe
RavMon.exe
RavMon.exe
Ravmond.EXE
regsvc.exe
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
3. Haga clic en la carpeta "Windows" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 6
del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Soft
5. Haga clic en la carpeta "Soft" y bórrela.
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2413 Año 11, miércoles 4 de abril de 2007
|
VSantivirus No 241
Responder a este mensaje
