| Asunto: | VSantivirus No. 979 - Año 7 - Jueves 13 de marzo de 2003 | | Fecha: | Jueves, 13 de Marzo, 2003 10:42:59 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 979 - Año 7 - Jueves 13 de marzo de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - VBS/Prune.A. Asunto: US Goverment Material - Iraq Crisis
2 - Sea más exigente poniendo contraseñas
3 - W32/Lovgate.F. Responde correo con mensajes infectados
4 - W32/Zokrim.C. Asunto: "Your friend Morena"
_____________________________________________________________
1 - VBS/Prune.A. Asunto: US Goverment Material - Iraq Crisis
_____________________________________________________________
http://www.vsantivirus.com/prune.htm
Nombre: VBS/Prune.A
Tipo: Gusano de Internet
Alias: Prune, Iraq Crisis, UN_Interview, VBS/Prune@mm,
VBS/UN_Interview@mm, VBS/Iraq_Crisis, I-worm.patzak@mm
Plataforma: Windows 32-bit
Fecha: 13/mar/03
Se trata de un gusano de Visual Basic Script que se propaga
vía correo electrónico, mIRC y recursos compartidos en red.
Cuando se ejecuta, el gusano se copia a si mismo como
"UN_Interview.txt.vbs" en la carpeta de Windows:
C:\Windows\UN_Interview.txt.vbs
También modifica el registro para autoejecutarse en próximos
reinicios de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = C:\Windows\UN_Interview.txt.vbs
"C:\Windows" puede variar de acuerdo a la versión de Windows
instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o
"C:\WinNT" en Windows NT/2000).
Luego, ejecuta tres rutinas diferentes para propagarse vía e-
mail, mIRC y recursos compartidos en red. También ejecuta una
rutina maligna.
* Propagación vía e-mail
El gusano utiliza el Outlook y Outlook Express para
propagarse a todos los contactos de todas las libretas de
direcciones de la máquina infectada. El mensaje que utiliza
tiene estas características:
Asunto: US Goverment Material - Iraq Crisis
Texto del mensaje: [en blanco]
Datos adjuntos: UN_Interview.txt.vbs
Después del envío masivo, el gusano borra los mensajes
enviados para no dejar rastros.
* Propagación vía mIRC
Para propagarse vía el cliente mIRC, el gusano busca el
archivo SCRIPT.INI en las carpetas "C:\mIRC" y "C:\Archivos
de programa\mIRC". Si lo encuentra, intenta enviar el archivo
"UN_Interview.txt.vbs" a cada usuario que se una a los mismos
canales de chat visitados.
* Propagación por recursos compartidos
El gusano escanea un rango específico de direcciones IP
buscando unidades "C" compartidas. Por cada unidad encontrada
el gusano mapea dicha unidad con la letra "T:" e intenta
copiarse en ella como "UN_Interview.txt.vbs" en la carpeta de
inicio de Windows: "C:\Windows\Menú Inicio\Programas\Inicio"
en Windows 95, 98 y Me. En Windows XP y 2000 es "C:\Documents
and Settings\[usuario]\Menú Inicio\Programas\Inicio" y en
Windows NT "C:\WinNT\Profiles\[usuario]\Menú
Inicio\Programas\Inicio".
Durante esta acción el gusano crea el archivo "HCKD.txt" en
donde guarda los resultados de los escaneos de direcciones
IP. Las direcciones específicas usadas por el gusano
pertenecen a la Universidad de Washington (USA).
El gusano crea o modifica el archivo "Autoexec.bat" en el
raíz de la unidad mapeada con las instrucciones para ejecutar
el código del gusano.
El gusano transporta en su código una imagen que libera en la
carpeta TEMP (generalmente C:\Windows\TEMP) con el nombre de
"Peach.jpg", y luego la muestra.
[ver imagen en http://www.vsantivirus.com/prune.htm]
La imagen parece ser la respuesta a un juego presentado por
otro gusano, el primero de archivos PDF (ver
"OUTLOOK.PDFWorm. Primer gusano del mundo en PDF ",
http://www.vsantivirus.com/peachy-pdfworm.htm).
* Rutina maliciosa
Si la fecha del sistema es primero de cualquier mes, el
gusano se copia en 39 archivos en las siguientes ubicaciones:
C:\UNZIPPED
C:\WINDOWS\DESKTOP
Utiliza nombres diferentes para ello, por ejemplo:
C:\UNZIPPED\DAMN_SOURCE.MPEG
C:\WINDOWS\DESKTOP\CUNT-EAT-CUM.MP3
C:\WINDOWS\DESKTOP\www.SEX-MOVIES2.MPEG
C:\WINDOWS\DESKTOP\hardcore_sex.jpg
[etc.]
También muestra una ventana de mensajes con el siguiente
texto:
VBScript: Coming from NoWhere?!..
XXX - I Love pr00n.. I want Sex - XXX
[ Aceptar ]
Cuando la fecha es 1, 2, 3, 4 o 5 de cada mes, el gusano
intenta eliminar todos los archivos de la carpeta de
instalación de Windows, Windows\System o de la unidad C:\.
Cuando el día es 5, el gusano muestra otra ventana de
diálogo:
VBScript: PATZAK worm ver 1.0
You have been infected by Patzak Worm v1.0 / All your data
has been earased! - Keyboard: Disabled / Mouse: Disabled /
Data: EARASED(LOL!)
[ Aceptar ]
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Borrar los archivos creados por el gusano
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
UN_Interview.txt.vbs; SCRIPT.INI
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione Todos los archivos y carpetas
3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo
siguiente:
UN_Interview.txt.vbs; SCRIPT.INI
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la entrada:
(Predeterminado)
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Sea más exigente poniendo contraseñas
_____________________________________________________________
http://www.vsantivirus.com/13-03-03.htm
Sea más exigente poniendo contraseñas
Las contraseñas fáciles de adivinar ponen en peligro la
seguridad informática
Este artículo proviene de Webpanto
http://www.webpanto.com
La falta de imaginación que demuestran muchos usuarios cuando
eligen sus contraseñas permite que cada vez más piratas o
virus se metan en sus computadoras, poniendo en peligro la
seguridad informática. Este problema no es nuevo, según
informó EFE.
Los expertos en seguridad informática dicen que un tercio de
los usuarios utiliza contraseñas como el nombre de su
mascota, su hijo o un plato favorito. Cualquiera de ellas es
fácil de adivinar en cuestión de minutos por un pirata
medianamente habilidoso.
Según la empresa Symantec, cada vez más virus se valen de
esta debilidad de los usuarios a la hora de elegir
contraseñas sencillas y con valor sentimental para atacar los
sistemas informáticos.
El ejemplo más reciente lo constituye el virus llamado
"Deloder", que el pasado fin de semana contribuyó a retrasar
el tráfico en la red, "colándose" en más de 10.000
computadoras a partir de una serie de listas con contraseñas.
De la misma manera, su antecesor más reciente, "LovGate", un
gusano que apareció hace un par de semanas, también utilizó
listas de contraseñas para infectar las computadoras
personales, causando graves problemas en sistemas de todo el
mundo. "Ya sea un gusano o una persona tratando de
introducirse en una máquina, las palabras son contraseñas
fáciles de adivinar", ha dicho Steve Trilling, directivo de
Symantec. Este es un mal que aflige no sólo a los usuarios
individuales, sino también a las compañías, incluidas las
grandes corporaciones.
El director de Neohapsis, Greg Shipley, ha dicho que mediante
el programa "John The Ripper" (John el destripador), un
favorito de los crackers, a sus técnicos les costó sólo una
hora hacerse con un 30 por ciento de las contraseñas de uno
de sus clientes, una gran empresa de servicios de salud que
prefirió mantener en el anonimato. Shipley ha asegurado:
"Prácticamente todas las compañías con las que hemos
trabajado tienen un alto porcentaje de cuentas con
contraseñas fácilmente identificables". Neophasis hace uso de
las herramientas de los piratas para detectar los puntos
débiles de su cliente.
Adivinar las palabras sencillas que elige la mayoría es coser
y cantar para los piratas y sus potentes programas
informáticos, capaces de probar millones de combinaciones en
menos de un minuto. El problema no es nuevo. Los expertos lo
vienen planteando desde hace años, y ya en 1979, en la era
pre-Internet, un estudio mostró cómo los usuarios elegían
casi invariablemente contraseñas inadecuadas. Incluso con las
prehistóricas herramientas de esos años, era sencillo dar con
la palabra mágica que abría la puerta al sistema informático.
* Recomendaciones para crear contraseñas
Los expertos disponen de unas cuantas recomendaciones
sencillas para ayudar a los usuarios incautos a elegir
contraseñas algo menos populares que abracadabra.
En primer lugar, recomiendan no utilizar palabras que
aparezcan en el diccionario. El Webster, por ejemplo, uno de
los más populares en EEUU, tiene 163.000 entradas, mientras
que uno de los programas que utilizan los piratas tiene más
de 200.000, e incluye lugares y nombres propios.
De la misma manera, no hay que usar información personal como
números de teléfono, el número del carné de identidad, fechas
de nacimiento o nombres de personas cercanas.
Los expertos recomiendan elegir una palabra diferente para
cada sistema, como medida de precaución, así como
combinaciones de números, símbolos y letras.
La dirección de esta noticia es:
http://www.webpanto.com/articulo.php?sid=1687
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Lovgate.F. Responde correo con mensajes infectados
_____________________________________________________________
http://www.vsantivirus.com/lovgate-f.htm
Nombre: W32/Lovgate.F
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
(RAT)
Alias: W32.HLLW.Lovgate.F@mm
Fecha: 12/mar/03
Plataforma: Windows 32-bit
Tamaño: 172,842 bytes
Se trata de una variante menor del W32/Lovgate.C. La única
diferencia es que esta versión no envía ningún mensaje al
autor del gusano.
El virus, responde en forma automática a los mensajes
recibidos por la víctima infectada, agregándose él mismo como
adjunto. Esto, aumenta las posibilidades de que el receptor
de este mensaje abra y ejecute el adjunto, ya que pensará se
trata de una respuesta legítima.
LovGate posee características de caballo de Troya, junto con
la posibilidad de propagarse como un gusano. Como troyano,
compromete la seguridad general del sistema.
El gusano crea múltiples copias de si mismo en recursos
compartidos en red (carpetas y subcarpetas de todas las
unidades compartidas), así como discos locales.
A través del correo electrónico, se envía a si mismo como
respuesta automática a todo mensaje recibido por el usuario
infectado en el Outlook y Outlook Express, con el siguiente
mensaje:
De: [nombre del usuario infectado]
Para:
Asunto: RE: [asunto original]
Texto:
"<nombre del usuario infectado>" wrote:
============================================
> [mensaje al que se responde]
> [cada línea precedida del caracter ">"]
> [si el mensaje es más largo de 512 caracteres...]
> [lo corta y agrega puntos suspensivos]
...
============================================
[dominio del remitente] account auto-reply:
' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '
> Get your FREE [dominio del remitente] account now! <
El nombre del adjunto, es el mismo de alguna de las copias
que intenta crear en las carpetas de los recursos
compartidos.
Además de esa técnica, el gusano también intenta enviarse
como adjunto, a direcciones obtenidas de archivos HTML
(.HT*), ubicados en cualquiera de los directorios actuales,
de Windows, y Mis documentos. En estos casos, utiliza
alternativamente, uno de los siguientes mensajes:
Asunto: Documents
Texto del mensaje: Send me your comments
Datos adjuntos: Docs.exe
Asunto: Roms
Texto del mensaje: Test this ROM! IT ROCKS!
Datos adjuntos: Roms.exe
Asunto: Pr0n!
Texto del mensaje: Adult content!!! Use with parental
advisory.
Datos adjuntos: Sex.exe
Asunto: Evaluation copy
Texto del mensaje: Test it 30 days for free.
Datos adjuntos: Setup.exe
Asunto: Help
Texto del mensaje: I'm going crazy... please try to find
the bug!
Datos adjuntos: Source.exe
Asunto: Beta
Texto del mensaje: Send reply if you want to be official
beta tester.
Datos adjuntos: _SetupB.exe
Asunto: Do not release
Texto del mensaje: This is the pack ;)
Datos adjuntos: Pack.exe
Asunto: Last Update
Texto del mensaje: This is the last cumulative update.
Datos adjuntos: LUPdate.exe
Asunto: The patch
Texto del mensaje: I think all will work fine.
Datos adjuntos: Patch.exe
Asunto: Cracks!
Texto del mensaje: Check our list and mail your requests!
Datos adjuntos: CrkList.exe
El gusano crea también, múltiples copias de si mismo en el
directorio System de Windows, con alguno de los siguientes
nombres:
C:\Windows\System\WinRpcsrv.e
C:\Windows\System\syshelp.exe
C:\Windows\System\winrpc.exe
C:\Windows\System\WinGate.exe
C:\Windows\System\rpcsrv.exe
Se agrega al registro, creando la siguiente entrada. Esto le
permite autoejecutarse cada vez que Windows se reinicie:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
syshelp = C:\Windows\System\syshelp.exe
WinGate initialize = C:\Windows\System\WinGate.exe -remoteshell
Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden
variar de acuerdo al sistema operativo instalado (con esos
nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
Luego cambia el archivo de inicio de Windows WIN.INI,
alterando la entrada "Run" bajo la etiqueta "[windows]":
[Windows]
Run = rpcsvr.exe
Además modifica las entradas por defecto en la siguiente
clave del registro, de modo que se ejecuta cada vez que el
usuario intenta abrir un archivo de texto haciendo doble clic
sobre él (.TXT):
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Predeterminado) = winrpc.exe %1
En Windows NT 4.0, 2000, y XP, el gusano copia alguno de los
siguientes DLL:
ily.dll
reg.dll
task.dll
1.dll
Estos archivos son todos copias similares, y son detectados
como Troj/Lovgate.A.
El gusano crea también un servicio llamado "Windows
Management Extension" con el comando "Rundll32.exe Task.dll
ondll_server". También invoca las ordenes "Rundll32.exe
ily.dll ondll_install" y "Rundll32.exe ily.dll ondll_reg"
para instalarse y registrarse como proceso. También crea la
entrada en el registro para cargarse en cada reinicio de
Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg"
El virus intenta además conectarse a máquinas remotas a
través de recursos IPC$, utilizando aleatoriamente las
siguientes cadenas de texto para logearse como administrador:
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
Si logra autenticarse, el gusano se copia a si mismo como
STG.EXE en la carpeta \admin\system32\ de la máquina remota.
Luego lanza dicho archivo como un servicio llamado "Microsoft
NetWork Services FireWall" en el equipo remoto, y procede a
desconectar a la computadora remota de la red cancelando la
conexión actual.
El gusano crea luego al menos 100 threads (hilos), de su
rutina de infección (100 rutinas de infección ejecutándose en
forma independiente). Genera un thread cada 200 segundos y
utiliza semáforos para llevar la cuenta de números de threads
creados.
Luego, examina la presencia de la siguiente rama del
registro:
HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
Si la encuentra, entonces el gusano se copia en el directorio
System de Windows con el siguiente nombre:
C:\Windows\System\ssrv.exe
En computadoras corriendo Windows 95, 98 y Me, el gusano
esconde su presencia registrándose a si mismo como un proceso
de servicio.
Para ello crea un evento llamado "My I-WORM-and-IPC-20168
running!". Esto le sirve como una referencia en ejecuciones
posteriores del gusano para avisarle que ya está instalado en
la memoria.
Además de todo lo anterior, en cada carpeta y subcarpeta
compartidas, el gusano crea una copia de si mismo con los
siguientes nombres:
billgt.exe
card.exe
crklist.exe
docs.exe
docs.exe
fun.exe
hamster.exe
humor.exe
images.exe
joke.exe
LUPdate.exe
midsong.exe
news_doc.exe
pack.exe
patch.exe
pics.exe
PsPgame.exe
roms.exe
s3msong.exe
searchURL.exe
setup.exe
sex.exe
source.exe
ssrv.exe
stg.exe
syshelp.exe
tamagotxi.exe
wingate.exe
winrpc.exe
Cuando se ejecuta el componente troyano, éste abre el puerto
10168 por defecto.
Mediante comandos enviados por el intruso a través del puerto
abierto, se puede obtener toda la información sensible de la
computadora atacada, además de poder modificar la
configuración del propio troyano.
Para limpiar manualmente una computadora infectada con este
gusano, siga las instrucciones que en nuestro sitio damos
para la variante "C" del mismo:
W32/Lovgate.C. Variante de gran propagación
http://www.vsantivirus.com/lovgate-c.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Zokrim.C. Asunto: "Your friend Morena"
_____________________________________________________________
http://www.vsantivirus.com/zokrim-b.htm
Nombre: W32/Zokrim.C
Tipo: Gusano de Internet
Alias: W32.Zokrim.C@mm, Worm.W32/Zokrim.C@MM
Fecha: 11/mar/03
Plataforma: Windows 32-bit
Tamaño: 61,440 bytes
Este gusano, escrito en Microsoft Visual Basic, se envía en
forma masiva a través del correo electrónico, utilizando para
ello el Microsoft Outlook y Outlook Express y su libreta de
direcciones. También intenta propagarse a través de los
canales de IRC.
El correo electrónico tiene estas características:
Asunto: Your friend Morena
Datos adjuntos: Morena.exe (61,440 bytes)
Texto del mensaje:
Don't tell me that have forgotten of me!!!
beh have put you my photo!
Cuando el adjunto se ejecuta, se muestran dos ventanas, una
con el siguiente mensaje:
Explorer
Inside error of the program
[ OK ]
La otra ventana:
Click on my photo.
[muestra un icono de morena.jpg]
Luego, el gusano se copia a si mismo en el raíz de C:
C:\Morena.exe
Modifica el registro de Windows para autoejecutarse en cada
reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winproxy = C:\morena.exe
Crea además un script de Visual Basic (.VBS):
C:\Morena.vbs
Este script es usado por el gusano para su propagación vía e-
mail. Envía un mensaje como el descripto antes a cada uno de
los contactos de la libreta de direcciones del Outlook y
Outlook Express de la máquina infectada.
Finalmente crea el archivo "Script.ini" en una de las
siguientes carpetas, si la carpeta existe:
C:\Mirc
C:\Mirc32
C:\Program Files\Mirc
C:\Program Files\Mirc32
El gusano utiliza este script pata enviar una copia de si
mismo a otros usuarios participantes de los mismos canales de
chat que la víctima. El archivo enviado es "Morena.exe".
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Morena.exe
C:\Morena.vbs
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:
Winproxy
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 979 - Año 7 - Jueves 13 de marzo de 2003
|
VSantivirus No. 97
Responder a este mensaje
