Mostrando mensaje 33     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 984 - Año 7 - Martes 18 de marzo de 2003 Fecha: Martes, 18 de Marzo, 2003  10:58:43 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 984 - Año 7 - Martes 18 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) 2 - Artillería pesada contra el "spam" 3 - W32/Ganda.A. Usa la actual situación política mundial 4 - W32/Oror.AI. Propagación masiva y borrado de archivos _____________________________________________________________ 1 - Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) _____________________________________________________________ http://www.vsantivirus.com/vulms03-007.htm Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Un grave fallo en el manejo del búfer de un componente de Windows 2000 pone en grave riesgo a miles de servidores que utilizan el servidor Web de Microsoft, Internet Information Server (IIS). Microsoft liberó un parche y un boletín de seguridad, advirtiendo del problema. El hecho de que ya exista un exploit para aprovecharse de esta falla, vuelve crítica la situación. Según Microsoft, el fallo solo afecta a Windows 2000 (no a Windows XP ni a NT). Microsoft IIS 5.0 es instalado y ejecutado de forma predeterminada en Windows 2000. La falla descubierta puede permitir a un intruso ejecutar en forma remota, código arbitrario en la máquina afectada. Ya hay reportes de la acción de este exploit, lo que hace que sea crítico para los administradores de estos servidores, aplicar en forma urgente el parche correspondiente. Según informa Microsoft en su boletín, un atacante puede explotar la vulnerabilidad enviando un paquete HTTP especialmente formado a una máquina con IIS. La petición puede hacer que el servidor caiga o permitir la ejecución de código arbitrario bajo el contexto de seguridad local. La vulnerabilidad es muy similar al fallo del que se aprovechaba el famoso gusano CodeRed, que hace tan sólo unos días ha resurgido en la forma de una nueva versión. La situación es más crítica por el hecho de que el problema se convirtió en un "0day" (zero day o día cero). Así se denomina a un incidente cuando el conocimiento de determinada falla o vulnerabilidad cae en manos de quienes se aprovechan de la situación explotando el fallo antes de que los propios fabricantes del software conozcan la existencia del mismo. Microsoft tomó conocimiento del primer ataque con éxito que se aprovechaba de esta falla el pasado miércoles, y recién el lunes, ha publicado el correspondiente boletín de seguridad junto con el parche correspondiente. La vulnerabilidad viene causada por un protocolo llamado WebDAV (World Wide Web Distributed Authoring and Versioning) que funciona bajo ISS. Se compone de un conjunto de extensiones de HTTP que permiten a los usuarios manipular archivos almacenados en un servidor Web (RFC2518). Un desbordamiento de búfer existente en la librería "ntdll.dll" utilizada por el componente WebDAV de IIS, permite que al enviar una solicitud al servidor, un intruso puede ser capaz de ejecutar código arbitrariamente en el contexto de seguridad del Sistema Local, dándole a éste el control completo sobre el sistema. El boletín de seguridad MS03-007 con el aviso, y la actualización correspondiente está disponible en el siguiente enlace: http://www.microsoft.com/technet/security/bulletin/ms03-007.asp La única recomendación hasta que la actualización esté disponible es deshabilitar el servicio vulnerable, o seguir los siguientes consejos aportados por el CERT (UNAM/CERT, Equipo de Respuesta a Incidentes de la Universidad Nacional Autónoma de México): Hasta que una actualización pueda ser aplicada, es posible deshabilitar IIS. Para determinar si IIS se esta ejecutando, Microsoft recomienda lo siguiente: Ir a Inicio, Configuraciones, Panel de Control, Herramientas Administrativas, Servicios. Si el servicio "World Wide Web Publishing" está listado, entonces IIS está instalado. Para deshabilitar IIS, se puede ejecutar la herramienta de IIS lockdown. Esta herramienta esta disponible en: http://www.microsoft.com/downloads/release.asp?ReleaseID=43955 Si no es posible deshabilitar IIS, se debe considerar utilizar la herramienta IIS lockdown para deshabilitar WebDAV (el remover WebDAV se puede especificar cuando se ejecuta la herramienta IIS lockdown). De forma alternativa, se puede deshabilitar WebDAV siguiendo las instrucciones localizadas en el Knowledge Base Article 241520, "Como deshabilitar WebDAV para IIS 5.0": http://support.microsoft.com/default.aspx?scid=kb;en-us;241520 Si no se puede utilizar la herramienta IIS lockdown o URLScan, de puede considerar restringir el tamaño del buffer que IIS utiliza para procesar los requerimientos utilizando la herramienta URL Buffer Size Registry Tool. Esta herramienta puede ser ejecutada contra un sistema Windows 2000 local o remoto ejecutando Service Pack 2 o Service Pack 3. La herramienta, las instrucciones de como utilizarla, y las instrucciones de como hacer cambios de forma manual en el Registry, esta disponible en: URL Buffer Size Registry Tool http://go.microsoft.com/fwlink/?LinkId=14875 Microsoft Knowledge Base Article 816930 http://support.microsoft.com/default.aspx?scid=kb;en-us;816930 Microsoft Knowledge Base Article 260694 http://support.microsoft.com/default.aspx?scid=kb;en-us;260694 También se podría utilizar la herramienta URLScan, la cual bloqueará los requerimientos que intenten explotar esta vulnerabilidad. La información sobre URLScan esta disponible en: http://support.microsoft.com/default.aspx?scid=kb;[LN];326444 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Artillería pesada contra el "spam" _____________________________________________________________ http://www.vsantivirus.com/mm-spam.htm Artillería pesada contra el "spam" Técnicos y gobiernos sacan la artillería pesada contra el "spam" Por Mercè Molist (*) colaboradores@videosoft.net.uy El correo comercial no deseado ha subido en un año del 8 al 40% del total de mensajes recibidos por los internautas "Todo el sistema de correo de Internet está bajo un bombardeo constante, un ataque de Denegación de Servicio en toda regla", denunció Barry Shein, presidente de "The World", un pionero proveedor norteamericano, durante la primera "Conferencia sobre el spam", celebrada en Cambridge. De los 15 asistentes esperados, se llegó a más de 500 y es que los técnicos, como los usuarios, están hartos. Tanto, que la mayoría no duda en pedir ayuda a los gobiernos. Algunos le sacan la puntilla. Como los creadores de "SpamWars", un juego que invita a "luchar contra el demonio que quiere 'espamearte' hasta la muerte". No van errados: desde 1978, cuando DEC envió el primer correo comercial no solicitado a ArpaNet, el volumen de "correo basura" o "spam" ha crecido hasta ser la queja número uno de los internautas. Y un problema de seguridad peor que los virus: saturación de redes, abuso de servicios, fraudes, daños a la privacidad e, incluso, instalación de programas sin permiso a usuarios de Microsoft. A finales de enero llegaba al colmo: el registrador de dominios británicos tenía que suspender ocho horas su servicio "whois", de identificación de dueños de dominios, por el ataque de unos "spammers" que querían robar su base de datos. En un comunicado, Nominet UK afirmaba: "Alguien muy persistente ha intentado conseguir una copia detallada del registro .uk. El ataque consiste en hacer preguntas sistemáticamente al servidor "whois", desde cientos de servidores". La misma treta se ha usado contra Hotmail y otros proveedores de correo gratuito. * Más leyes ¿Podría una ley transnacional ser un buen método anti-spam? Se preguntan cada vez más técnicos. En los Estados Unidos, la Federal Trade Commission ha empezado a investigar a "spammers" y algunas compañías han ganado juicios contra éstos, como America Online o el Ministerio de Justicia de Nueva York. Aunque la mayoría de estados tiene legislación "anti-spam", el Senado ultima el borrador de una ley nacional que obligará a consignar "ADV" en los envíos comerciales, después que la Direct Marketing Association, que hasta ahora se negaba, esté de acuerdo. En Europa, una directiva del año pasado mantiene el correo basura fuera de la ley: sólo se puede enviar a personas que lo consientan (sistema "opt-in"). Lo mismo dice la española Ley de Servicios de la Sociedad de la Información (LSSI). Según el Ministerio de Ciencia y Tecnología, el "spam" en España puede denunciarse "contactando con una asociación de consumidores o con la Secretaría de Telecomunicaciones, por correo, teléfono o usando el formulario de la sección "Consultas" de www.lssi.es";. La Asociación de Usuarios de Internet acaba de poner en marcha la "I Campaña contra el correo no solicitado", con la colaboración de grandes compañías como Telefónica o Wanadoo e instituciones como el Ministerio de Ciencia y Tecnología, que formarán un grupo de trabajo para dirimir el problema. Además, en su web, la Asociación ofrece consejos, una completa guía de denuncia y una idea: que la administración facilite cuentas de correo gratuitas sometidas a controles de calidad. Pero un reciente estudio de la Asociación de Internautas concluye: "A pesar de la LSSI, el problema del "spam" dista mucho de estar resuelto en España, porque el 75% viene de fuera de la Unión Europea. Otro problema son los datos personales. En ningún caso se hace constar su origen o cómo acceder a ellos. Además, la empresa remitente no se identifica en forma legal". Precisamente, la Agencia de Protección de Datos abría en octubre del año pasado un expediente sancionador a "Guía de Empresas Internet", por mandar "spam" a direcciones de empresas, procedentes de una base de datos de pago. "180.000 mails de España, 650.000 mails Resto del Mundo, 15.000.000 mails de Estados Unidos. Incluye el mejor programa de envío de publicidad, con instrucciones para que no lo detecte su servidor. Costo total: 100 dólares", anuncian los vendedores de estos directorios, en un típico "spam". Rob West, autor del "Spamdemic Map", que documenta gráficamente los saltos entre bases de datos que siguen las direcciones de correo, asegura: "Se han convertido en divisa de un juego financiero que mueve rápidamente bases de datos con información de consumidores". Primero, se recolectan las direcciones en páginas web y foros públicos. Después, se venden a compañías de "marketing", que pagan un tanto (desde unos céntimos a un euro) por cada nombre. Estas listas pueden venderse después a compañías legítimas, que creen estar comprando direcciones de consumidores que han dado su consentimiento. El "spam" ilegal se envía desde direcciones falsas, robando el ancho de banda de proveedores que tienen inadvertidamente abierto el puerto de envío de su servidor de correo. Las redes inalámbricas, en su mayoría desprotegidas, son también usadas por los "spammers". * Cruzada técnica Recientemente, Scott Fahlman, conocido por haber usado el primer emoticón, proponía cobrar por recibir "spam", aunque para ello se necesitarían nuevos programas. Una idea parecida, que ya está en uso pero sin dinero, es el "filtrado inverso" o "listas blancas": el servidor de correo no deja entrar ningún mensaje que no esté en una lista aprobada por el usuario. Si alguien nuevo envía una carta, se le responde con instrucciones para entrar en la lista blanca. Pero el arma más frecuente, a nivel de grandes sistemas, son las "listas negras", que bloquean la entrada a mensajes de proveedores que envían "spam". En España, la red académica RedIRIS está haciendo pruebas piloto con un sistema propio de lista negra, la Plataforma Unificada AntiSpam, que permite a la comunidad rechazar correo basura de forma unida y con una política común. Algunos técnicos de proveedores españoles han mostrado, en el foro "Abuso en el Correo Electrónico", su disposición a crear una plataforma parecida. "Lo más importante de PUAS es que, a diferencia de otras listas negras, es la comunidad académica quien bloquea las direcciones que han enviado "spam" y quien decide las penalizaciones temporales: primero, 2 horas; si vuelve a reincidir, un día, y así sucesivamente. Los usuarios envían el "spam" que reciben a la central de RedIRIS, que analiza cabeceras y contabiliza: número de denuncias, número de universidades afectadas y veces que ya ha estado en la base de datos. El resultado final se refleja en el servidor que chequea el correo entrante de cualquier universidad", explica su promotor, Jesús Sanz de las Heras. Pero, en el último año, han crecido las críticas contra las listas negras: Philip Jacob, en su estudio "The Spam Problem", denuncia que bloquean de forma demasiado general, lo que afecta a usuarios legítimos del proveedor denunciado: "Un buen número de "spam" se envía a través de servidores inseguros de Asia y Sudamérica, por lo que se filtran. Algunos administradores están cerrando completamente el correo que viene de Corea o China. Y esto lleva a nada más que discriminación. Es antidemocrático que una compañía no pueda comunicarse a través de su ISP con otra en Estados Unidos o Europa". Además, según Jacob, el proveedor que usa listas negras no informa a los usuarios: "¿Qué pasaría si una misteriosa organización estuviese al otro lado de tu compañía telefónica y bloquease llamadas hacia ti, basándose en unos criterios que no puedes controlar?". Por eso, se tiende a nuevas herramientas, como los escáners de contenido, que filtran a partir de lo que dice el mensaje, o los Sistemas de Notificación Distribuida, donde los usuarios envían los "spam" recibidos a una base de datos central. Aunque son muy fiables, no sirven para los "webmails" ni para los proveedores: sólo funcionan en el cliente de correo del usuario. De esta segunda generación de programas se habló en la primera "Conferencia sobre el Spam", celebrada a mediados de enero en el Massachusetts Institute of Technology y auspiciada por Paul Graham, promotor del uso de inteligencia artificial en la lucha contra el correo basura. Legendarios hackers como Eric S. Raymond o John Draper estuvieron allí. También Matt Sergeant, codesarrollador del popular programa libre "SpamAssassin"; o Jon Praed, del Internet Law Group, quien dudó que sólo con leyes se solucione el problema. Praed recomendó que si se recibe correo basura citando una marca comercial, como Viagra, se reenvíe a la compañía, quien lo investigará. Aunque hay otros que prefieren la venganza directa: recientemente, el norteamericano Alan Ralsky denunciaba una conspiración para cubrirlo de correo basura: "Me han apuntado a todas las campañas publicitarias y listas de correo que existen". Ralsky se ha hecho rico enviando miles de millones de "spam" al día, según una nota aparecida en el weblog "Slashdot", que desató la ira de los lectores. Alguien posteó entonces las direcciones de correo y física de Ralsky y el rey del "spam" fue "espameado". * Y ahora, "spam político" El profesor Mikls Sksd vivió las últimas elecciones en Hungría con sorpresa y molestia: "En un país de diez millones de población, donde el 53% tiene teléfono móvil y el 15%, Internet, los partidos enviaron millones de mensajes SMS, el tráfico diario se incrementó un 20-30%. Durante dos semanas, el 'spam' político fue una experiencia diaria". Para las elecciones en Bélgica, el gobierno ha aprobado también este medio de propaganda. Aunque pocas muestras se han dado en la Internet española, en Estados Unidos el "spam político" ya es un viejo conocido, que no entra en las leyes porque no es comercial y algunos defienden como libertad de expresión. El senador demócrata Joseph Liberman es la última bestia negra: para anunciar su carrera a la presidencia de EEUU, envió un discurso a miles de internautas, a través del servicio de correo basura de pago ConstantConctact. Liberman es el primer candidato a presidente de los Estados Unidos que recurre al "spam", pero ha habido más políticos antes que él. Demócratas y republicanos usan Internet como medio de propaganda, un suplemento barato a las campañas de televisión, prensa y radio. El año pasado, Bill Jones, candidato a gobernador de California, era noticia por enviar correo no deseado a miles de direcciones electrónicas, algunas de gente no residente en California ni tan sólo Estados Unidos. La última modalidad es el "spam" militar: a mediados de enero, el Ministerio de Defensa británico enviaba 100.000 mensajes a empresas, para avisarlas de una posible movilización de sus empleados reservistas. Muchas no tenían trabajadores en la reserva y recibieron la carta con disgusto. El Ministerio sólo aclaró que había comprado la base de datos a una empresa externa. * Cifras Hace dos años, el 50% de los internautas norteamericanos consideraban el "spam" como "muy molesto". Hoy, son el 80%, según una encuesta de Harris Interactive. Y el 74% quiere ilegalizarlo. Sólo el año pasado, se enviaron en todo el mundo unos 140 mil millones de correos basura, que crecen y crecen así como los estudios que muestran su dimensión. Según Meta Grop, en algunas organizaciones, el 40% del tráfico de correo es basura y sobrepasará en julio al correo legítimo. Symantec también ha indagado, sabiendo que los productos "anti-spam" empiezan a ser buen negocio y, pronto, tan imprescindibles como un antivirus: el 37% de los encuestados recibía más de cien correos basura al día. Al 67% le molestaba mucho. El 77% con hijos temía por ellos. En catorce meses, el "spam" ha subido del 8% del total de correo al 41%, afirma Bright Mail Inc. Según esta empresa, un "spammer" puede cobrar 1.500 euros por mandar un millón de mensajes, "lo que significa mil posibles clientes a 1,50 euros por cabeza. Estas personas suelen residir en Estados Unidos, pero usan servidores inseguros de Asia o Sudamérica para mandarlos". EMarketer cifra el coste medio de un "spam", para quien lo envía, en 0,00032 céntimos. Las empresas, que hasta ahora lo veían como una pequeña molestia, empiezan a preocuparse. Según Symantec, el 65% de internautas gasta cada día diez minutos para eliminar el correo basura. El 24%, veinte minutos. CloudMark Inc calcula que recibir diez "spam" diarios por empleado puede costar 86 euros anuales a una compañía, sólo en tiempo perdido. Ferris Research asegura que las empresas norteamericanas pierden anualmente 8,6 mil millones de dólares por culpa del "spam". Las europeas, 2,5 mil millones. Según sus cálculos, se invierten 4,4 segundos en abrir un mensaje, factor que debe añadirse a los gastos en ancho de banda, seguridad y servidores más potentes para soportarlo. * Para ilustrar chiste userfriendly http://ars.userfriendly.org/cartoons/?id=20000728 * Denuncias Agencia de Protección de Datos https://www.agenciaprotecciondatos.org/datb.htm Secretaría de Estado de Telecomunicaciones http://www.setsi.mcyt.es/reclamaciones/reclamaciones.htm Guía Asociación de Usuarios de Internet http://aui.es/consultas/quejas.htm * Enlaces SpamWars Game http://www.elated.com/spamwars Spam Conference http://spamconference.org "The spam problem" http://theory.whirlycott.com/~phil/antispam/rbl-bad/rbl-bad.html "A plan for spam" http://www.paulgraham.com/spam.html Spamdemic Map http://www.cluelessmailers.org/spamdemic/mapfullsize.html EuroCAUCE http://www.euro.cauce.org/en/index.html Abuse.net http://www.abuse.net SpamFAQ http://www.spamfaq.net SpamArchive http://www.spamarchive.org Spamhaus Project http://www.spamhaus.org SpamAssassin http://www.spamassassin.org Spam Laws http://www.spamlaws.com "Cómo anunciarse correctamente en Internet" http://www.ietf.org/internet-drafts/draft-ietf-run-adverts-01.txt RedIRIS sobre "listas negras" http://www.rediris.es/mail/abuso/apoyoln.es.html I Campaña contra el correo no solicitado http://aui.es/contraelspam Directiva europea sobre el "spam" http://aui.es/contraelspam/directiva_ue.htm Informe Asociación de Internautas http://www.internautas.org/article.php?sid=738 LSSI http://www.lssi.es (*) Copyright (C) 2003 Mercè Molist. Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Ganda.A. Usa la actual situación política mundial _____________________________________________________________ http://www.vsantivirus.com/ganda-a.htm Nombre: W32/Ganda.A Tipo: Virus y Gusano de Internet Alias: W32/Ganda.A-mm, WORM.SwedenSux, W32/Ganda@MM, Ganda, W32.Ganda.A@mm, Myzli, SwedenSux, Win32/Ganda.A@mm, PE_GANDA.A Fecha: 16/mar/03 Tamaño: 45,056 bytes (aumenta 567 bytes los archivos PE) Plataformas: Windows 32-bit El 16 de marzo, MessageLabs reportó la primera copia de este gusano, que aparentemente tiene su origen en Suecia. Se trata de un gusano programado en assembler, con capacidad de envío masivo a contactos obtenidos de la libreta de direcciones de Windows. El gusano también funciona como parásito, infectando archivos PE (Portable Executable) en la máquina infectada. Los archivos infectados aumentan su tamaño en 567 bytes. Se les llama parásitos a los virus que requieren de un portador (o host) para propagarse. Se adjuntan a otro programa y se activan cuando ese programa es ejecutado. El virus en los archivos infectados no se reproduce a si mismo. La infección solo sirve para volver a ejecutar al gusano. Los archivos infectados son reconocidos como infectados por W32/Ganda. El gusano crea un "mutex" llamado "SWEDENSUX" para asegurarse que una sola copia está activa en memoria al mismo tiempo. Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Posee su propia rutina SMTP para el envío de los mensajes, de modo que no depende del cliente de correo que tenga instalado el usuario infectado. Para el envío, hace uso de un servidor de correo abierto en Suecia. El asunto de los mensajes propagados pueden venir en inglés o en sueco. El archivo adjunto tiene extensión .SCR (Screen Saver). El remitente que aparece en los mensajes infectados no es el verdadero. Los mensajes creados contienen en su código, el exploit de una vieja vulnerabilidad del Internet Explorer conocida como "IFRAME vulnerability". De este modo, no es necesario abrir el adjunto para que se infecte nuestra computadora con el gusano, si utilizamos una versión anterior a la 5.5 del Outlook Express (o la 5.01 sin el parche correspondiente). El gusano construye el mensaje con direcciones tomadas de la libreta de Windows (Windows Address Book), y otros archivos en la computadora infectada. En concreto, examina archivos con extensiones ".lnk", ".exe", ".scr", ".eml", ".htm", ".html", ".dbx" en la carpeta del escritorio (Por ejemplo: C:\WINDOWS\Escritorio), en el menú de inicio (C:\WINDOWS\Menú Inicio\Programas\Inicio), y en todos los subdirectorios. Utiliza diferentes rutinas para extraer las direcciones, de acuerdo al tipo de archivo examinado. Una de las direcciones seleccionada al azar, es usada para construir la dirección del remitente falso. El mensaje puede tener alguno de los varios asuntos seleccionados de una lista. También se utilizan varios textos en el cuerpo del mensaje, relacionados con el asunto seleccionado. Los textos intentan explotar diversas circunstancias políticas actuales, como por ejemplo el actual momento relacionado con la situación entre Irak y Estados Unidos. El hecho que no estén en español, disminuye bastante las posibilidades de propagación entre usuarios de habla hispana. Estos son los mensajes enviados en inglés (todos con formato HTML): Ejemplo 1: Asunto: Is USA always number one? Texto del mensaje: Some misguided people actually believe that an american life has a greater value than those of other nationalities. Just have a look at this pathetic screensaver and then you'll know what i'm talking about. All the best. Ejemplo 2: Asunto: LINUX. Texto del mensaje: Are you a windows user who is curious about the linux environment? This screensaver gives you a preview of the KDE and GNOME desktops. What's more, LINUX is a free system, meaning anyone can download it. Ejemplo 3: Asunto: GO USA !!!! Texto del mensaje: This screensaver animates the star spangled banner. Please support the US administration in their fight against terror. Thanx a lot! Ejemplo 4: Asunto: Nazi propaganda? Texto del mensaje: This screensaver has been banned in Germany. It contains a number of animated symbols that can be related to the nazi culture. What do you think, is it a legitimate ban or not? Please answer asap. Thanx! Ejemplo 5: Asunto: Disgusting propaganda. Texto del mensaje: Hello! My 12 year old doughter received this screensaver on a CDROM that was sent to her through advertising. I find it disturbing that children are now being targets of nazi organizations. I would appreciate to hear from you on this matter, as soon as possible. Thank you. Ejemplo 6: Asunto: Spy pics. Texto del mensaje: Here's the screensaver i told you about. It contains pictures taken by one of the US spy satellites during one of it's missions over iraq. If you want more of these pic's you know where you can find me. Bye! Ejemplo 7: Asunto: Screensaver advice. Texto del mensaje: Do you think this screensaver could be considered illegal? Would appreciate if you or any one of your friends could check it out and answer as soon as humanly possible. Thanx ! Ejemplo 8: Asunto: Catlover. Texto del mensaje: If you like cats you'll love this screensaver. It's four animated kittens running around on the screen. Contact me for more clipart. Have fun! ;-) Ejemplo 9: Asunto: G.W Bush animation. Texto del mensaje: Here's the animation that the FBI wants to stop. Seems like the feds are trying to put an end to peoples right to say what they think of the US administration. Have fun! Ejemplo 10: Asunto: Is USA a UFO? Texto del mensaje: Have a look at this screensaver, and then tell me that George.W Bush is not an alien ;-) Archivos adjuntos: Cada mensaje lleva un adjunto cuyo nombre consta de dos caracteres seleccionados al azar, y con la extensión .SCR. Por ejemplo: qu.scr sg.scr hg.scr ev.scr Además, el gusano envía un solo mensaje en sueco, con el asunto "DISKRIMINERAD !!!!" a las siguientes direcciones: qruvabzabr@hotmail.com red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se Este mensaje aparenta ser enviados por la dirección skrattahaha@hotmail.com, pero se trata de una dirección falsa. Luego, se envía a todas las direcciones recogidas de la libreta y de archivos, como ya vimos, con los siguientes asuntos en sueco y un mensaje correspondiente a cada asunto, en el mismo idioma (el remitente es elegido al azar de la libreta de direcciones): Är_USA_ett_UFO? Avskyvä rd_reklam. Go ack ack ack.... Hakkors. Katt, hund, kanin. Korkad president. Olaglig_skärmsläckare? Överviktiga_förnedras. Rashets eller inte? Suspekta semaforer. Infección de archivos PE: El gusano intenta infectar archivos con formato PE, como forma de volver a ejecutarse en la máquina infectada. No hay rutina de propagación en los archivos infectados, es decir, un archivo infectado no puede volver a infectar a otro. Aunque si lo puede hacer el gusano una vez en memoria. Los archivos infectados aumentan su tamaño en 567 bytes, que es lo que ocupa el virus. El virus intercepta una llamada a la función API ExitProcess() desde el archivo infectado, redireccionándolo a su propio código, añadido al final del archivo infectado. Esto ejecuta el gusano en memoria y luego continúa el proceso normal. El gusano coloca una marca en los archivos infectados para no volver a hacerlo. En el código del gusano pueden encontrarse el siguiente texto: [WORM.SWEDENSUX] Coded by Uncle Roger in Hõrnsand, Sweden, I am being discriminated by the swedish schoolsystem. This is a response to eight long years of discrimination I support animal-liberators worldwide Otros síntomas de la infección del gusano: La creación de un archivo llamado SCANDISK.EXE en el directorio C:\Windows (el verdadero SCANDISK.EXE en las versiones de Windows que lo traen, está en C:\Windows\System o en C:\Windows\Options\Install). En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Archivos de 45,056 byte con nombres al azar y extensión .EXE en c:\Windows La existencia de las siguientes claves en el registro de Windows (se guardan allí las direcciones recolectadas para el envío de los mensajes): HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent2 Cuando se ejecuta el gusano, el mismo se copia en C:\Windows con el nombre de "Scandisk.exe", "tmpworm.exe", y como "xxxxxxxx.exe" (las "xxxxxxxx" representan 8 caracteres al azar). De este archivo pueden llegar a existir una gran cantidad de copias con diferentes nombres, ya que lo genera el gusano cada vez que se ejecuta. Las siguientes entradas son agregadas al registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ScanDisk = C:\Windows\SCANDISK.exe El gusano posee además la capacidad de finalizar la ejecución de varios programas relacionados con la seguridad (antivirus, cortafuegos, etc.), buscando entradas en las claves de inicio del registro ("Run" y "RunServices" de "HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion") cuyos nombres coincidan con algunas de estas referencias: firewall f-secure kaspersky mcafee norton pc-cillin sophos symantec trend micro virus En Windows 95, 98 y Me, también examina la clave (y subclaves) "HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \VxD". * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Repare o borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ScanDisk 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \SS 5. Pinche en la carpeta "SS" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). 8. Vuelva a ejecutar sus antivirus en modo escaneo, revisando todos sus discos duros (los antivirus deberán estar actualizados previamente). 9. Repare o borre los archivos detectados como infectados. Nota: Si el gusano quitó del registro su antivirus, el mismo deberá ser reinstalado. Si ignora esto, aconsejamos reinstalar el antivirus de todos modos. * Información adicional * Actualizar Internet Explorer Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo: Parches para WinXP e Internet Explorer (MS03-004 y 005) http://www.vsantivirus.com/vulms03-004-005.htm O instale el IE 6.0, Service Pack 1 (SP1): Cómo descargar Internet Explorer 6 SP1 en español http://www.vsantivirus.com/descarga-ie6sp1.htm Y luego actualice su Internet Explorer como se explica aquí: Parches para WinXP e Internet Explorer (MS03-004 y 005) http://www.vsantivirus.com/vulms03-004-005.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Oror.AI. Propagación masiva y borrado de archivos _____________________________________________________________ http://www.vsantivirus.com/oror-ai.htm Nombre: W32/Oror.AI Tipo: Gusano de Internet Alias: W32.HLLW.Oror.AI@mm, W32.HLLW.Oror.AD@mm, W32/Roro.AD@mm, I-Worm.Roron.gen Variantes: W32.HLLW.Oror@mm, W32.HLLW.Oror.B@mm, W32.HLLW.Oror.C@mm Tamaño: 131,072 bytes, 54,784 bytes (UPX) Plataforma: Windows 32-bit Se trata de una variante de la familia del W32/Oror (ver W32/Oror-Fam: http://www.vsantivirus.com/oror-fam.htm). Este gusano intenta propagarse a través del correo electrónico, del mIRC, KaZaa y unidades y recursos compartidos en red. El archivo adjunto a los mensajes de correo electrónico, llega con extensión .EXE o .SCR. El gusano intenta además finalizar la ejecución de conocidos programas de seguridad (antivirus y cortafuegos). Escrito en C++, se encuentra comprimido con la herramienta UPX. Cuando se ejecuta, el gusano intenta enviarse a las direcciones obtenidas de todos los mensajes presentes en la bandeja de entrada del usuario infectado. Posee una destructiva rutina que puede borrar todos los archivos del sistema. Los asuntos de los mensajes varían, así como el nombre del adjunto, que suele tener extensión .EXE y .SCR. También varía su tamaño. Para propagarse a través del mIRC, el gusano busca y modifica el archivo "Script.ini" en la carpeta de instalación del mIRC. De ese modo, enviará una copia de si mismo a todos los participantes del canal de chat en que se encuentre el usuario infectado. Esta versión, parece ser una recompilación de la versión B (http://www.vsantivirus.com/oror-b.htm), con mensajes procedentes de otras variantes (A y C). Seguramente la intención de su autor es crear rápidamente versiones que cada vez sean más difíciles de detectar por los distintos productos antivirus. Más información detallada sobre este gusano, así como las instrucciones para removerlo manualmente, las encontrará en las siguientes referencias: W32/Oror-Fam. Una familia de destructivos gusanos http://www.vsantivirus.com/oror-fam.htm W32/Oror. Borra antivirus y cortafuegos http://www.vsantivirus.com/oror.htm W32/Oror.B. Borra archivos y antivirus, usa IRC y KaZaa http://www.vsantivirus.com/oror-b.htm W32/Oror.D. Se propaga vía redes P2P, IRC, email http://www.vsantivirus.com/oror-d.htm W32/Oror.K. Borra antivirus y cortafuegos http://www.vsantivirus.com/oror-k.htm W32/Oror.Q. Se propaga con una gran variedad de nombres http://www.vsantivirus.com/oror-q.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 984 - Año 7 - Martes 18 de marzo de 2003