| Asunto: | VSantivirus No 2578 Año 11, sábado 10 de noviembre de 2007 | | Fecha: | 10 de Noviembre, 2007 02:38:04 (+0100) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2578 Año 11, sábado 10 de noviembre de 2007
_____________________________________________________________
1 - Troyano simula ser actualización de antivirus
2 - Denegación de servicio en Firefox 2.0.0.9
3 - Adware.AntiVermins. Mensajes de infecciones falsas
4 - Dahij.A. Herramienta utilizada para hackear
_____________________________________________________________
1 - Troyano simula ser actualización de antivirus
_____________________________________________________________
http://www.vsantivirus.com/09-11-07.htm
Troyano simula ser actualización de antivirus
Por Angela Ruiz
angela@videosoft.net.uy
En las últimas horas, se ha reportado un falso mensaje
enviado en forma de spam y en español, que dice provenir de
Symantec.
El mensaje contiene el enlace a una falsa actualización para
este antivirus.
Los datos mostrados por el mensaje son falsos. El enlace
descarga un troyano que puede infectar el sistema del usuario
que lo ejecute.
--- Comienzo del mensaje ---
De: Norton 2008 <symantec @ norton.com>
Asunto: symantec updating
Si su protección de Windows está desactualizada, su empresa
podría pasar a la historia. Desde virus hasta fallas del
sistema y desastres naturales, las amenazas que afectan a su
entorno Windows evolucionan constantemente.
Symantec es un líder de mercado en soluciones de seguridad,
disponibilidad y administración de sistemas.
Brindamos protección completa para sus sistemas, datos y
aplicaciones. Porque no sólo estamos protegiendo su sistema
Windows, sino también su empresa.
Información Adicional [enlace con dirección falsa]
Necesitas:InternetExplorer 6.0, Macromedia Flash Player 8,
Adobe Reader 6.0
© 2003-2007 Radiomovil Dipsa S.A. de C.V. Todos los derechos
reservados.
::Términos y condicioes de uso. Políticas de privacidad::
--- Final del mensaje ---
El archivo descargado (Symantec.exe), es detectado por ESET
NOD32 como el troyano Win32/Rbot.
Es importante recordar que ninguna empresa de seguridad envía
adjuntos de ninguna clase a sus usuarios, y que las
actualizaciones suelen ser descargados automáticamente, o
manualmente desde las páginas del fabricante.
De todos modos, recuerde que jamás debe abrir adjuntos no
solicitados, aún cuando sean de personas o instituciones
conocidas, ya que los remitentes pueden haber sido
falsificados.
* Relacionados:
Troyano simula ser actualización crítica de Microsoft
http://www.vsantivirus.com/26-06-07.htm
Descarga de troyano en falso mensaje de Microsoft
http://www.vsantivirus.com/phis-banker-150306.htm
Falso anuncio de parche acumulativo de Microsoft
http://www.vsantivirus.com/20-05-05.htm
Mensaje con falsa actualización de Microsoft
http://www.vsantivirus.com/28-01-05.htm
¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado!
http://www.vsantivirus.com/lz-ms-adjuntos.htm
Falso boletín de seguridad de Microsoft
http://www.vsantivirus.com/30-06-05.htm
Falso parche de seguridad de Microsoft (Explorer.exe)
http://www.vsantivirus.com/phishing-security-bugfix-3435.htm
Falso boletín de seguridad que descarga un troyano
http://www.vsantivirus.com/21-12-05.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Denegación de servicio en Firefox 2.0.0.9
_____________________________________________________________
http://www.vsantivirus.com/vul-firefox-dos-021107.htm
Denegación de servicio en Firefox 2.0.0.9
Por Angela Ruiz
angela@videosoft.net.uy
Un nuevo fallo ha sido descubierto en el recién publicado
Firefox 2.0.0.9. Recordemos que esta versión corregía
múltiples problemas agregados por la anterior (y también
reciente), versión 2.0.0.8.
Esto significa que en poco menos de un mes, es probable se
publiquen 3 versiones de Firefox, si es que Mozilla lanza la
2.0.0.10 para solucionar este nuevo problema, que por ahora
no tiene solución.
Existe una prueba de concepto, que demuestra como Firefox
deja de responder y se congela, por visitar una simple página
web construida de forma maliciosa.
Se trata de una vulnerabilidad del tipo denegación de
servicio (DoS), que hace que el programa consuma todos los
recursos del sistema cuando intenta visualizar determinado
código embebido en la página web.
La vulnerabilidad fue hecha pública el mismo día de
publicación de la versión 2.0.0.9
* Más información:
Firefox 2.0.0.9 remote DoS vulnerability
http://seclists.org/fulldisclosure/2007/Nov/0079.html
* Relacionados:
Firefox 2.0.0.9 corrige "regresiones" del 2.0.0.8
http://www.vsantivirus.com/firefox-021107.htm
Firefox 2.0.0.8 corrige importantes vulnerabilidades
http://www.vsantivirus.com/firefox-181007.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Adware.AntiVermins. Mensajes de infecciones falsas
_____________________________________________________________
http://www.vsantivirus.com/adware-antivermins.htm
Nombre: Adware.AntiVermins
Nombre NOD32: Win32/Adware.AntiVermins
Tipo: Caballo de Troya
Alias: Adware.AntiVermins, Win32/Adware.AntiVermins
Fecha: 19/abr/07
Actualizado: 9/nov/07
Plataforma: Windows 32-bit
Tamaño: varios
Se trata de un software que simula ser un antispyware que se
instala sin la autorización del usuario. Luego muestra falsas
alertas de virus incitando al usuario a que compre el
producto comercial para eliminarlos.
Además de ser un grave peligro para la seguridad, puede
interferir en el normal funcionamiento del equipo infectado,
causando enlentecimientos de algunas acciones, y la
generación de actividad en la conexión a Internet y a la red
local, y consumo del ancho de banda.
Cuando se ejecuta, puede crear algunas de las siguientes
carpetas y archivos en el equipo infectado:
[Archivos de programa]\AntiVermins\AntiVermins.exe
[Archivos de programa]\AntiVerminser\AntiVerminser.exe
c:\windows\system32\cthkpcv.dll
c:\windows\system32\geplxss.dll
c:\windows\system32\kuhmk.dll
c:\windows\system32\vwfps.dll
NOTA: [Archivos de programa] puede ser la carpeta
"c:\archivos de programa" o "[Archivos de programa]"
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También crea una de las siguientes entradas en el registro de
Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
AntiVermins = "[Archivos de
programa]\AntiVermins\AntiVermins.exe /h"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
AntiVerminser = "[Archivos de
programa]\AntiVerminser\AntiVerminser.exe /h"
Los siguientes identificadores CLSID (Class identifier, o
Identificador de clase), pueden ser creados en el registro de
Windows para que el troyano pueda actuar como un BHO (Browser
Helper Object), de modo de inyectarse en cada nueva instancia
del Internet Explorer, o como barra de herramientas, etc.:
{1A1DDC19-5893-43AB-A73F-F41A0F34D115}
{5D4831E0-5A7C-4A46-AFD5-A79AB8CE36C2}
{7B1EECCD-0A6D-4AD5-8AC1-4AF5722B3885}
{951A98D0-DAD6-4A77-8280-A494279A884B}
{B59F3BA4-98DA-4B5F-8A2D-7B56FB11140B}
* Reparación manual
NOTA: Esta descripción se aplica a una variante específica de
un determinado malware. Pueden existir numerosas versiones,
detectadas por ESET NOD32 con el mismo nombre, que no
necesariamente realizarán los mismos cambios en el sistema
que aquí se describen.
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el editor del registro haga clic en "Mi PC" de la
ventana de la izquierda.
3. Seleccione el menú desplegable "Edición", "Buscar", y
escriba en la ventana "Buscar" que será desplegada cada una
de las siguientes claves CLSID (una por vez):
{1A1DDC19-5893-43AB-A73F-F41A0F34D115}
{5D4831E0-5A7C-4A46-AFD5-A79AB8CE36C2}
{7B1EECCD-0A6D-4AD5-8AC1-4AF5722B3885}
{951A98D0-DAD6-4A77-8280-A494279A884B}
{B59F3BA4-98DA-4B5F-8A2D-7B56FB11140B}
4. Haga clic en el botón "Buscar siguiente" y borre todas las
apariciones de cada una de dichas claves (borre todas las
carpetas y otras entradas con esos nombres, reiterando los
puntos 3 y 4 hasta encontrar y borrar a todas ellas).
5. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 6 del ítem
"Antivirus".
7. Cierre el editor del registro.
8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia (o haga clic en "Página en
blanco"). O navegue hacia una página de su agrado, haga clic
en Herramientas, Opciones de Internet, General, y finalmente
haga clic en "Usar actual".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
Cómo restaurar página de inicio y búsqueda en IE
http://www.vsantivirus.com/faq-inicio-busqueda.htm
Utilización de la Consola de Recuperación en Windows XP
http://www.vsantivirus.com/consola-recuperacion-xp.htm
Deshabilitar restauración del sistema en Windows Vista
http://www.vsantivirus.com/faq-winvista.htm
Deshabilitar restauración del sistema en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Deshabilitar restauración del sistema en Windows Me
http://www.vsantivirus.com/faq-winme.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Dahij.A. Herramienta utilizada para hackear
_____________________________________________________________
http://www.vsantivirus.com/dahij-a.htm
Nombre: Dahij.A
Nombre NOD32: Win32/Dahij.A
Tipo: Caballo de Troya
Alias: Dahij.A, Win32/Dahij.A
Fecha: 9/nov/07
Plataforma: Windows 32-bit
Tamaño: 358,490 bytes; 94,208 bytes
Se trata de una herramienta de hackeo que puede descargar
archivos adicionales de Internet. El atacante que tome
control de ella mediante un login ya establecido, podrá
realizar diferentes acciones.
Cuando se instala, crea las siguientes carpetas y archivos:
[Archivos de programa]\e-jihad3
[Archivos de programa]\e-jihad3\e-Jihad.exe
[Archivos de programa]\e-jihad3\MSWINSCK.OCX
[Archivos de programa]\e-jihad3\unins000.dat
[Archivos de programa]\e-jihad3\unins000.exe
NOTA: [Archivos de programa] puede ser la carpeta
"c:\archivos de programa" o "c:\program files"
Luego, intenta conectarse a diferentes sitios de Internet
para descargar y ejecutar otros malwares.
El troyano no se propaga por si mismo. Puede llegar a nuestro
PC al ser copiado manualmente en el sistema, o al ser
descargado intencionalmente o mediante engaños de algún sitio
malicioso, o de redes de intercambio de archivos P2P.
* Reparación manual
NOTA: Esta descripción se aplica a una variante específica de
un determinado malware. Pueden existir numerosas versiones,
detectadas por ESET NOD32 con el mismo nombre, que no
necesariamente realizarán los mismos cambios en el sistema
que aquí se describen.
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
Cómo restaurar página de inicio y búsqueda en IE
http://www.vsantivirus.com/faq-inicio-busqueda.htm
Utilización de la Consola de Recuperación en Windows XP
http://www.vsantivirus.com/consola-recuperacion-xp.htm
Deshabilitar restauración del sistema en Windows Vista
http://www.vsantivirus.com/faq-winvista.htm
Deshabilitar restauración del sistema en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Deshabilitar restauración del sistema en Windows Me
http://www.vsantivirus.com/faq-winme.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2578 Año 11, sábado 10 de noviembre de 2007
|
VSantivirus No 257
Responder a este mensaje
