Mostrando mensaje 172     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1123 Año 7, Lunes 4 de agosto de 2003 Fecha: Lunes, 4 de Agosto, 2003  00:04:42 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1123 Año 7, Lunes 4 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Dando palos de ciego 2 - El CAT recomienda ser proactivos frente a los virus 3 - Troj/Haher.A. Abre ventanas con el título HAHA 4 - Troj/Backdoor.Sumtax.A. Herramientas de acceso remoto _____________________________________________________________ 1 - Dando palos de ciego _____________________________________________________________ http://www.vsantivirus.com/cu-donkeymania.htm Dando palos de ciego Por Carlosues (desde España) carlosues@videosoft.net.uy Después del asunto de las supuestas denuncias a usuarios P2P que quedaron en eso, en supuestos (ver http://www.vsantivirus.com/susto-muerte.htm y http://www.vsantivirus.com/cs-susto-muerte.htm), nos despertamos hoy con el cierre de Donkeymania (http://www.edonkeymania.com/) por parte de un juez de Madrid, para continuar con el apercibimiento judicial de cierre para Google y otros buscadores acusados de colaborar en la búsqueda de estas páginas. Creo que esto se merece una reflexión profunda, veo que se dan muchos palos de ciego y me pregunto si persiste el trasfondo de seguir asustando a los usuarios de P2P. Que cierren una web de e-links es algo que se encuadra en la mas estricta legalidad, tienen secciones en las que cualquier persona puede ver catálogos de software propietario, desde la gama Adobe a Macromedia pasando por los SO de Microsoft, anuncian tamaño, veces que se ha descargado, idioma etc. También se pueden ver las películas recién estrenadas y que no se exhiben en los circuitos de videoclubes todavía. Carátula, duración, sistema de compresión empleado etc.; es imposible alegar que la persona o personas que realizan el mantenimiento de esta página y vigilan e-links rotos ignoran el contenido. Hasta aquí bien, es de justicia. Apercibir de cierre a los buscadores... Ya me empiezo a perder otra vez, si un buscador encuentra Warez es porque un webmaster a puesto Warez en su web, son herramientas que realizan una búsqueda en base a unos parámetros que se le dan. ¿Cerrarán las Páginas Amarillas o La Guía del Ocio?. Estas publicaciones nos presentan las direcciones y anuncios de locales de ocio donde se practica la prostitución y en algunos casos se ha demostrado que se distribuyen drogas. ¿Son culpables estas publicaciones?. Creo que volvemos a la exageración y al desvarío. ¿Declaramos ilegales tanto el lenguaje assembler como las herramientas al efecto y los debbugers porque sirven para crackear programas?. Estamos entrando en una espiral que en algún punto debería detenerse y a ser posible un punto donde todavía se aprecie la cordura. Seguiremos atentamente esta nueva "Serpiente de Verano". * Contenido de la página principal de Donkeymania AVISO IMPORTANTE, CON NOVEDADES 01/08/2003 21:48:08 por Donkeymania AVISO IMPORTANTE: En virtud de orden dictada por un Juzgado de Madrid, está página web será cerrada antes del próximo 5 de agosto. El motivo es que nos acusan de un delito contra la propiedad intelectual, por los enlaces que se publican en la web. Como todos sabéis, está página consiste en una programación PHP, de forma que todos vosotros la alimentáis con vuestros comentarios y enlaces. En Donkeymania no hay ningún archivo ni contenido en concreto. Es una página cuyo único "delito" es permitir un espacio para que los usuarios suministren información y enlaces, debiendo ser cada uno responsable de lo que hace con esa información. Donkeymania no distribuye archivos ni obras audiovisuales, simplemente publica la información y los enlaces que suministran sus colaboradores, en lo que entendemos un ejercicio de la Libertad de Expresión y de forma análoga a lo que hacen muchos buscadores y motores de búsqueda, es decir, organizar la información. Antes del inicio de este procedimiento, no habíamos recibido ninguna comunicación que indicara que alguno de los archivos o páginas enlazadas fueran ilícitas, por lo que consideramos que por el hecho de suministrar información, no puede incurrirse en delito alguno. No obstante, y sin perjuicio del planteamiento de los recursos pertinentes, acataremos plenamente la resolución judicial dictada, y antes del 5 de agosto la página quedará cerrada cautelarmente durante al menos 6 meses. A partir del lunes 4 de agosto habilitaremos la página www.juicioedonkey.com donde iremos explicando los pormenores, datos y novedades que se vayan sucediendo entorno a la orden dictada por un Juzgado de Madrid respecto a la web www.donkeymania.com. Con esta medida queremos hacer llegar a toda persona interesada en este tema la máxima información posible y que esta no se pierda en el olvido. * Artículos de interés: http://www.kriptopolis.com/ http://iblnews.com/noticias/08/83362.html http://www.zetatop.com/pulso/tecnologia.asp?codsitio=30 http://www.beeeeee.net/nautopia/libertades_civiles/enlazar_P2P_ilegal.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - El CAT recomienda ser proactivos frente a los virus _____________________________________________________________ http://www.vsantivirus.com/ar-cat-proactivo.htm El CAT recomienda ser proactivos frente a los virus Por Angela Ruiz angela@videosoft.net.uy El CAT (Centro de Alerta Temprana sobre Virus y Seguridad Informática), órgano dependiente del Ministerio de Ciencia y Tecnología de España, recordó esta semana que la aparición de virus informáticos suele incrementarse hasta en un veinte por ciento durante las vacaciones de verano (en el hemisferio norte), respecto al resto del año, por lo que aconseja extremar las precauciones para que los usuarios protejan sus computadoras conectadas a Internet "del mismo modo que se protege una vivienda". En el comunicado hecho público por el CAT, se dan algunas recomendaciones, aconsejándose fundamentalmente ser "proactivos" (actuar antes de que ocurra una infección), instalando las "herramientas básicas de seguridad informática antes de irse de vacaciones". Entre las principales medidas, el CAT recomienda utilizar siempre software legal, contar con un sistema antivirus programado para que revise periódicamente su PC, instalar cortafuegos personales, aplicar los parches de seguridad respectivos, mantenerse alerta con todos los correos electrónicos no solicitados, incluso con los que vengan de conocidos, y comprobar la autenticidad del remitente cuando resulten sospechosos, antes de abrirlos. Otro de los consejos es mantenerse permanentemente informado de todas las alertas de virus que surjan durante el período de asueto, teniendo en cuenta que se produce la "conjunción" del incremento del uso de Internet en esta época y un "peligro potencial superior a la media". Todas estas recomendaciones, que nunca están de más, son las mismas que desde VSAntivirus venimos divulgando para ser aplicadas durante todo el año. Recordemos que los virus informáticos no conocen de fronteras ni de diferencias de estaciones. * Relacionados: CAT (Centro de Alerta Temprana) http://www.alertaantivirus.es/ (c) Video Soft - http://www.videosoft.net.uy (a) (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Haher.A. Abre ventanas con el título HAHA _____________________________________________________________ http://www.vsantivirus.com/haher-a.htm Nombre: Troj/Haher.A Tipo: Caballo de Troya Alias: Haher, Trj/W32.Haher, Trojan.Win32.Haher, Win32/Haher.A Fecha: 30/jul/03 Plataforma: Windows 32-bit Tamaño: 57,344 bytes Este caballo de Troya está escrito en assembler, y su única acción al ejecutarse, es abrir infinidad de ventanas, todas con el título "HAHA", hasta agotar los recursos disponibles. No posee rutinas de propagación, y suele distribuirse manualmente, por lo general simulando ser alguna inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. Es un archivo en formato PE EXE, que puede tener cualquier nombre, originalmente HA.EXE. * Reparación manual * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Backdoor.Sumtax.A. Herramientas de acceso remoto _____________________________________________________________ http://www.vsantivirus.com/back-sumtax-a.htm Nombre: Troj/Backdoor.Sumtax.A Tipo: Caballo de Troya Alias: Backdoor.Sumtax Fecha: 1/ago/03 Plataforma: Windows 32-bit Este troyano está compuesto de varias utilidades que proporcionan a un atacante las herramientas para ingresar en forma remota y clandestina a la computadora de su víctima. Cuando se ejecuta, crea la carpeta "Bin" y "X": c:\windows\system32\security\bin\x Y copia los siguientes archivos en dicha carpeta: delete.bat die.exe ks.bat pass.bat perform.ini regkeyadd.reg remote.ini restart.bat s.bat script1.ini script2.ini secure.bat secure.exe secure_all.bat serv-u.ini setup.bat start.txt sys.txt update1.bat wm.txt También copia los siguientes elementos, todos ellos herramientas legítimas o archivos inofensivos: abc.dll blah.txt bugslayerutil.dll cygwin1.dll ip.txt jasfv.dll jasfv.ini kill.exe moo.dll oncrpc.dll psexec.exe servucrashreport.txt servudaemon.ini servustartuplog.txt setup.exe ttg.exe tzolibr.dll xscan.exe Genera las siguientes entradas en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run rundll134 = [path]die.exe [path]ttg.exe rundll569 = [path]die.exe [path]secure.exe [path]X rundll777 = [path]die.exe [path]mdll.exe rundll946 = [path]die.exe [path]secure.bat Donde [path] es "c:\windows\system32\security\bin\" Estas herramientas proporcionan al atacante las siguientes acciones: - Borrar archivos - Carga y descarga de archivos - Ejecutar archivos - Ejecutar escaneo de vulnerabilidades en el sistema remoto - Intentar copiar y ejecutar ttg.exe en un sistema remoto * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Borre también la carpeta "Bin" y todo su contenido. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: rundll134 rundll569 rundll777 rundll946 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1123 Año 7, Lunes 4 de agosto de 2003