| Asunto: | VSantivirus No. 1134 Año 7, Viernes 15 de agosto de 2003 | | Fecha: | Viernes, 15 de Agosto, 2003 03:59:13 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1134 Año 7, Viernes 15 de agosto de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Después de todo, es un simple gusano...
2 - Microsoft se prepara para el gran "ataque" del Blaster
3 - W32/Urick.D. Se propaga a través de la red KaZaa
4 - W32/Urick.E. Se propaga a través de la red KaZaa
5 - W32/Randex.F. Gusano y caballo de Troya, usa RPC/DCOM
6 - Troj/Fresh.20.A. Troyano que "libera" a Lovsan.C
_____________________________________________________________
1 - Después de todo, es un simple gusano...
_____________________________________________________________
http://www.vsantivirus.com/apagon14-08-03.htm
Después de todo, es un simple gusano...
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Un gran apagón afecta desde la tarde de este jueves (14 de
agosto), a varias ciudades del nordeste de Estados Unidos y
Canadá, interrumpiendo el suministro de electricidad a Nueva
York y a otra docena de localidades de la región (CNN).
Según los técnicos responsables y otras autoridades, los
cortes eléctricos fueron ocasionados por una sobrecarga, y no
por un acto terrorista (CNN).
La fuente del apagón es el sistema eléctrico cuyo flujo es
proporcionado por la compañía Niagara Mohawk, que provee de
energía a casi un millón y medio de abonados en todo el
estado de Nueva York y otras zonas del noreste de Estados
Unidos y partes de Canadá.
Algunos relacionaron esto con el Lovsan (o Blaster), el
gusano que comenzó a propagarse por Internet apenas el lunes
11. Expertos como Alan Paller, del SANS Institute, piensan
que es poco probable que haya alguna conexión con el virus.
"Internet está construida para no preocuparse de eso (...)
Está diseñada para funcionar", dijo (CNN).
Tampoco para el CERT, el Equipo de Respuestas de Emergencias
Informáticas de la universidad Carnegie Mellon, parece haber
información disponible (en este momento), que indique que los
apagones estén relacionados con la actividad de intrusos
(CNN).
Sin embargo, lo que si es cierto, es que dicho gusano puede
llegar a ocasionar otro tipo de "apagón", cuando el próximo
sábado (16 de agosto), comience a atacar en forma masiva, al
sitio de actualizaciones de Windows Update.
Lovsan ha infectado cientos de miles de equipos. Todas las
computadoras infectadas actuarían en conjunto, enviando
millones de datos al sitio de Microsoft, en ráfagas de pocos
milisegundos, que provocará, en el mejor de los casos, la
imposibilidad de acceder a las actualizaciones de Windows.
Entre ellas está la propia "cura" que debería impedir que
este gusano se propague.
Actualmente existen tres versiones del gusano, y las tres
están preparadas para iniciar este ataque. La diferencia
horaria, provocará que el mismo se produzca en forma
escalonada.
El momento exacto será entre la media noche del viernes 15 al
sábado 16. "Sólo cuando el sitio de Microsoft sea atacado
podremos tener una idea de la propagación real del Blaster.
Es posible que el primer ataque tenga lugar a media noche en
la zona de Asia-Pacífico, comienzo de la noche en Europa. Y
es posible que estos primeros ataques tengan el efecto de
bola de nieve durante todo el día a medida que el resto del
mundo se despierte", dice Annie Gay, Directora General de
Sophos para Europa del Sur (Sophos).
Ciertamente, muchos de los usuarios infectados, pueden
ignorar aún que lo están. Si bien las primeras versiones
conocidas provocan un error que muestra un notorio mensaje
que indica que algo anda mal ("Windows debe reiniciar ahora
porque el servicio Llamada a procedimiento remoto (RPC)
terminó de forma inesperada"), no todas las posibles nuevas
variantes de este, u otro gusano, podrían comportarse igual.
Y de todos modos, existen muchos usuarios que piensan que
esto es un error del sistema operativo o de su equipo, y no
hacen nada para encontrar la verdadera causa.
¿Y cuál es la relación con el apagón mencionado al principio,
y esta acción premeditada del Lovsan contra el sitio de
Microsoft?.
Desde el 11 de setiembre de 2001, la actitud de los
norteamericanos contra la posibilidad de cualquier tipo de
ataque a su territorio ha cambiado radicalmente. Y en ese
entorno, mucho se ha hablado del terrorismo cibernético.
Pero como expresó un experto antes, Internet está preparada
para resistir una catástrofe. Ahora mismo ello es evidente.
Sin embargo, si intentamos acceder a algunos sitios de
Internet, podemos encontrarnos con algunas dificultades
(sobre todo si los sitios están en Nueva York).
Tal vez no tenga en este momento mucha relación un gigantesco
apagón que causa pánico a medida que avanza la noche en los
EE.UU, con un gusano que se vale mayoritariamente de la
crónica estupidez de internautas que insisten en quitarse de
encima las protecciones que por defecto trae su sistema
operativo ("porque no puedo conectarme con KaZaa").
Pero si combinamos estos ingredientes, no hay que imaginarse
mucho para entender que no es descabellado que a alguien se
le ocurra la forma de iniciar un verdadero efecto "bola de
nieve". Porque después de todo, hay muchas clases de
"terrorismo"...
"¿Será ésta la respuesta a los recientes esfuerzos de
Microsoft para proteger como sea su software, hasta
'comprando' unos pequeños productores antivirus?. O será
meramente la primera batalla de una larga guerra?.
Probablemente, pero no somos nosotros quienes deberíamos
afirmarlo... Sin embargo, éste podría ser el comienzo de una
'campaña' iniciada por los grupos de creadores de virus y
llevada a cabo por los aficionados a los códigos virales",
comenta Bogdan Irina, Director Comercial de BitDefender
(BitDefender).
Después de todo, el Lovsan es un simple gusano. Después de
todo, no nos hubiera infectado si los cortafuegos hubieran
estado activos (por defecto, lo están en una instalación de
Windows XP).
Y después de todo el apagón es real...
* Relacionados:
Una pieza más del dominó, o un simple espectador
http://www.vsantivirus.com/lz-domino.htm
Microsoft se prepara para el gran "ataque" del Blaster
http://www.vsantivirus.com/lz14-08-03.htm
Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm
W32/Lovsan.A (MSBlast). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Microsoft se prepara para el gran "ataque" del Blaster
_____________________________________________________________
http://www.vsantivirus.com/lz14-08-03.htm
Microsoft se prepara para el gran "ataque" del Blaster
Por Lissette Zapata
liszapata@videosoft.net.uy
A pocas horas de comenzar el ataque de denegación de servicio
(DoS) contra la pagina principal de descargas de
actualización de programas de Microsoft,
(www.windowsupdate.com) el gigante informático está
preparado.
Se estima que el gusano, ha infectado hasta ahora, cerca de
180,000 computadoras (ver
http://www.mynetwatchman.com/msblast.htm). Para otros (como
Kaspersky Labs), la cifra llegaría a las 300,000.
Blaster (conocido también como Lovsan), se dirige a
computadoras que operan los populares sistemas operativos
Windows 2000, Windows XP, Windows NT y Windows Server 2003.
Pero este gusano tiene además, una misión específica, atacar
el sitio de www.windowsupdate.com de Microsoft, el cuál posee
las actualizaciones necesarias para corregir fallos como los
que permiten la propagación del propio Lovsan.
Microsoft sugiere a todos los administradores y usuarios de
Windows acudir a su sitio y descargar el parche -código
reparador- que corrige el problema. Para el caso de máquinas
no conectadas en red, el parche puede ser instalado mediante
la función de actualización automática de Windows.
Asimismo, las principales compañías de seguridad informática
y antivirus ofrecen en sus sitios, herramientas de detección
y reparación en línea. En la mayoría de los casos, el
servicio es ofrecido gratuitamente.
Los expertos informáticos dijeron que el gusano había sido
programado para dar de baja el sitio de www.windowsupdate.com
el 16 de agosto (pero según el código del gusano,
continuarían en períodos específicos durante todo el año).
Microsoft asegura que está tomando las precauciones para
mantener el sitio en funcionamiento. "Haremos todo para
asegurar que las visitas al cibersitio (de seguridad) sean
una experiencia segura", dijo el portavoz.
Microsoft dijo que el gusano ataca algunos sistemas e infecta
a otros, pero, por otra parte, no daña. "Ciertamente, no es
una buena cosa", pero "no se ha propagado a la velocidad con
la que lo hicieron los gusanos más conocidos, como Slammer,
ILoveYou y CodeRed", dijo el portavoz de Microsoft, Sean
Sundwall.
* Relacionados:
W32/Lovsan.A (MSBlast). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm
Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm
Después de todo, es un simple gusano...
http://www.vsantivirus.com/apagon14-08-03.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Urick.D. Se propaga a través de la red KaZaa
_____________________________________________________________
http://www.vsantivirus.com/urick-d.htm
Nombre: W32/Urick.D
Tipo: Gusano de Internet (P2P)
Alias: URICK.D, W32/Urick.d@MM, Worm/Urick.D, I-Worm.Urick.d
Fecha: 13/ago/03
Plataforma: Windows 32-bit
Tamaño: 8,192 bytes
Este gusano de envío masivo, utiliza la red de intercambios
de archivos KaZaa para propagarse.
Cuando se ejecuta, el gusano se copia a si mismo en el
directorio raíz del disco C, y en la carpeta personal del
usuario infectado (Mis documentos), con los siguientes
nombres:
c:\msdos.exe
c:\mis documentos\sex rated.doc.exe
"Mis documentos" ("My documents" en inglés), tiene diferentes
ubicaciones de acuerdo a la versión de Windows instalada.
También agrega al registro la siguiente entrada, para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = C:\MSDOS.EXE
Para propagarse a través de la red P2P, KaZaa, el gusano
modifica las siguientes entradas en el registro:
HKCU\Software\Kazaa\LocalContent
dir0 = 012345:C:\
HKCU\Software\Kazaa\LocalContent
dir1 = 012345:C:\Mis Documentos
Contiene una rutina maliciosa que deshabilita el botón de
"Inicio" ("Start" en inglés), en Windows NT, 2000 y XP. Esto
no funciona en Windows 95/98.
Al ejecutarse muestra una ventana de texto con el siguiente
mensaje:
The trick worked
En las versiones en español, en caso de desaparecer el botón
de "Inicio", puede accederse a las opciones del menú con la
tecla de Windows, o pulsando CTRL+ESC.
* Reparación manual
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Remoción del troyano utilizando "Process Explorer"
Antes de eliminar este troyano, es necesario detener su
ejecución en memoria. Puede usarse el administrador de tareas
de Windows, pero en Windows 95, 98 y Me, no todas las tareas
en ejecución son visibles. Por ello se sugiere la herramienta
de uso gratuito "Process Explorer" (100 Kb), que puede ser
descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta,
copie allí el contenido del archivo .ZIP descargado y ejecute
el archivo PROCEXP.EXE.
Bajo la columna "Process" de la ventana superior de la
utilidad "Process Explorer", localice y "mate" (Kill
Process), el/los siguientes procesos:
C:\MSDOS.EXE
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\msdos.exe
c:\mis documentos\sex rated.doc.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
3. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
(Predeterminado) = C:\MSDOS.EXE
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
5. Pinche en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas:
dir0
dir1
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Urick.E. Se propaga a través de la red KaZaa
_____________________________________________________________
http://www.vsantivirus.com/urick-e.htm
Nombre: W32/Urick.E
Tipo: Gusano de Internet (P2P)
Alias: Worm/Urick.E, I-Worm.Urick.e
Fecha: 13/ago/03
Plataforma: Windows 32-bit
Tamaño: 13,704 bytes
Este gusano de envío masivo, utiliza la red de intercambios
de archivos KaZaa para propagarse.
Cuando se ejecuta, el gusano se copia a si mismo en el
directorio raíz del disco C, y en la carpeta personal del
usuario infectado (Mis documentos), con los siguientes
nombres:
c:\black_worm.exe
c:\mis documentos\[cualquier nombre].doc.exe
"Mis documentos" ("My documents" en inglés), tiene diferentes
ubicaciones de acuerdo a la versión de Windows instalada.
También agrega al registro la siguiente entrada, para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = C:\BLACK_WORM.EXE
Para propagarse a través de la red P2P, KaZaa, el gusano
modifica las siguientes entradas en el registro:
HKCU\Software\Kazaa\LocalContent
dir0 = 012345:C:\
HKCU\Software\Kazaa\LocalContent
dir1 = 012345:C:\Mis Documentos
Contiene una rutina maliciosa que deshabilita el botón de
"Inicio" ("Start" en inglés), en Windows NT, 2000 y XP. Esto
no funciona en Windows 95/98.
Al ejecutarse muestra una ventana de texto con el siguiente
mensaje:
The trick worked
En las versiones en español, en caso de desaparecer el botón
de "Inicio", puede accederse a las opciones del menú con la
tecla de Windows, o pulsando CTRL+ESC.
* Reparación manual
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Remoción del troyano utilizando "Process Explorer"
Antes de eliminar este troyano, es necesario detener su
ejecución en memoria. Puede usarse el administrador de tareas
de Windows, pero en Windows 95, 98 y Me, no todas las tareas
en ejecución son visibles. Por ello se sugiere la herramienta
de uso gratuito "Process Explorer" (100 Kb), que puede ser
descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta,
copie allí el contenido del archivo .ZIP descargado y ejecute
el archivo PROCEXP.EXE.
Bajo la columna "Process" de la ventana superior de la
utilidad "Process Explorer", localice y "mate" (Kill
Process), el/los siguientes procesos:
C:\BLACK_WORM.EXE
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\black_worm.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
3. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
(Predeterminado) = C:\BLACK_WORM.EXE
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
5. Pinche en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas:
dir0
dir1
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Randex.F. Gusano y caballo de Troya, usa RPC/DCOM
_____________________________________________________________
http://www.vsantivirus.com/randex-f.htm
Nombre: W32/Randex.F
Tipo: Gusano de Internet
Alias: W32.Randex.F, IRC-BBot, WORM_RPCSDBOT.B,
W32/Spybot.worm.md, TrojanDropper.Win32.Small.bd
Fecha: 13/ago/03
Tamaño: 24,064 bytes, 43,520 bytes
Plataforma: Windows NT, 2000 y XP
Variante idéntica a W32/Randex.E, pero con diferente nombres
de archivos. Escrito en Microsoft Visual C++ y comprimido con
la utilidad UPX, se propaga en Windows XP, 2000 y NT,
copiándose en computadoras que no poseen el parche para la
vulnerabilidad DCOM/RPC. Utiliza los puertos TCP/113,
TCP/4444 y UDP/69.
También libera un caballo de Troya (Backdoor.Trojan), con
capacidades de backdoor, que puede ser controlado vía IRC por
un atacante.
El gusano se copia a si mismo en las siguientes carpetas:
c:\windows\system32\nstask32.exe
c:\windows\system32\winsock32drv.dll
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Además se copia en la carpeta TEMP de Windows con nombres
generados al azar.
NOTA: "\TEMP" puede ser "C:\Windows\TEMP" en Windows 9x/ME y
"C:\Documents and Settings\[usuario]\Local Settings\TEMP" en
Windows NT, XP, 2000 y Server 2003.
Crea los siguientes archivos .DLL cuando se ejecute desde la
máquina infectada por primera vez:
c:\windows\system32\win32sockdrv.dll
c:\windows\system32\yuetyutr.dll
El gusano inyecta uno de estos DLL en el mismo proceso actual
del explorador de Windows (EXPLORER.EXE). Este archivo le
permitirá propagarse a través del IRC (Internet Relay Chat),
y también será usado para explotar la vulnerabilidad en la
interface RPC/DCOM que permite la ejecución arbitraria de
código.
También crea alguna de las siguientes entradas en el registro
para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
NDplDeamon = nstask32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
NDpLDeamon = winsock32drv.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NDplDeamon = nstask32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NDpLDeamon = winsock32drv.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winlogon = winsock32drv.dll
También modifica el archivo C:\SYSTEM.INI:
[boot]
shell = explorer.exe [el ejecutable del gusano]
En Windows NT, 2000 o XP, agrega la siguiente entrada en el
registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe [el ejecutable del gusano]
El gusano posee su propio cliente de IRC, que le permite
conectarse a un servidor y a un canal específico, para
recibir las instrucciones de un usuario remoto.
Uno de estos comandos le permitirá explotar la vulnerabilidad
RPC/DCOM.
El gusano genera direcciones IP al azar, y comprueba con un
PING cada una de esas direcciones, buscando la existencia de
una computadora que responda.
Cuando ello ocurre, envía datos a través del puerto TCP/113
para explotar la falla de la interface RPC, y copiar con
atributos de oculto (+H) el comando de Windows, CMD.EXE, para
luego ejecutarlo.
Esto crea un shell remoto (intérprete de comandos), que
permanece escuchando por el puerto TCP/4444, a la espera de
que un intruso envíe alguna orden a la computadora infectada.
Además genera un proceso como servidor TFTP (servidor Trivial
FTP), en el puerto UDP/69. De ese modo, cuando el gusano
recibe una solicitud de la computadora con la que se conecta
usando el exploit RPC/DCOM, envía por TFTP, los archivos
NSTASK32.EXE o WINSOCK32DRV.DLL. También envía los comandos
para ejecutar al gusano en forma remota.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Finalizando el proceso del virus en memoria
Para eliminar manualmente este gusano de un sistema
infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria, pulsando
CTRL+SHIFT+ESC (Windows NT/2000 y XP)
2. En la lista de procesos, señale lo(s) siguiente(s):
NSTASK32.EXE
WINSOCK32DRV.DLL
3. Seleccione el botón de finalizar tarea.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\nstask32.exe
c:\windows\system32\winsock32drv.dll
c:\windows\system32\win32sockdrv.dll
c:\windows\system32\yuetyutr.dll
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
NDplDeamon
winlogon
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Runonce
5. Pinche en la carpeta "Runonce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
NDplDeamon
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
7. Pinche en la carpeta "Winlogon" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Editar el archivo SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell = explorer.exe [archivo del gusano]
y déjelo así:
[boot]
shell = explorer.exe
3. Grabe los cambios y salga del bloc de notas
4. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la
interface RPC (Remote Procedure Call) que permite la
ejecución arbitraria de código. El Remote Procedure Call
(RPC) permite el intercambio de información entre equipos, y
está presente por defecto en el protocolo TCP bajo el puerto
135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de
mensajes sobre TCP/IP, permite a un atacante ejecutar
cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente (MS03-026)
desde el siguiente enlace:
Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
* IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el gusano.
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - Troj/Fresh.20.A. Troyano que "libera" a Lovsan.C
_____________________________________________________________
http://www.vsantivirus.com/fresh20-a.htm
Nombre: Troj/Fresh.20.A
Tipo: Caballo de Troya
Alias: Win32.Fresh.20.A, TrojanDropper.Win32.Freshbind.20
Plataforma: Windows 32-bit
Fecha: 14/ago/03
Este troyano actúa como dropper (cuentagotas), o sea un
archivo que cuando se ejecuta "gotea" o libera uno o más
archivos. Es utilizado en este caso para enviar múltiples
archivos a la víctima.
Es altamente configurable, por lo tanto, el método utilizado
para liberar e instalar los archivos que puede contener,
varían. También varía la cantidad de archivos, que puede ser
una combinación de varios virus, troyanos, y archivos limpios
(sin infección).
A cada archivo a ser liberado, el programador puede indicarle
estas variables:
1. Nombre con el que se copia el archivo
2. Nombre de la carpeta donde se copiará (la actual, los
directorios Windows, System o TEMP, etc.)
3. Tipo de ejecución (visible, oculto, etc.)
4. Forma de iniciarse (un valor en alguna de las siguientes
claves del registro para autoejecutarse en cada reinicio):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
También puede configurarse para borrarse a si mismo luego de
la instalación.
Cada archivo del troyano puede contener varios archivos. Ha
sido utilizado para propagar el W32/Lovsan.C junto al troyano
Troj/Backdoor.Lithium.103, copiando los siguientes archivos
en el sistema infectado:
c:\windows\system32\teekids.exe
c:\windows\TEMP\ls.exe
También puede ser:
c:\windows\system32\teekids.exe
c:\windows\TEMP\root32.exe
LS.EXE o ROOT32.EXE, son los archivos del troyano
"Lithium.103".
TEEKIDS.EXE es el gusano Lovsan.C propiamente dicho.
En todos los casos, los archivos poseen como "Tipo de
ejecución", la variable "Ocultos", por lo que no se muestra
ninguna ventana cuando se ejecutan.
* Reparación manual
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
* Más información:
W32/Lovsan.C (Blaster). Utiliza "teekids.exe"
http://www.vsantivirus.com/lovsan-c.htm
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1134 Año 7, Viernes 15 de agosto de 2003
|
VSantivirus No. 11
Responder a este mensaje
