| Asunto: | VSantivirus No. 1136 Año 7, Domingo 17 de agosto de 2003 | | Fecha: | Domingo, 17 de Agosto, 2003 03:22:52 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1136 Año 7, Domingo 17 de agosto de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Blaster, o como sacar provecho de las cosas malas
2 - ¿Porqué formatear después del Lovsan (Blaster)?
3 - W32/Randex.G. Se propaga por redes, se controla por IRC
4 - W32/Randex.H. Se propaga por redes, se controla por IRC
5 - W32/Habrack.A. Muestra mensaje de "Windows Update"
_____________________________________________________________
1 - Blaster, o como sacar provecho de las cosas malas
_____________________________________________________________
http://www.vsantivirus.com/lz-lecciones.htm
Blaster, o como sacar provecho de las cosas malas
Por Lissette Zapata
liszapata@videosoft.net.uy
El día a día de los departamentos o encargados informáticos
nunca son iguales. Algo que puedo decir en primera persona,
es que en éste trabajo, debemos estar capacitados para vivir
de sorpresa en sorpresa y afrontar con tranquilidad (aunque
disimulada en ocasiones), todas las situaciones que se nos
presenten.
Para nosotros los informáticos, no hay argumentos válidos
para "justificar" la llegada a nuestras redes del gusano
Blaster (o Lovsan). Con lo ocurrido, los dos principales
objetivos principales de nuestra profesión, están siendo
totalmente afectados. Recordemos cuáles deberían ser estos.
1. Proteger los datos de la empresa (aunque bien es cierto
que el gusano no los daña, el hecho que se aproveche de una
vulnerabilidad que permite el acceso total a la computadora
afectada, hace que los datos estén en peligro).
2. Mantener la productividad de todas las herramientas de
trabajo tecnológicas que posee la empresa, lo que incluye
computadoras, correos electrónicos, navegadores, FTP, toda
transferencia electrónica, por mencionar algunos ejemplos.
A diferencia de otros, Blaster ha paralizado y cerrado
operaciones en muchas empresas alrededor del mundo, debido al
impacto que ha causado en las mismas.
La gran pregunta es: ¿cómo utilizando antivirus, teniendo
cortafuegos y políticas de seguridad establecidas, pudo
llegar este gusano y causar estragos en la productividad de
una empresa?.
La respuesta es clara. El mantenimiento y actualización de
estos sistemas, se ha dejado siempre postergado "para el día
de mañana". Ahora que Lovsan ha hecho caer redes y crecer
nuestro trabajo como espuma, podemos hacernos una pregunta:
¿el proceso de actualización y de mantenimiento de la
seguridad, es parte de nuestras prioridades?.
Como mencioné ya en otro artículo, muchos dan por asumido que
las amenazas llegan solo por correo electrónico. Pero ése no
es el único camino. Los informáticos somos diariamente
bombardeados con actualizaciones de virus, parches de
sistemas operativos, de navegadores, de routers... sin
olvidar el incansable spam o al silencioso pero casi siempre
efectivo spyware. Y así la lista continúa sin que parezca
tener fin.
Hoy mismo, el antivirus de mi servidor de correo, capturó dos
"bichos" que han bajado un poco su popularidad, pero que
siguen omnipresentes casi como el primer día. Me refiero al
Bugbear y al Mimail. Es un claro recordatorio de otras
amenazas que seguirán "dando vueltas" por bastante tiempo.
El trabajo del informático es un mal necesario. Alguien que
debe existir mientras existan las computadoras. Cuando todo
funciona bien, son muchos los que creen que no hacemos algo
productivo. Pero cuando llegan virus (y los dejamos pasar),
entonces nuestro trabajo está muy mal hecho.
Es cierto que el día a día del informático, casi nunca nos
permite cumplir lo que deberían ser nuestras prioridades. Sin
embargo, Blaster nos obligó a recordarlas. Y aunque sea
engorroso aplicar un parche PC por PC, porque además insume
tiempo extra al tener que llevarse a cabo en horas no
laborables para la empresa, no deberíamos jamás olvidar que
al hacerlo hoy mismo, nos evitamos los grandes dolores de
cabeza de mañana.
Finaliza una semana atípica, y aunque Blaster continúa su
camino de infección, lo hace a mucha menor velocidad gracias
a que cada vez hay más gente consciente de la importancia de
la aplicación de los parches, además de otras medidas
ampliamente difundidas.
Con más tranquilidad, examinando todo el trabajo que ésta
semana significó para mí, veo que existen dos escenarios muy
diferentes. Por un lado el de los usuarios domésticos. Por
otro el de los departamentos informáticos. El Blaster ha
logrado unirlos en un punto que es crítico en casos como
éste. La concientización de las acciones que deberíamos haber
realizado para que algo así no ocurriera.
El informático debe tomar verdadera consciencia de sus
"prioridades", y saber que es vital el chequeo periódico de
las alertas sobre la seguridad y la aplicación de los
parches, lo que incluye mantenerse informado en sitios como
Vsantivirus.com. Todo ello puede darle una tranquilidad que
tal vez ahora no tenga. Y por supuesto, no debe dejar que el
día a día de su trabajo, le haga perder su principal
objetivo.
El usuario doméstico también puede aportar lo suyo, si asume
que siempre hay mucho para aprender. Que las amenazas no
llegan siempre en un correo electrónico, y que existen los
cortafuegos, tan importantes como los antivirus a la hora de
navegar.
Estoy segura que queda un largo camino para recorrer, y que
tendremos más encuentros con otras generaciones de
"blasters". Cómo aquí mismo se ha anunciado, existe una
segunda vulnerabilidad muy parecida a la que permitió que el
Lovsan actuara como lo hizo. Pero ahora tendría que ser
diferente. Espero que lo sea.
Y todos deberíamos hacernos con sinceridad una única
pregunta, ¿realmente aprendimos la lección que Blaster nos
dio?.
* Relacionados:
Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm
Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm
Una pieza más del dominó, o un simple espectador
http://www.vsantivirus.com/lz-domino.htm
Después de todo, es un simple gusano...
http://www.vsantivirus.com/apagon14-08-03.htm
Advierten sobre la segunda vulnerabilidad en RPC
http://www.vsantivirus.com/vul-rpc-ubizen.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - ¿Porqué formatear después del Lovsan (Blaster)?
_____________________________________________________________
http://www.vsantivirus.com/faq-lovsan.htm
¿Porqué formatear después del Lovsan (Blaster)?
En nuestro último boletín, publicamos las preguntas más
frecuentes que recibimos sobre el Lovsan (o Blaster).
Hemos agregado a esa lista, una de las consultas más
reiteradas, la razón de porqué debemos formatear nuestro
equipo si nos infectamos con este gusano.
* ¿Porqué si he quitado el gusano, aún me piden que debo
formatear mi equipo?
Esta es una de las preguntas que más nos hacen y que
lamentablemente en muy pocos lugares hemos vista explicada, y
ni siquiera aconsejada.
El problema no es el gusano, sino lo que permitió que el
gusano ingresara a nuestras computadoras (ver "Lo que debería
saber sobre la vulnerabilidad RPC/DCOM",
http://www.vsantivirus.com/vul-rpc-dcom.htm).
El gusano es solo un aviso de que cualquier intruso pudo
llegar a hacer lo que se le diera la real gana en nuestro
equipo. La vulnerabilidad le brinda un acceso total al mismo,
y aún sin utilizar el gusano, cualquiera que utilice uno de
tantos "exploits" disponibles actualmente, podría haber
dejado cualquier otra clase de "sorpresa" que seguramente se
activará en el momento menos pensado (un exploit es un
programa o método concreto que saca provecho de una falla o
agujero de seguridad de una aplicación o sistema,
generalmente para un uso malicioso de dicha vulnerabilidad).
Un intruso también pudo haber hecho cambios en el sistema,
incluido el registro, de los que nunca sabríamos nada, hasta
que fuera muy tarde. En el mejor de los casos, perderíamos
toda la información de nuestros discos inesperadamente, que
es lo mismo que decir, que ello ocurrirá cuando más los
necesitemos.
Por otra parte, existen muchos programas maliciosos creados
recientemente, que aún no son reconocidos por los antivirus.
Si bien lo serán cuando se activen, siempre estaremos al
borde de un abismo, y seguro no nos puede causar ninguna
gracia pensar que nuestra computadora sería el "conejillo de
indias" para el código malicioso.
Dicho de otro modo, sacando el Lovsan, y cerrando las puertas
para que no nos vuelvan a infectar o a acceder a nuestro
equipo como se explicó en los puntos anteriores, ni nos
asegura que no quedan archivos maliciosos, ni tampoco que no
se hayan hecho modificaciones que nos resulten perjudiciales
en el futuro.
Incluso existe una versión del Lovsan que instala un troyano
capaz hasta de espiarnos con nuestra propia Web-Cam, o
escucharnos por el micrófono de nuestra tarjeta. Si bien este
troyano es identificable por los antivirus actualizados, no
es una garantía que existan otros, que también se hayan
colado por la vulnerabilidad que permitió la infección del
Lovsan (que por cierto, tampoco es el único gusano que se
aprovecha de esta falla).
Tomemos la infección del Lovsan como una señal de alarma. Si
ocurre, hay que seguir estos pasos:
a. Borrar el gusano como se indicó antes.
b. Respaldar la información importante (no los programas)
c. Formatear nuestros discos para asegurarnos de que el
sistema está limpio realmente, y reinstalar el sistema
operativo y todos los programas.
d. MUY IMPORTANTE: instalar el parche correspondiente, y
activar un cortafuegos, además de mantener al día nuestros
antivirus.
La lista completa puede ser consultada en el siguiente
enlace:
Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm
Contenido:
1. ¿Cuál es la diferencia entre el gusano Lovesan, Lovsan,
Blaster, Msblast y Poza?
http://www.vsantivirus.com/faq-lovsan.htm#1
2. ¿Cómo saber si mi PC está infectado?
http://www.vsantivirus.com/faq-lovsan.htm#2
3. ¿Qué daño puede causar Lovsan a mi PC?
http://www.vsantivirus.com/faq-lovsan.htm#3
4. ¿Cuáles versiones de Windows son vulnerables al ataque?
http://www.vsantivirus.com/faq-lovsan.htm#4
5. ¿Cómo puedo proteger mi computadora de éste gusano?
http://www.vsantivirus.com/faq-lovsan.htm#5
6. ¿Que es un cortafuegos y donde puedo obtenerlo?
http://www.vsantivirus.com/faq-lovsan.htm#6
7. ¿Cómo instalo los parches de Windows?
http://www.vsantivirus.com/faq-lovsan.htm#7
8. No puedo descargar los parches de Microsoft porque mi
computadora se reinicia constantemente.
http://www.vsantivirus.com/faq-lovsan.htm#8
9. ¿Qué hago si mi computadora ya está infectada por el
gusano Lovsan?
http://www.vsantivirus.com/faq-lovsan.htm#9
10. Ya quité el gusano Lovsan pero mi computadora se vuelve
a infectar.
http://www.vsantivirus.com/faq-lovsan.htm#10
11. ¿Porqué si he quitado el gusano, aún me piden que debo
formatear mi equipo?
http://www.vsantivirus.com/faq-lovsan.htm#11
Agradecimientos: Kaspersky Lab México, http://www.avp.com.mx/
* Actualizaciones:
16/ago/03 - Respuesta 11 (formateo)
* Relacionados:
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
W32/Lovsan.B (Blaster). Utiliza "penis32.exe"
http://www.vsantivirus.com/lovsan-b.htm
W32/Lovsan.C (Blaster). Utiliza "teekids.exe"
http://www.vsantivirus.com/lovsan-c.htm
Troj/Fresh.20.A. Troyano que "libera" a Lovsan.C
http://www.vsantivirus.com/fresh20-a.htm
Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm
Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm
Una pieza más del dominó, o un simple espectador
http://www.vsantivirus.com/lz-domino.htm
Después de todo, es un simple gusano...
http://www.vsantivirus.com/apagon14-08-03.htm
Microsoft se prepara para el gran "ataque" del Blaster
http://www.vsantivirus.com/lz14-08-03.htm
La solución para descargar parches de Microsoft
http://www.vsantivirus.com/sol-winupdates.htm
Advierten sobre la segunda vulnerabilidad en RPC
http://www.vsantivirus.com/vul-rpc-ubizen.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Randex.G. Se propaga por redes, se controla por IRC
_____________________________________________________________
http://www.vsantivirus.com/randex-g.htm
Nombre: W32/Randex.G
Tipo: Gusano de Internet
Alias: W32.Randex.G, W32/Randex.worm.c, Backdoor.SdBot.gen,
W32/Randex.G, Troj/Backdoor/Randex.G
Tamaño: 60,416 bytes
Plataforma: Windows 32-bit
Fecha: 14/ago/03
Este gusano se propaga a través de redes, copiándose a si
mismo en los siguientes caminos:
\Admin$\system32\netfd32.exe
\c$\winnt\system32\netfd32.exe
Tiene capacidades de troyano, y puede recibir instrucciones
desde un canal de IRC (Internet Relay Chat) específico. Una
de esas instrucciones es la que ocasiona la propagación a
través de los recursos mencionados.
Cuando se ejecuta por primera vez, se copia en la siguiente
ubicación:
c:\windows\System\ph32.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Crea un mutex llamado PIEBOT-FE para no volverse a ejecutar
más de una vez en memoria.
Un usuario remoto puede realizar las siguientes acciones:
1. NTSCAN: calcula direcciones IP al azar para seleccionar la
computadora a infectar.
Intenta autenticarse en cada dirección IP creada, usando uno
de las siguientes contraseñas:
12345
pass
password
Luego se copia a si mismo en las computadoras cuyas
contraseñas de administrador sean débiles en la siguiente
ubicación, donde [IP] es la dirección IP autenticada:
\\[IP]\Admin$\system32\netfd32.exe
\\[IP]\c$\winnt\system32\netfd32.exe
2. SYN: Realiza ataques del tipo "syn flood" utilizando
paquetes SYN de 55808 bytes.
3. SYSINFO: Obtiene información de su víctima, tales como
velocidad de la CPU, memoria disponible, etc.
Para ejecutar el gusano, crea una tarea programada, y también
agrega las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winux Piriax Service = c:\windows\System\ph32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Winux Piriax Service = c:\windows\System\ph32.exe
Finalmente se conecta a un canal de IRC específico para
recibir instrucciones remotas. Entre ellas las que le
permiten propagarse a otros recursos compartidos como vimos
al principio.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
netfd32.exe; ph32.exe
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
netfd32.exe; ph32.exe
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Winux Piriax Service
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Winux Piriax Service
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Randex.H. Se propaga por redes, se controla por IRC
_____________________________________________________________
http://www.vsantivirus.com/randex-h.htm
Nombre: W32/Randex.H
Tipo: Gusano de Internet
Alias: W32.Randex.F, Backdor.IRCBot.gen, W32/Sluter.worm
Tamaño: 77,824 bytes
Plataforma: Windows 32-bit
Fecha: 14/ago/03
Este gusano se propaga a través de redes, copiándose a si
mismo en los siguientes caminos:
\Admin$\system32\netfd32.exe
\c$\winnt\system32\netfd32.exe
Tiene capacidades de troyano, y puede recibir instrucciones
desde un canal de IRC (Internet Relay Chat) específico. Una
de esas instrucciones es la que ocasiona la propagación a
través de los recursos mencionados.
Cuando se ejecuta por primera vez, se copia en la siguiente
ubicación:
c:\windows\System\netd32.exe
c:\windows\System\winnt32.dat
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Un usuario remoto puede realizar las siguientes acciones:
1. NTSCAN: calcula direcciones IP al azar para seleccionar la
computadora a infectar.
Intenta autenticarse en cada dirección IP creada, usando uno
de las siguientes contraseñas:
12345
password
computer
Luego se copia a si mismo en las computadoras cuyas
contraseñas de administrador sean débiles en la siguiente
ubicación, donde [IP] es la dirección IP autenticada:
\\[IP]\Admin$\system32\netfd32.exe
\\[IP]\c$\winnt\system32\netfd32.exe
2. SYN: Realiza ataques del tipo "syn flood" utilizando
paquetes SYN de 55808 bytes.
3. SYSINFO: Obtiene información de su víctima, tales como
velocidad de la CPU, memoria disponible, etc.
También intenta robar las llaves de registro de los
siguientes juegos:
Command & Conquer Generals
Battlefield 1942 Road To Rome
Battlefield 1942
Unreal Tournament 2003
Half-Life
Para ejecutar el gusano, crea una tarea programada, y también
agrega las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MicrosoftNetwork Daemon for Win32 =
c:\windows\System\netd32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MicrosoftNetwork Daemon for Win32 =
c:\windows\System\netd32.exe
Finalmente se conecta a un canal de IRC específico para
recibir instrucciones remotas. Entre ellas las que le
permiten propagarse a otros recursos compartidos como vimos
al principio.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
netfd32.exe; netd32.exe; winnt32.dat
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
netfd32.exe; netd32.exe; winnt32.dat
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
MicrosoftNetwork Daemon for Win32
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
MicrosoftNetwork Daemon for Win32
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Habrack.A. Muestra mensaje de "Windows Update"
_____________________________________________________________
http://www.vsantivirus.com/habrack-a.htm
Nombre: W32/Habrack.A
Tipo: Gusano de Internet (P2P)
Alias: W32/Habrack.worm!p2p, W32/Generic.worm!p2p,
W32.HLLW.Habrack, W32/Habrack.bat, W32/Habrack.vbs
Fecha: 14/ago/03
Tamaño: 110,592 bytes
Plataforma: Windows 32-bit
Este gusano se propaga a través de las redes de intercambio
de varios programas del tipo P2P (Peer-To-Peer).
Cuando se ejecuta, muestra una ventana de advertencia falsa,
con el siguiente texto:
Norton AntiVirus
Microsoft® has released a new security patch for
all Microsoft® Windows Systems. Please Enter your
password to your Hotmail/Msn Account to have the
Patch Sent to you later to your email.
[ OK ]
Cuando se selecciona el botón [ OK ], se muestra otra
ventana, donde se le pide al usuario ingresar el nombre de
usuario y contraseña de su cuenta "Hotmail/MSN/.Net Passport
Account":
Microsoft® Windows Update
Windows® Update
Microsoft® Windows Update has released a free
patch for all Microsoft Windows® Operating
Systems. In order to Apply this patch you will
need to enter your Hotmail/Msn/.Net Passport
Account Username and Password to Continue.
Name: [_____________________________________]
Password: [_____________________________________]
[ Continue ] [ Exit ]
Si el usuario ingresa los datos pedidos, estos son
almacenados en un archivo de texto local:
c:\password.txt
Al pulsar en el botón [ Continue ], se muestra un mensaje
final:
Norton AntiVirus
We will now download the latest Windows® Update
Patch. Please Disable Any Firewalls or Antivirus
Software that may stop this download.
[ OK ]
Después, el gusano crea las siguientes carpetas:
c:\program files\panda antivirus trial\
c:\program files\panda antivirus trial\core files
c:\windows\system32\norton\
c:\windows\system32\norton\defenitions\
c:\windows\system32\norton\defenitions\file\
c:\windows\system32\norton\defenitions\file\break
En cada una de ellas, se copia a si mismo con los siguientes
nombres:
c:\program files\panda antivirus trial\core files\panda.exe
c:\windows\system32\norton\defenitions\file\break\winsys.dll
c:\windows\system32\norton\defenitions\file\break\winsys.exe
También intentará copiarse en las siguientes carpetas:
c:\my shared folder\linux mandrake.zip
c:\my shared folder\microsoft ® windows xp + gen.exe
c:\my shared folder\microsoft® visual basic 7.exe
c:\my shared folder\msn 8 cracked.exe
c:\my shared folder\msn6plus.exe
c:\my shared folder\norton antivirus 2003 + crack.exe
c:\my shared folder\norton ghost keygen.exe
c:\windows\rundlls.exe
c:\windows\winsys.dll
c:\windows\winsys.exe
Además intentará sobrescribir archivos existentes con su
propio código, si aquellos son accesibles. Estos archivos
deberán ser recuperados de respaldos anteriores:
c:\program files\msn messenger\msnmsgr.exe
c:\program files\norton antivirus\navw32.exe
c:\program files\yahoo!\messenger\ypager.exe
c:\windows\regedit.exe
c:\windows\rundll.exe
c:\windows\rundll32.exe
c:\windows\system\underwater.scr
c:\windows\wscript.exe
El gusano también modificará los siguientes archivos, si son
accesibles, agregándoles 4,320 y 8,640 bytes respectivamente,
cada vez que el gusano se ejecute:
c:\program files\norton antivirus\ccimscan.exe
c:\program files\norton antivirus\qconsole.exe
Intentará borrar los siguientes archivos:
c:\program files\msn messenger\msgslang.dll
c:\program files\yahoo!\messenger\res_msgr.dll
También intentará borrar todos los archivos con extensión
.DLL y .INK, de las siguientes carpetas (si existen):
c:\windows\*.dll
c:\windows\desktop\*.ink
c:\winnt\*.dll
El gusano abre al azar un puerto TCP, y se contacta con el
sitio web del autor, para descargar un archivo HTML
renombrado como MIRCVIR.JPG, el cuál contiene un script de
Visual Basic que intenta sobrescribir a SCRIPT.INI, el
archivo de configuración del programa de chat, mIRC.
Otros archivos creados por el gusano:
c:\hello.bat
c:\home.vbs
c:\me.html
c:\windows\wscript.bat
Uno de estos archivos intentará cambiar la página de inicio
del Internet Explorer (HOME.VBS), otro buscará colgar al
navegador (ME.HTML). WSCRIPT.BAT intentará configurar como un
recurso compartido a toda la unidad C, además de modificar la
hora del sistema. Cuando se ejecuta, muestra una ventana DOS
minimizada con el título "Finished - Wscript".
El gusano no modifica ningún archivo para autoejecutarse en
cada reinicio, y solo permanece en memoria. Sin embargo,
alguno de los componentes que puede descargar, puede llegar a
instalar cualquier otro archivo con la capacidad de modificar
el sistema para autoejecutarse.
Si la fecha del sistema es 7 de octubre de 2003, el gusano
muestra un mensaje con el siguiente texto:
Happy Birthday ...:::Hackers:::...
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Reinicie su computadora para sacar el virus de la memoria.
2. Actualice sus antivirus con las últimas definiciones.
3. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
4. Borre los archivos detectados como infectados.
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\hello.bat
c:\home.vbs
c:\me.html
c:\my shared folder\linux mandrake.zip
c:\my shared folder\microsoft ® windows xp + gen.exe
c:\my shared folder\microsoft® visual basic 7.exe
c:\my shared folder\msn 8 cracked.exe
c:\my shared folder\msn6plus.exe
c:\my shared folder\norton antivirus 2003 + crack.exe
c:\my shared folder\norton ghost keygen.exe
c:\password.txt
c:\windows\rundlls.exe
c:\windows\winsys.dll
c:\windows\winsys.exe
c:\windows\wscript.bat
También borre las siguientes carpetas y su contenido:
c:\program files\panda antivirus trial\
c:\windows\system32\norton\
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia. O navegue hacia una página
de su agrado, pinche en Herramientas, Opciones de Internet,
General, y finalmente pinche en "Usar actual".
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1136 Año 7, Domingo 17 de agosto de 2003
|
VSantivirus No. 11
Responder a este mensaje
