Mostrando mensaje 188     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1139 Año 7, Miércoles 20 de agosto de 2003 Fecha: Miercoles, 20 de Agosto, 2003  04:40:14 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1139 Año 7, Miércoles 20 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Seguridad Informática: Peligros Ocultos 2 - W32/Sobig.F. Gusano de gran propagación 3 - W32/Squirm.A. Asunto: "Microsoft Security Bulletin" _____________________________________________________________ 1 - Seguridad Informática: Peligros Ocultos _____________________________________________________________ http://www.vsantivirus.com/zma-peligros.htm Seguridad Informática: Peligros Ocultos Por Juan C. Zampatti Maida (*) zampatti@zma.com.ar [Publicado en VSAntivirus con autorización del autor] El virus Lovsan (Blaster) ha ocupado mucha prensa durante los últimos días informando una gran cantidad de equipos infectados, lo cual nos ha llevado a profundizar el tema y escribir este resumen. Fundamentalmente va dirigido a usuarios de una PC, pero contiene algunos conceptos que son aplicables a las redes. Para que se produjera la infección este virus se tenía que encontrar una PC que reuniera todas estas condiciones: a. Tuviera su Windows (NT, 2K, XP, 2003) sin aplicar el parche correctivo a la falla en el RPC. b. Que además no estuviera protegido por un antivirus. c. Y que a todo ello se agregue que no existiera un cortafuegos que bloqueara los puertos por los que transmitía. Y dado que pese a todos estos "obstáculos", el virus ha logrado infectar la cantidad de PCs que la prensa ha informado, los analistas concluyen que todavía la Seguridad Informática, sigue siendo una materia postergada. Coincidimos con la anterior, pero no en forma absoluta. Es que el usuario de PCs, tanto a nivel personal, profesional o empresario, se ve también amenazado por otros peligros ocultos, con lo cual está utilizando sus equipos bajo una falsa cobertura de seguridad. En términos más populares, el usuario hizo los "deberes" que los especialistas le indicaron, pero sigue desprotegido, y lo peor es que no lo sabe. El virus Lovsan ha desnudado fallas ocultas en: º Microsoft Windows Update º Fallas en los Antivirus º Fallas en los Cortafuegos * Fallas en el Microsoft Windows Update Esta herramienta de Microsoft tiene amplia utilización para mantener los Windows actualizados. Usuarios que la utilizaron para testear que su Windows tuviera aplicado el parche que cubre la falla en el RPC (MS03-026) recibían una respuesta que no había parches que aplicar, cuando la realidad era lo contrario; el parche no estaba aplicado. Si se utilizaban otras herramientas de Microsoft, tales como Hfnetchk or MBSA, mostraba correctamente el nivel del parche. Esto se origina en que el MS Windows Update Service toma la información del Registro de Windows, mientras que el Hfnetchk or MBSA utiliza un MD5 cheksum. Esta falla nos la informó un especialista italiano amigo, Paolo Monti; y luego apareció en el NTBugtraq un servicio de reporte de fallas y fue recogido por varias revistas especializadas. Las últimas noticias parecen indicar que el jueves 14 por la tarde, Microsoft agregó el control de archivos al Windows Update, por lo menos en lo que se refiere al parche MS03-026. Considerando que se esperan más ataques que se aprovechen de la vulnerabilidad Windows RPC, es conveniente hacer un nuevo control que la remozada versión del Windows Update, a la que deberá acceder desde la página de Microsoft, pues la pagina www.windowsupdate.com, ha sido deshabilitada preventivamente por el propio Microsoft. [Nota VSA: La solución para descargar parches de Microsoft http://www.vsantivirus.com/sol-winupdates.htm] * Fallas en los antivirus Hay fallas en la instalación, hay fallas en la configuración, hay fallas en las actualizaciones y hay fallas en la detección de virus. Las fallas en la instalación provienen en que cuando se instala una nueva versión de antivirus, la desinstalación del anterior ha dejado "sucio" el registro de Windows. Personalmente utilizo, y con muy buen resultado, jv16 Power Tools (www.jv16.org) (gratuita) para limpiar el registro luego de desinstalar cualquier software. En cuánto a la configuración, no siempre la por "default" es la más adecuada. Hay que leer el manual, consultar el soporte, etc., y ser cuidadoso en el tema. En cuánto a las actualizaciones hay que asegurarse que el producto actualice motor y base de datos de virus. Algunos prometen actualizaciones gratis de por vida, pero solo abarca la base de datos de virus; y es necesario adquirir una nueva versión para estar realmente protegido. Los antivirus ya no se actualizan una vez a la semana ni una vez al día. Ahora deben programarse para que cada hora revisen si hay actualizaciones. Durante los períodos de actividad virósica, como la del Lovsan, los fabricantes de virus liberan varias actualizaciones el mismo día. Para que todo esto funcione adecuadamente, las actualizaciones tienen que ser automáticas, casi imperceptibles para el usuario y generar poco tráfico. Pero lo más grave en los antivirus, son las fallas en la detección de virus. Ningún antivirus es infalible, pero hay buenos, regulares y malos en cuanto a nivel de detección se refiere. Usualmente utilizo los informes de Virus Bulletin, que son muy objetivos y detallados, y desnudan públicamente las fallas de los antivirus, sin darles una segunda oportunidad para solucionarlos, como ocurre con otras entidades certificantes que aceptan correcciones y retesteos. Si tomamos por ejemplo los últimos 4 informes de V. Bulletin, nos encontraremos que Norton falló en 54 oportunidades, McAfee en 59, Sophos en 777 y Trend PC Cillin tuvo 1045 fallas. Tan exigentes son las revisiones de Virus Bulletin que algunas empresas no hacen auditar sus productos, para que sus fallas no aparezcan en forma pública. El que los antivirus presenten fallas, es muy grave, pues Virus Bulletin utiliza virus conocidos (Virus In the Wild). Nadie puede decir que le tomaron un examen de algo desconocido. Es inaceptable que fallen. Usar un antivirus con fallas es someter su PC o red a una ruleta rusa; hay muchas más posibilidades de que no pase nada, pero cuando le toca, está herido de muerte. La pregunta que muchas veces hemos recibido es: ¿Hay antivirus sin fallas en las auditorias?. La pregunta tiene su fundamento, pues si los que son dueños del mercado presentan fallas, entonces qué hacer?. La respuesta es: Si, hay antivirus más confiables que los mencionados, y es posible conocerlos visitando la Web de Virus Bulletin (www.virusbtn.com); pero aquí también lo aguarda otro peligro al visitante no experto. Una rápida mirada al sitio de V. Bulletin puede llevar a deducir que un producto que haya obtenido la distinción del 100% es un producto confiable. No es totalmente cierto. Los productos son sometidos, por V. Bulletin, a una batería de 5 tests, y para obtener la distinción del 100% V.B. es suficiente con aprobar los dos referentes a "Virus In the Wild" y no arrojar ningún falso resultado (informar como virus un archivo que no lo es). Esto puede producir resultados como el que se dio en Noviembre 2000, donde se le concedió a Norton el 100% VB pues aunque tuvo 297 fallas de detección, ninguna de ellas se produjo en los dos tests que se consideran; mientras que NOD32, no tuvo ninguna falla de detección en los 5 tests, pero informó un falso positivo, y por ello perdió el 100%. ¿Qué hacer entonces?. Dentro de la Web de Virus Bulletin (www.virusbtn.com) hay que entrar por Magazine; Archive issues; Back issues as PDF; y buscar en las ediciones, las tablas de detalle de las Comparative Review, proceder a imprimirlas y realizar un análisis fuera de línea. * Fallas en los cortafuegos Asumo que todos los usuarios de PC conocen lo que es un cortafuegos (firewall) y lo están utilizando. Si aún no tiene instalado uno hágalo a la brevedad, y salvo casos especiales, con las versiones gratuitas es suficiente. A los ya conocidos ZoneAlarm y Kerio, se ha agregado Outpost, un producto que origen ruso que va camino a posicionarse como el Nº 1. En www.protegerse.com encontrará una versión gratuita de Outpost en español. Quienes tienen Windows XP, éste ya incluye un firewall, pero los especialistas aconsejan desactivarlo e instalar alguno de los antes mencionados. Es por la poca confianza que Microsoft genera en lo referente a seguridad. Para redes, desde pequeñas hasta aquellas compuestas por cientos de PCs, he quedado sorprendido con una versión de Kerio que incluye un proxy para compartir Internet y un cortafuegos, pudiendo agregar un antivirus (varias opciones) y un filtro de contenido de la empresa alemana Cobion. Pero todo esto no es gratuito. Por la especialidad de la firma que integro, Kerio nos obsequió con una licencia, la hemos probado con gran resultado, por lo que resolvimos utilizarla, reemplazando a Sygate, que nos estaba causando algunos problemas. Si busca algo gratuito para redes, debería ir mirando Linux, en sus diferentes versiones. Linux brinda un muy buena solución de firewall, router y agregando por ej. Mail Scanner, un poderoso filtrado de spam y antivirus; inclusive se pueden usar mas de un antivirus al mismo tiempo. Mail Scanner es gratuito. Pero si todo lo que es software es algo "vivo", en continuo movimiento, un firewall lo es más aún. Dado que no es posible cerrar todos los puertos, hay que tener algún Know-How para hacerlo. [Nota VSA: "Know-How", expresión anglosajona que se emplea para definir una técnica de conocimiento o experiencia.] Pero... ¿cómo estar seguro de la labor realizada?. Simplemente ejecutando algunos de los tests on line (gratuitos) que hay disponibles. Yo utilizo el de Steve Gibson, https://grc.com/x/ne.dll?bh0bkyd2 , y si bien está en inglés, la guía de colores en rojo, amarillo y verde, es fácilmente entendible. (*) Juan C. Zampatti Maida es el responsable de la consultora Zampatti Maida & Asoc. [http://www.zma.com.ar/] y VirusCenter [www.viruscenter.com.ar]. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Sobig.F. Gusano de gran propagación _____________________________________________________________ http://www.vsantivirus.com/sobig-f.htm Nombre: W32/Sobig.F Tipo: Gusano de Internet Alias: Win32/Sobig.F, Sobig.F, I-Worm.Sobig.gen, W32/Sobig.F@mm, Win32.HLLM.Reteras, W32.Sobig.F@mm, W32/Sobig-F, W32/Sobig.f@MM, I-Worm.Sobig.f, W32/Sobig.F-mm, WORM_SOBIG.F, Win32.Sobig.F Fecha: 19/ago/03 Plataforma: Windows 32-bit Tamaño: 72,568 bytes (variable) Este gusano se propagó rápidamente desde su aparición en las primeras horas del martes 19 de agosto de 2003. Escrito en Microsoft Visual C++ 6.0 y comprimido con la utilidad TeLock, utiliza el correo electrónico y los recursos compartidos en redes. Posee, como las variantes anteriores "fecha de caducidad", y funcionaría hasta la medianoche del 9 de setiembre de 2003. Una de las razones de su gran propagación, es que ejecuta su rutina de envío de mensajes infectados, cada 10 segundos, utilizando direcciones robadas de la máquina infectada. Por otra parte, la dirección que figura como remitente siempre es falsa, y puede ser cualquiera de dichas direcciones. Dicho de otro modo, el que figura como remitente no es el que realmente envía el mensaje, además de que esa persona no necesariamente tiene que estar infectada para que ello ocurra. Es suficiente conque algunos de sus mensajes, páginas Web o cualquier clase de texto conteniendo su dirección, esté presente en cualquier computadora infectada, para que pueda ser "elegido" como remitente. Además de ello, el que recibe el mensaje, debe ejecutar el adjunto (doble clic), para infectarse. Cuando ello ocurre, entonces el gusano se copia a si mismo en la carpeta de Windows: c:\windows\winppr32.exe También crea los siguientes archivos (no en el mismo momento): c:\windows\winstt32.dat c:\windows\winstf32.dll WINSTT32.DAT contendrá las direcciones recolectadas en la máquina infectada. NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). El gusano agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows (según el sistema operativo, se agregará o no la segunda entrada): HKLM\Software\Microsoft\Windows\CurrentVersion\Run TrayX = c:\windows\winppr32.exe /sinc HKCU\Software\Microsoft\Windows\CurrentVersion\Run TrayX = c:\windows\winppr32.exe /sinc El gusano utiliza su propio motor SMTP para enviarse por e- mail, por lo que es independiente del cliente de correo instalado. Cómo dijimos, se envía en mensajes electrónicos, cada 10 minutos, a todas las direcciones de correo electrónico recolectadas de todos los archivos de la máquina infectada que posean estas extensiones: .dbx .eml .hlp .htm .html .mht .txt .wab Los mensajes tienen estas características: De: (cualquier remitente) Cómo remitente, utiliza cualquier dirección real encontrada en la máquina infectada. De ese modo, el mensaje casi siempre parecerá venir de alguien conocido, cuando realmente dicha persona nunca lo envía. En ocasiones, puede utilizar la dirección admin@internet.com o una combinación como XXXX@XXinternet.com donde las "X" son letras al azar o parte de otras direcciones. Para: (la dirección del destinatario) Utiliza la verdadera dirección a la que se envía. Asunto: (uno de los siguientes): Re: Approved Re: Details Re: Re: My details Re: Thank you! Re: That movie Re: Wicked screensaver Re: Your application Thank you! Your details Texto: (uno de los siguientes): Please see the attached file for details. See the attached file for details Como datos adjuntos, un archivo con el gusano propiamente dicho, y con alguno de los siguientes nombres: movie0045.pif wicked_scr.scr application.pif document_9446.pif details.pif your_details.pif thank_you.pif document_all.pif your_document.pif El gusano agrega basura al final de su código, por lo que el tamaño final del adjunto puede variar (de 70 Kb a 100 Kb aprox.). En ocasiones, puede enviarse algún mensaje sin adjunto alguno, pero con las demás características descriptas. El gusano también intenta propagarse cada 30 minutos, a través de recursos compartidos en redes, copiándose en las carpetas de autoejecución de dichos recursos. Para ello utiliza las rutinas APIs de Windows. API (Application Program Interface), son un conjunto de rutinas utilizadas por un programa, para solicitar y efectuar servicios que son ejecutados por el propio sistema operativo. Utiliza el protocolo NTP (Network Time Protocol) para conectarse cada 60 minutos por el puerto UDP/123, a un servidor que le indica la fecha y la hora actual. Si la misma es 10 de setiembre de 2003 o posterior, el gusano finaliza su ejecución en toda las máquinas infectadas. Esta característica es similar a las de versiones anteriores del gusano. Posee además la capacidad de descargar y ejecutar archivos desde Internet, incluyendo su propia actualización. Cada 60 minutos, el gusano envía un paquete de prueba por el puerto UDP/8998 a un servidor maestro. El servidor responde con una dirección URL, a las que el gusano se conectará para descargar cualquier archivo ejecutable. Estas descargas, según el código del gusano, se realizarán un sábado o un domingo, entre las 7 PM y 10 PM, según la hora UTC/GMT. Las descargas pueden ser actualizaciones de si mismo, o cualquier otra aplicación, incluidos troyanos, virus, etc. El gusano también abre cualquier puerto UDP en el rango 995 a 999, para recibir datagramas que le permitirán actualizar la lista de servidores a los que se conectará, incluido el servidor maestro mencionado antes. El autor también ha utilizado las características de conectividad del gusano, para robar información confidencial de los sistemas infectados, y para usarlos como servidores proxy en el envío masivo de spam. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Finalizando el proceso del virus en memoria Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos: 1. Detenga el proceso del virus en memoria: a. en Windows 9x y Me, pulse CTRL+ALT+SUPR. b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC. 2. En ambos casos, en la lista de tareas, señale la(s) siguiente(s): WINPPR32.EXE 3. Seleccione el botón de finalizar tarea. En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\winppr32.exe c:\windows\winstt32.dat c:\windows\winstf32.dll Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: TrayX 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: TrayX 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Herramientas para quitar automáticamente el gusano http://www.vsantivirus.com/sobig-f.htm * Información adicional * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 19/ago/03 (10:50) - Actualización de la descripción 19/ago/03 (12:50) - Herramienta de F-Secure 19/ago/03 (15:50) - Actualización de la descripción 19/ago/03 (16.05) - Herramienta de Panda 19/ago/03 (16.15) - Herramienta de Symantec 20/ago/03 (01:15) - Descripción ampliada (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Squirm.A. Asunto: "Microsoft Security Bulletin" _____________________________________________________________ http://www.vsantivirus.com/squirm-a.htm Nombre: W32/Squirm.A Tipo: Gusano de Internet Alias: W32.Squirm@mm, Squirm, Win32/Squirm.A, I-Worm.Squirm.A Fecha: 19/ago/03 Tamaño: 104,448 bytes Plataforma: Windows 32-bit Este gusano, escrito en Microsoft C++, está comprimido con la herramienta PEBundle. Se propaga a través del correo electrónico, simulando ser una actualización de Microsoft, y también a través de algunas utilidades de intercambio de archivos entre usuarios como KaZaA, Morpheus, eDonkey, Grokster, LimeWire, GNucleus, BearShare y también ICQ, además de otros (redes P2P). También lo hace a través de algunos canales de IRC. Para propagarse por e-mail, envía un mensaje como el siguiente a todos los contactos seleccionados en la máquina infectada: De: support@microsoft.com Asunto: Microsoft Security Bulletin Datos adjuntos: (uno de los siguientes) patch.zip patch_329390.exe Texto: Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390) Summary Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP Impact of vulnerability: Run code of an attacker's choice Maximum Severity Rating: Critical Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately. Si el gusano se ejecuta en la máquina infectada, se crea el siguiente archivo: c:\windows\Zlib.dll Se trata de una utilidad de compresión legítima, y no posee código maligno. Es utilizada por el gusano para crear su propia versión comprimida. NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Muestra luego una ventana de diálogo con el siguiente texto: Security Patch 329390 Patching system... Wait [ OK ] Si el usuario pincha en [OK], el gusano agrega las siguientes entradas al registro de Windows, la primera para autoejecutarse en cada reinicio, y la segunda para su propia configuración: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run CPU Manager = c:\windows\cpumgr.exe HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Type = High Después de ello, crea los siguientes archivos: c:\windows\cpumgr.dll c:\windows\cpumgr.exe c:\windows\pdmn.smt c:\windows\photo.zip Donde: º CPUMGR.DLL es una copia codificada del gusano º CPUMGR.EXE es el ejecutable º PDMN.SMT contiene información sobre el sistema infectado º PHOTO.ZIP es un archivo comprimido conteniendo una copia del gusano. Después de ello, muestra otra ventana de diálogo, con este segundo mensaje: Security Patch 329390 Patched. Thanks for using Microsoft Windows [ OK ] Al pincharse en el botón [OK], el gusano queda residente en memoria por cierto período de tiempo. Después de ello, el gusano procede a copiarse en algunas de las carpetas de intercambio de archivos entre usuarios P2P, con los siguientes nombres y ubicaciones: c:\archivos de programa\ bearshare\shared\connection booster.exe bearshare\shared\cracker game.exe bearshare\shared\cracks collections.exe bearshare\shared\credit card.exe bearshare\shared\hacker.scr bearshare\shared\hotmail hack.exe bearshare\shared\icq hack.exe bearshare\shared\matrix reloaded.scr bearshare\shared\norton keygen-all vers.exe bearshare\shared\serials collections.exe bearshare\shared\simpsons.exe bearshare\shared\xxx virtual sex.scr direct connect\received files\connection booster.exe direct connect\received files\cracker game.exe direct connect\received files\cracks collections.exe direct connect\received files\credit card.exe direct connect\received files\hacker.scr direct connect\received files\hotmail hack.exe direct connect\received files\icq hack.exe direct connect\received files\matrix reloaded.scr direct connect\received files\norton keygen-all vers.exe direct connect\received files\serials collections.exe direct connect\received files\simpsons.exe direct connect\received files\xxx virtual sex.scr edonkey2000\incoming\connection booster.exe edonkey2000\incoming\cracker game.exe edonkey2000\incoming\cracks collections.exe edonkey2000\incoming\credit card.exe edonkey2000\incoming\hacker.scr edonkey2000\incoming\hotmail hack.exe edonkey2000\incoming\icq hack.exe edonkey2000\incoming\matrix reloaded.scr edonkey2000\incoming\norton keygen-all vers.exe edonkey2000\incoming\serials collections.exe edonkey2000\incoming\simpsons.exe edonkey2000\incoming\xxx virtual sex.scr gnucleus\downloads\connection booster.exe gnucleus\downloads\cracker game.exe gnucleus\downloads\cracks collections.exe gnucleus\downloads\credit card.exe gnucleus\downloads\hacker.scr gnucleus\downloads\hotmail hack.exe gnucleus\downloads\icq hack.exe gnucleus\downloads\incoming\connection booster.exe gnucleus\downloads\incoming\cracker game.exe gnucleus\downloads\incoming\cracks collections.exe gnucleus\downloads\incoming\credit card.exe gnucleus\downloads\incoming\hacker.scr gnucleus\downloads\incoming\hotmail hack.exe gnucleus\downloads\incoming\icq hack.exe gnucleus\downloads\incoming\matrix reloaded.scr gnucleus\downloads\incoming\norton keygen-all vers.exe gnucleus\downloads\incoming\serials collections.exe gnucleus\downloads\incoming\simpsons.exe gnucleus\downloads\incoming\xxx virtual sex.scr gnucleus\downloads\matrix reloaded.scr gnucleus\downloads\norton keygen-all vers.exe gnucleus\downloads\serials collections.exe gnucleus\downloads\simpsons.exe gnucleus\downloads\xxx virtual sex.scr grokster\my grokster\connection booster.exe grokster\my grokster\cracker game.exe grokster\my grokster\cracks collections.exe grokster\my grokster\credit card.exe grokster\my grokster\hacker.scr grokster\my grokster\hotmail hack.exe grokster\my grokster\icq hack.exe grokster\my grokster\matrix reloaded.scr grokster\my grokster\norton keygen-all vers.exe grokster\my grokster\serials collections.exe grokster\my grokster\simpsons.exe grokster\my grokster\xxx virtual sex.scr icq\shared files\connection booster.exe icq\shared files\cracker game.exe icq\shared files\cracks collecions.exe icq\shared files\credit card.exe icq\shared files\hacker.scr icq\shared files\hotmail hack.exe icq\shared files\icq hack.exe icq\shared files\matrix reloaded.scr icq\shared files\norton keygen-all vers.exe icq\shared files\serials collections.exe icq\shared files\simpsons.exe icq\shared files\xxx virtual sex.scr kazaa lite\my shared folder\connection booster.exe kazaa lite\my shared folder\cracker game.exe kazaa lite\my shared folder\cracks collections.exe kazaa lite\my shared folder\credit card.exe kazaa lite\my shared folder\hacker.scr kazaa lite\my shared folder\hotmail hack.exe kazaa lite\my shared folder\icq hack.exe kazaa lite\my shared folder\matrix reloaded.scr kazaa lite\my shared folder\norton keygen-all vers.exe kazaa lite\my shared folder\serials collections.exe kazaa lite\my shared folder\simpsons.exe kazaa lite\my shared folder\xxx virtual sex.scr kazaa\my shared folder\connection booster.exe kazaa\my shared folder\cracker game.exe kazaa\my shared folder\cracks collections.exe kazaa\my shared folder\credit card.exe kazaa\my shared folder\hacker.scr kazaa\my shared folder\hotmail hack.exe kazaa\my shared folder\icq hack.exe kazaa\my shared folder\matrix reloaded.scr kazaa\my shared folder\norton keygen-all vers.exe kazaa\my shared folder\serials collections.exe kazaa\my shared folder\simpsons.exe kazaa\my shared folder\xxx virtual sex.scr kmd\my shared folder\connection booster.exe kmd\my shared folder\cracker game.exe kmd\my shared folder\cracks collections.exe kmd\my shared folder\credit card.exe kmd\my shared folder\hacker.scr kmd\my shared folder\hotmail hack.exe kmd\my shared folder\icq hack.exe kmd\my shared folder\matrix reloaded.scr kmd\my shared folder\norton keygen-all vers.exe kmd\my shared folder\serials collections.exe kmd\my shared folder\simpsons.exe kmd\my shared folder\xxx virtual sex.scr limewire\shared\connection booster.exe limewire\shared\cracker game.exe limewire\shared\cracks collections.exe limewire\shared\credit card.exe limewire\shared\hacker.scr limewire\shared\hotmail hack.exe limewire\shared\icq hack.exe limewire\shared\matrix reloaded.scr limewire\shared\norton keygen-all vers.exe limewire\shared\serials collections.exe limewire\shared\simpsons.exe limewire\shared\xxx virtual sex.scr morpheus\my shared folder\connection booster.exe morpheus\my shared folder\cracker game.exe morpheus\my shared folder\cracks collections.exe morpheus\my shared folder\credit card.exe morpheus\my shared folder\hacker.scr morpheus\my shared folder\hotmail hack.exe morpheus\my shared folder\icq hack.exe morpheus\my shared folder\matrix reloaded.scr morpheus\my shared folder\norton keygen-all vers.exe morpheus\my shared folder\serials collections.exe morpheus\my shared folder\simpsons.exe morpheus\my shared folder\xxx virtual sex.scr Es capaz también de enviarse a usuarios de algunos canales de chat (IRC), utilizando DCC (Direct Client to Client). DCC es el protocolo de transferencia de archivos utilizado en el IRC, para el intercambio de datos entre computadoras a través de los comandos SEND y GET. A través del IRC, utiliza la transferencia directa (DCC) a otros usuarios conectados al mismo canal de chat. El gusano puede enviar una notificación de infección a un usuario remoto, y quedar a la escucha de una respuesta por el puerto 61282. El gusano puede consumir una gran cantidad de recursos mientras se ejecuta, provocando una notoria perdida de rendimiento del sistema. Finalmente, el gusano intentará conectarse al sitio www.google.com, para examinar su posibilidad de conexión a Internet. Si ella es posible, entonces el gusano comienza a enviarse en mensajes como el ya visto. Además, intentará enviar un mensaje a su autor. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\cpumgr.dll c:\windows\cpumgr.exe c:\windows\pdmn.smt c:\windows\photo.zip Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: CPU Manager 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_USERS \.DEFAULT \Software \Microsoft \Windows 5. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Type 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1139 Año 7, Miércoles 20 de agosto de 2003