Mostrando mensaje 184     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1135 Año 7, Sábado 16 de agosto de 2003 Fecha: Sabado, 16 de Agosto, 2003  03:45:20 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1135 Año 7, Sábado 16 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - La solución para descargar parches de Microsoft 2 - Advierten sobre la segunda vulnerabilidad en RPC 3 - Preguntas frecuentes sobre el Lovsan (Blaster) 4 - Troj/Backdoor.Graybird.E. Adjunto: "03-26updated.exe" 5 - VBS/Lembra.A. Asunto: "Ola Lembra de mim!" _____________________________________________________________ 1 - La solución para descargar parches de Microsoft _____________________________________________________________ http://www.vsantivirus.com/sol-winupdates.htm La solución para descargar parches de Microsoft Por Angela Ruiz angela@videosoft.net.uy ---- IMPORTANTE ---- Agende esta dirección para descargar los parches de actualización de Microsoft: http://windowsupdate.microsoft.com -------------------- Un error en la programación del código del gusano Lovsan que hoy sábado atacaría al sitio de Microsoft (windowsupdate.com), podría ser la mejor arma del gigante informático para enfrentarse a la amenaza. El gusano, que hasta ahora ha infectado de 180,000 a 350,000 computadoras (según quien proporcione las estadísticas), tiene como misión hacer caer al sitio web de Microsoft, utilizado para la descarga de actualizaciones, por medio de un gran bombardeo de solicitudes simultáneas, desde todos los equipos infectados. Aunque a esta hora (el artículo está escrito a las 23:49 UTC/GMT), aún no hay reportes de esta actividad del gusano. Lovsan explota un defecto en la mayoría de las versiones actuales del sistema operativo de Windows, cuyo parche está disponible desde el 16 de julio pasado. Sin embargo, la mayoría no lo instaló nunca, o no siguió normas elementales de seguridad, como mantener activo un cortafuegos, que también previene la infección. Una actitud irresponsable, si tenemos en cuenta que el Lovsan atacó a cientos de miles de computadoras recién casi un mes después. El gusano provoca efectos notorios, al reiniciar frecuentemente a la computadora, o desconectarla de Internet. Por otra parte, también utiliza a las computadoras infectadas como verdaderos zombies, haciendo que cada una de ellas realice a partir del 16 de agosto, un ataque simultáneo al sitio mencionado, provocando que los propios parches que corrigen la falla, no sean accesibles. Pero parece existir un defecto en el código del gusano. El mismo está programado para dirigir el ataque al sitio http://windowsupdate.com, que es una dirección incorrecta para llegar al verdadero sitio de Microsoft que contiene las actualizaciones. En realidad, se hace una redirección automática al sitio http://windowsupdate.microsoft.com. Esta redirección ha sido desactivada en las últimas horas, en un intento de minimizar el ataque. El verdadero sitio por lo tanto, debería estar disponible aún durante el ataque, el problema es que los usuarios lo ignoran, cosa que sin dudas puede causar confusión. En concreto, el ataque podría bloquear la dirección original, pero quien desee descargar los parches, puede hacerlo si apunta su navegador a la verdadera dirección, http://windowsupdate.microsoft.com. Por otra parte, Microsoft informa a última hora, que tomará todas las precauciones para minimizar los efectos, sin especificar las acciones que llevará a cabo para lograrlo. Otra consecuencia del ataque, puede ser el aumento de tráfico en determinadas partes de la red, al existir cientos de miles de computadoras intentando llegar al mismo sitio, en el mismo momento. Esto ocasionará algunos enlentecimientos en el tráfico global, según opinan los expertos, aunque la mayoría dice que de ningún modo será algo catastrófico, y que Internet está preparada para resistirlo. Finalmente, se ha verificado que el índice de infecciones ha disminuido, ante la difusión que se ha hecho de las acciones del gusano, lo que ha llevado a muchos usuarios a actuar en consecuencia. Sin embargo, los expertos aseguran que las infecciones del mismo continuarán por lo menos, hasta el 2005, siguiendo el promedio de vida de este tipo de infección, aunque en una proporción mucho menor a la actual en materia de equipos infectados. * Relacionados "Nuevo" sitio de actualizaciones de Windowsupdate http://windowsupdate.microsoft.com Lo que debería saber sobre la vulnerabilidad RPC/DCOM http://www.vsantivirus.com/vul-rpc-dcom.htm Vulnerabilidad RPC/DCOM: MS03-026 http://www.vsantivirus.com/vulms03-026-027-028.htm W32/Lovsan.A (Blaster). Utiliza la falla en RPC http://www.vsantivirus.com/lovsan-a.htm Una pieza más del dominó, o un simple espectador http://www.vsantivirus.com/lz-domino.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Advierten sobre la segunda vulnerabilidad en RPC _____________________________________________________________ http://www.vsantivirus.com/vul-rpc-ubizen.htm Advierten sobre la segunda vulnerabilidad en RPC Por Angela Ruiz angela@videosoft.net.uy Ubizen, uno de los líderes europeos como proveedor de servicios de seguridad para ambientes de negocios globales, está alertando a sus clientes sobre la segunda vulnerabilidad crítica en Microsoft Windows, relacionada con el servicio RPC (Remote Procedure Call). Esta advertencia sigue a la anterior sobre el Lovsan o Blaster, gusano que ha infectado cientos de miles de computadoras alrededor del mundo valiéndose de un agujero similar reportado a mediados de julio de 2003. El Lovsan hizo su aparición el pasado lunes 11 de agosto, y su propagación llegó a récords pocas veces vistos antes. Uno de los más preocupantes efectos del gusano, es el ataque global al sitio de Microsoft programado en su código a partir de hoy sábado 16 de agosto. Esta acción impide en principio, que se puedan descargar los parches necesarios para esta falla, y para cualquier otra que pueda surgir mientras dure el ataque, al hacer que el sitio de Microsoft sea literalmente bloqueado. Pero según informa ahora Ubizen, existe una segunda vulnerabilidad mucho más grave, que espera su momento para convertirse en la protagonista de nuevas formas de ataques. Recordemos que esta falla ya fue anunciada por VSAntivirus el pasado 13 de agosto, en el artículo "Lo que debería saber sobre la vulnerabilidad RPC/DCOM", http://www.vsantivirus.com/vul-rpc-dcom.htm. Allí se menciona un boletín de seguridad del propio Microsoft que habla de esta segunda falla, con fecha 6 de agosto (MS03-032), y que misteriosamente nunca fue publicado (hasta el momento de escribir esto). El boletín, incomprensiblemente estaba aún colgado de las páginas de Microsoft España, como se muestra en la captura mostrada en dicho artículo de VSAntivirus (luego de la publicación de nuestro artículo fue quitado), pero sin enlaces desde ninguna parte del sitio. Simplemente, por alguna razón ignorada, Microsoft resolvió no publicarlo. La segunda vulnerabilidad, que también afecta a los protocolos RPC/DCOM, apenas está descripta en dicho boletín, y solo se menciona que es capaz de provocar un ataque de denegación de servicio. Ubizen confirma que los sistemas de Windows 2000 que han instalado el parche para la primera vulnerabilidad en el servicio RPC (publicado en julio con el boletín MS03-026), al momento actual, son vulnerables a esta segunda falla. Otras versiones de Windows no serían afectadas por la misma. Este segundo agujero, se localiza como la primera, en la parte de RPC que se ocupa del intercambio de mensajes sobre los protocolos TCP/IP. A través de esta falla, un atacante remoto podría hacer caer a los sistemas afectados, enviando datos especialmente modificados en forma maliciosa, al servicio RPC de Windows. Tal ataque de denegación de servicio (DoS), podría ser apuntado manualmente por el atacante, hacia uno o más blancos específicos. Cómo referencia, digamos que el gusano Lovsan, que se aprovecha de la primera de las vulnerabilidades en RPC, se distribuye a través de Internet a otros sistemas vulnerables, y luego cada sistema busca a su vez, en forma aleatoria, otras máquinas con la misma falla expuesta. Actualmente, existen numerosas herramientas capaces de aprovecharse de la segunda falla, las que permiten a un atacante realizar un ataque de denegación de servicio a un blanco específico que sea vulnerable. Sin embargo, parece prácticamente imposible que se presente un gusano que utilice algún código para explotar esta vulnerabilidad, como lo hace el Blaster con la primera de las fallas. En otras palabras, un atacante remoto no podría ejecutar comandos en los sistemas afectados, pero si podría hacerlo con un acceso local. Pero por cierto, eso no nos asegura nada, ya que la falla existe, y ello de por si, deja muchas posibilidades inexploradas aún, que comprometen la seguridad de todos los sistemas vulnerables. * Relacionados: Ubizen http://www.ubizen.com/ Lo que debería saber sobre la vulnerabilidad RPC/DCOM http://www.vsantivirus.com/vul-rpc-dcom.htm Vulnerabilidad RPC/DCOM: MS03-026 http://www.vsantivirus.com/vulms03-026-027-028.htm W32/Lovsan.A (Blaster). Utiliza la falla en RPC http://www.vsantivirus.com/lovsan-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Preguntas frecuentes sobre el Lovsan (Blaster) _____________________________________________________________ http://www.vsantivirus.com/faq-lovsan.htm Preguntas frecuentes sobre el Lovsan (Blaster) [Basado en el FAQ de Kaspersky Lab, proporcionado por Kaspersky Lab México] 1. ¿Cuál es la diferencia entre el gusano Lovesan, Lovsan, Blaster, Msblast y Poza? No existe ninguna diferencia. Son alias del mismo gusano. Cada fabricante de antivirus suele darle un nombre diferente. Por ejemplo, Kaspersky lo llama Worm.Win32.Lovesan por el tipo de código analizado, es decir es código de 32 bits (Win32) y es un gusano (Worm) debido a que se propaga a través de la red. Hasta ahora existen tres variantes modificadas del Lovsan, que algunos desarrolladores de software antivirus han denominado A, B y C. 2. ¿Cómo saber si mi PC está infectado? Su equipo podría estar infectado si se cumplen algunas de estas características: a. Encuentra los siguientes archivos en el directorio System de Windows (generalmente C:\Windows\Systems32\ o C:\Winnt\System32): Msblast.exe Teekids.exe Penis32 b. Su computadora se reinicia en forma aleatoria unos cuántos minutos después de iniciar su conexión a Internet. c. Aparecen mensajes de error inesperados cuando utiliza MS Word, Excel u Outlook. d. Aparecen mensajes de fallas provocadas por el archivo Svchost.exe e. El sistema muestra errores de falla con el servicio RPC con un mensaje como el siguiente: Apagar el sistema Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM Tiempo restante para el apagado: xx:xx:xx Mensaje Windows debe reiniciar ahora porque el servicio Llamada a procedimiento remoto (RPC) terminó de forma inesperada 3. ¿Qué daño puede causar Lovsan a mi PC? Este gusano no provoca ningún daño a los archivos locales de las computadoras infectadas, tampoco borra o cambia datos en las mismas. Lovsan afecta únicamente el servicio de Internet debido principalmente al excesivo tráfico que genera durante su intento de infección. Como resultado los canales de transmisión pueden saturarse y el servicio de Internet será lento e intermitente. Adicionalmente, Lovsan contiene una rutina que se activa a partir del sábado 16 de agosto, la cuál ejecuta un ataque DDoS (Distributed Denial of Service o ataque distribuido de denegación de servicio), dirigido hacia el sitio de Windowsupdate.com. Como resultado de esto, el servidor que provee parches de seguridad del sistema operativo Windows podría sufrir un colapso y dejar a los usuarios sin éste servicio. Para evitarlo, Microsoft habilitó el siguiente enlace para las actualizaciones de sus productos (incluidos los parches que evitan el Lovsan). http://windowsupdate.microsoft.com 4. ¿Cuáles versiones de Windows son vulnerables al ataque? Las siguientes versiones de Windows son vulnerables al ataque del Lovsan: Windows NT 4.0 Server Windows NT 4.0 Terminal Server Edition Windows 2000 Windows XP 32 bit Edition Windows XP 64 bit Edition Windows Server 2003 32 bit Edition Windows Server 2003 64 bit Edition No son vulnerables Windows 95, 98 ni Me. Aún cuando un archivo infectado puede llegar a un equipo con cualquiera de estos sistemas, los mecanismos de infección no podrían activarse. 5. ¿Cómo puedo proteger mi computadora de éste gusano? Usted debe seguir los siguientes pasos para minimizar el riesgo de infección con el Lovsan: a. Actualizar su programa antivirus y no desactivarlo mientras este conectado a Internet. b. Instalar un cortafuegos personal y bloquear los puertos 69, 135 y 4444 (cortafuegos como ZoneAlarm y otros, bloquean estos puertos sin necesidad de que usted lo deba indicar, si lo instala como se explica en nuestras páginas http://www.vsantivirus.com/za.htm). c. Descargar y aplicar los parches recomendados por Microsoft para eliminar la vulnerabilidad RPC/DCOM que es utilizada para atacar la PC. Recuerde que la descarga y aplicación de los parches de Microsoft son importantes ya que estos evitarán que su computadora sea atacada mediante la vulnerabilidad RPC/DCOM (boletín MS03-026, http://www.vsantivirus.com/vulms03-026- 027-028.htm). 6. ¿Que es un cortafuegos y donde puedo obtenerlo? Un cortafuegos es un programa especial que lo protege contra intrusos controlando la transferencia de datos entre Internet y su computadora. Un cortafuegos filtra programas y paquetes maliciosos. Además previene la conexión de aplicaciones del área protegida hacia Internet. Para usuarios caseros recomendamos: - Cortafuegos gratuitos para uso personal: ZoneAlarm http://www.vsantivirus.com/za.htm Outpost Firewall http://www.protegerse.com/outpost/ Kerio Personal Firewall http://www.beeeeee.net/nautopia/kerio3.htm En Windows XP, puede utilizar el cortafuegos integrado: Internet Connection Firewall (ICF) Para activar ICF en Windows XP, siga estos pasos: a. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. b. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. c. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". d. Seleccione Aceptar, etc. - Cortafuegos de pago: Kaspersky Anti-Hacker http://www.kaspersky.com/buyonline.html?chapter=964564 McAfee http://us.mcafee.com/root/offer/default.asp?id=4705&affid=0&c id=&lpname=offer%5F470%2Easp Symantec http://www.symantec.com/sabu/nis/npf/ ZoneAlarm Pro http://www.zonelabs.com/store/content/catalog/products/zap/za p_details.jsp Tiny Personal Firewall http://www.tinysoftware.com/home/tiny2?la=EN Outpost Firewall http://www.protegerse.com/outpost/ Kerio Personal Firewall http://www.kerio.com/us/kpf_download.html BlackICE PC Protection http://blackice.iss.net/product_pc_protection.php 7. ¿Cómo instalo los parches de Windows? Microsoft proporciona los siguientes enlaces directos para descargar los parches para la vulnerabilidad que permite la propagación del Lovsan: - Windows NT 4.0 Server En inglés http://download.microsoft.com/download/6/5/1/651c3333-4892- 431f-ae93-bf8718d29e1a/Q823980i.EXE En alemán http://download.microsoft.com/download/a/b/9/ab93b6b0-a6cf- 489e-8617-30c504e2186f/DEUQ823980i.EXE En francés http://download.microsoft.com/download/0/a/6/0a650ec4-5936- 4bdc-a333-4099f833a58d/fra_Q823980i.exe En español http://download.microsoft.com/download/a/1/c/a1c2268c-00d6- 4337-aa31-4792a27d1a9a/esp_Q823980i.exe - Windows NT 4.0 Terminal Server Edition En inglés http://download.microsoft.com/download/4/6/c/46c9c414-19ea- 4268-a430-53722188d489/Q823980i.EXE En alemán http://download.microsoft.com/download/7/d/5/7d5325d5-303e- 4640-81e8-6d0815804ae7/DEUQ823980i.EXE En francés http://download.microsoft.com/download/4/4/b/44b337e5-cd90- 4666-b445-0109f79db350/fra_q823980i.exe En español http://download.microsoft.com/download/8/8/f/88fdf629-315f- 4390-9d5a-713c871b8895/esp_q823980i.exe - Windows 2000 En inglés http://download.microsoft.com/download/0/1/f/01fdd40f-efc5- 433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe En alemán http://download.microsoft.com/download/9/2/1/921a4733-e72c- 4309-89db-408b65f64b0c/Windows2000-KB823980-x86-DEU.exe En francés http://download.microsoft.com/download/d/9/a/d9a3ee53-71cb- 46d7-8310-6331368635ec/Windows2000-KB823980-x86-FRA.exe En español http://download.microsoft.com/download/c/c/a/cca96cb3-cbda- 4e9b-8c8e-c76505c48dfd/Windows2000-KB823980-x86-ESN.exe - Windows XP 32 bit Edition En inglés http://download.microsoft.com/download/9/8/b/98bcfad8-afbc- 458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe En alemán http://download.microsoft.com/download/9/6/9/9692371d-a587- 42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe En francés http://download.microsoft.com/download/d/7/9/d79802a1-909a- 4806-8bfc-43254bd0cd8c/WindowsXP-KB823980-x86-FRA.exe En español http://download.microsoft.com/download/6/6/0/660dd9a5-c7b4- 4d62-9c1d-025b073c1c7b/WindowsXP-KB823980-x86-ESN.exe - Windows XP 64 bit Edition En inglés http://download.microsoft.com/download/a/7/5/a75b3c8f-5df0- 451b-b526-cfc7c5c67df5/WindowsXP-KB823980-ia64-ENU.exe En alemán http://download.microsoft.com/download/1/a/4/1a4178c9-4f7d- 4b00-a587-5a2c8b6836a4/WindowsXP-KB823980-ia64-DEU.exe En francés http://download.microsoft.com/download/2/1/7/2170fd3c-ff45- 4a52-91ed-8e6acdf67d5d/WindowsXP-KB823980-ia64-FRA.exe - Windows Server 2003 32 bit Edition En inglés http://download.microsoft.com/download/8/f/2/8f21131d-9df3- 4530-802a-2780629390b9/WindowsServer2003-KB823980-x86-ENU.exe En alemán http://download.microsoft.com/download/2/c/4/2c4101fe-b675- 4266-9fd1-b7558710e3b4/WindowsServer2003-KB823980-x86-DEU.exe En francés http://download.microsoft.com/download/9/1/e/91eee54a-9b68- 49f6-aa45-b6cbd7fe5c4f/WindowsServer2003-KB823980-x86-FRA.exe En español http://download.microsoft.com/download/2/6/0/260e8ccf-a271- 42b9-8e94-60b62a0bb8c5/WindowsServer2003-KB823980-x86-ESN.exe - Windows Server 2003 64 bit Edition En inglés http://download.microsoft.com/download/4/0/3/403d6631-9430- 4ff6-a061-9072a4c50425/WindowsServer2003-KB823980-ia64- ENU.exe En alemán http://download.microsoft.com/download/3/0/5/3055cb12-dbb5- 401f-931b-b86907ff2f63/WindowsServer2003-KB823980-ia64- DEU.exe En francés http://download.microsoft.com/download/c/f/6/cf63408b-bbbf- 425e-bc68-ae460cb84e2f/WindowsServer2003-KB823980-ia64- FRA.exe Solo necesita descargarlos y ejecutarlos en su equipo desconectado de Internet. Un asistente lo guiará durante el proceso de instalación. 8. No puedo descargar los parches de Microsoft porque mi computadora se reinicia constantemente. En caso de que su computadora se reinicie en forma continua, lo mas probable es que esté infectada por el gusano Lovsan. En ese caso busque el archivo TFTP.EXE en el directorio de sistema de Windows y renómbrelo (generalmente C:\Windows\System32\ o C:\Winnt\System). También revise en el caché, en la siguiente carpeta (\Windows\System32\dllcache). Después de aplicar los parches usted puede renombrar el archive con su nombre original. 9. ¿Qué hago si mi computadora ya está infectada por el gusano Lovsan? En este caso usted debe verificar que su antivirus esté actualizado y ejecutar un escaneo completo a todos sus discos. Existen también varias herramientas específicas para la limpieza del gusano. La de Kaspersky Lab, es una utilería que localiza, desactiva y borra los archivos infectados de todos los discos, además restaura los archivos del directorio de sistema de Windows. Puede descargar la utilería gratuita del siguiente enlace: http://www.vsantivirus.com/util-clrav.htm También puede encontrar otras herramientas, y un procedimiento de limpieza manual, en el siguiente enlace: http://www.vsantivirus.com/lovsan-a.htm En todos los casos, al finalizar la ejecución de las herramientas mencionadas, usted deberá ejecutar un escaneo completo con un antivirus al día y reiniciar su equipo. 10. Ya quité el gusano Lovsan pero mi computadora se vuelve a infectar. Los procedimientos de limpieza, sirven justamente para eso, "limpian" o remueven el gusano del equipo infectado, pero no lo protegen de ataques posteriores. Usted deberá aplicar los parches de Microsoft, y seguir las recomendaciones ya explicadas (antivirus al día, cortafuegos, etc.). Agradecimientos: Kaspersky Lab México, http://www.avp.com.mx/ * Relacionados: W32/Lovsan.A (Blaster). Utiliza la falla en RPC http://www.vsantivirus.com/lovsan-a.htm W32/Lovsan.B (Blaster). Utiliza "penis32.exe" http://www.vsantivirus.com/lovsan-b.htm W32/Lovsan.C (Blaster). Utiliza "teekids.exe" http://www.vsantivirus.com/lovsan-c.htm Troj/Fresh.20.A. Troyano que "libera" a Lovsan.C http://www.vsantivirus.com/fresh20-a.htm Lo que debería saber sobre la vulnerabilidad RPC/DCOM http://www.vsantivirus.com/vul-rpc-dcom.htm Vulnerabilidad RPC/DCOM: MS03-026 http://www.vsantivirus.com/vulms03-026-027-028.htm Lovsan, Blaster o MSBlast. Una pesadilla anunciada http://www.vsantivirus.com/ev12-08-03.htm Una pieza más del dominó, o un simple espectador http://www.vsantivirus.com/lz-domino.htm Después de todo, es un simple gusano... http://www.vsantivirus.com/apagon14-08-03.htm Microsoft se prepara para el gran "ataque" del Blaster http://www.vsantivirus.com/lz14-08-03.htm La solución para descargar parches de Microsoft http://www.vsantivirus.com/sol-winupdates.htm Advierten sobre la segunda vulnerabilidad en RPC http://www.vsantivirus.com/vul-rpc-ubizen.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Backdoor.Graybird.E. Adjunto: "03-26updated.exe" _____________________________________________________________ http://www.vsantivirus.com/back-graybird-e.htm Nombre: Troj/Backdoor.Graybird.E Tipo: Caballo de Troya Alias: Backdoor.Graybird.E, Backdoor.Graybird.g, Troj/Graybird-A, Win32/Graybird.A, BackDoor-ARR Fecha: 14/ago/03 Plataforma: Windows 32-bit Tamaño: 319,670 bytes Este troyano es una variante de Backdoor.Graybird [http://www.vsantivirus.com/back-arr.htm], y no posee ninguna rutina de propagación. Puede distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. Los primeros reportes, indican que se ha enviado en forma de SPAM masivo a miles de direcciones electrónicas capturadas con otros métodos, en un mensaje con las siguientes características: De: webmaster@microsoft.com Asunto: updated Datos adjuntos: 03-26updated.exe Texto: Dear customer: At 11:34 A.M. Pacific Time on August 13, Microsoft began investigating a worm reported by Microsoft Product Support Services (PSS). A new worm commonly known as W32.Blaster.Worm has been identified that exploits the vulnerability that was addressed by Microsoft Security Bulletin MS03-026. Download the attached update program. To begin the download process, do one of the following: To download the attached program to your computer for installation at a later time, click Save or Save this program to disk.then run it. If you have any problem ,connect to us immediately. El troyano permite a un atacante el acceso y control remoto no autorizado de la máquina infectada. Es un archivo ejecutable en formato PE (Portable Ejecutable), escrito en Delphi y comprimido con la herramienta ASPack. Una vez que el troyano se esta ejecutando como servidor en la computadora de la víctima, el atacante puede administrar en forma remota todos los recursos de la máquina infectada. Cuando se ejecuta, se copia a si mismo en la carpeta System de Windows, con el nombre de "sp00lsv.exe" (note que el nombre contiene dos CEROS simulando ser la letra "O"): c:\windows\system\sp00lsv.exe Luego crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Sp00lsv = c:\windows\system\sp00lsv.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Sp00lsv = c:\windows\system\sp00lsv.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Sp00lsv = c:\windows\system\sp00lsv.exe Con el mismo propósito, crea la siguiente entrada en el archivo WIN.INI: [windows] run = c:\windows\system\sp00lsv.exe "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). El troyano intenta acceder a las contraseñas almacenadas en el caché de la computadora infectada, para obtener los nombres de usuarios y claves de accesos a Internet, etc. Luego se conecta a un servidor específico en el puerto 8001, y envía la información robada. También envía a un usuario remoto, una notificación por correo electrónico. Además puede interceptar todo lo tecleado por la víctima, lo que incluye todos los datos que el usuario ingrese, incluyendo contraseñas, números de tarjeta de crédito, etc. El troyano queda esperando instrucciones que le permitirán a un atacante realizar cualquiera de las siguientes acciones: - Activa y desactiva el equipo, lo suspende o apaga. - Borra archivos y formatea el disco duro. - Captura información de la configuración del servidor y de las estaciones de trabajo. - Captura teclas digitadas por el usuario. - Control de Acceso Remoto de los archivos y programas de los sistemas atacados. - Controla periféricos como el mouse, CD/DVD drivers, monitor, etc. - Envía mensajes de correo desde el equipo infectado a través de las librerías MAPI. - Formatear el disco duro. - Instala un servidor FTP para usar la computadora como almacén de archivos temporal. - Instala un servidor proxy Socks5 - Puede enviar comandos a través del Chat. - Roba claves de acceso y números de tarjetas de crédito. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). * Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre el siguiente archivo (recuerde que el nombre contiene un CERO simulando ser la letra "O"): c:\windows\system\sp00lsv.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre cualquiera de las siguientes entradas que aparezcan: Sp00lsv Winlogon 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre cualquiera de las siguientes entradas que aparezcan: Sp00lsv Winlogon 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre cualquiera de las siguientes entradas que aparezcan: Sp00lsv Winlogon 8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [Windows] run = c:\windows\system\sp00lsv.exe Debe quedar como: [Windows] run = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - VBS/Lembra.A. Asunto: "Ola Lembra de mim!" _____________________________________________________________ http://www.vsantivirus.com/lembra-a.htm Nombre: VBS/Lembra.A Tipo: Gusano de Visual Basic Script Alias: VBS.Lembra@mm Fecha: 13/ago/03 Reportado por: Symantec Plataforma: Windows 32-bit Tamaño: 1,051 bytes Este gusano, escrito en Visual Basic Script, se propaga por correo electrónico, enviándose a todos los contactos de la libreta de direcciones de Microsoft Outlook y Outlook Express. El mensaje que utiliza para propagarse, tiene estas características: Asunto: Ola Lembra de mim! Datos adjuntos (uno de los siguientes): Grasiele.VBS DDKBR.VBS Texto: Estou com saudades. El gusano se copia en la siguiente ubicación: c:\windows\system\Grasiele.VBS NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "C:\Windows\System" (por defecto) en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003. Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run DarkDevil.Grasiele.BR = c:\windows\system\Grasiele.VBS Luego, se envía como archivo adjunto, a toda la lista de contactos de Microsoft Outlook en un mensaje como el descripto antes. El gusano también intentará abrir 100 copias de EXPLORER.EXE (el Explorador de Windows), y mostrará el siguiente mensaje: Eu Amo A Grasiele Esto provocará un agotamiento de la memoria disponible. Existe un "dropper" que libera al gusano propiamente dicho. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper". Cuando ello ocurre, el gusano es copiado en la siguiente ubicación: C:\Ddkvbr.vbs Y se crea la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run DarkDevil.Grasiele.BR = C:\Ddkvbr.vbs * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre cualquiera de los siguientes archivos que aparezcan: c:\ddkvbr.vbs c:\windows\system\grasiele.vbs Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DarkDevil.Grasiele.BR 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1135 Año 7, Sábado 16 de agosto de 2003