| Asunto: | VSantivirus No. 1140 Año 7, Jueves 21 de agosto de 2003 | | Fecha: | Jueves, 21 de Agosto, 2003 05:34:47 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1140 Año 7, Jueves 21 de agosto de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - La información y la seguridad
2 - Kaspersky Antivirus 3.0 no detecta al Sobig.F
3 - MS03-032 Actualización acumulativa para IE (822925)
4 - Múltiples vulnerabilidades en clientes eMule/xMule/Lmule
5 - W32/Panol.B. Datos adjuntos: "Virus_scanner.exe"
6 - W32/Miniman.A. Datos adjuntos: "Virus.vbs", "Attach.exe"
_____________________________________________________________
1 - La información y la seguridad
_____________________________________________________________
http://www.vsantivirus.com/fdc-info-seguridad.htm
La información y la seguridad
Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com
La epidemia provocada por la aparición del nuevo gusano
Blaster demuestra, una vez más, la relación directamente
proporcional entra la falta de información y la mayor
probabilidad de sufrir un ataque por parte de un virus
informático.
La historia se remonta al día 4 de Agosto, cuando Microsoft
elevó a crítica una vulnerabilidad que ya había sido descrita
dos semanas atrás. La misma consiste en un problema con DCOM
y RPC, componentes muy usados en aplicaciones cliente
servidor para redes locales. Los sistemas afectados son
Windows NT 4.0 Server y Terminal Server Edition, Windows
2000, Windows XP 32 y 64 bit Edition y Windows Server 2003
también en las ediciones de 32 bits y de 64 bits.
Cada vez que cualquier fabricante de un sistema operativo
anuncia un problema de seguridad o eleva el nivel de peligro
de una vulnerabilidad, se vuelve a generar un montón de ruido
en contra de ese fabricante. Pero, eso sí, ese ruido se
vuelve clamor generalizado cuando el fabricante es Microsoft.
¿Acaso no hay errores en otras plataformas?.
Unos cuantos días después de que Microsoft publicara ese
problema, Oracle anunció dos alertas de seguridad relativas a
sendas vulnerabilidades que afectan a sus soluciones Oracle
8i/9i, Oracle E-Business Suite y Oracle Application Server.
Uno de los problemas de seguridad, posibilita la ejecución de
código arbitrario en el servidor de bases de datos. El otro,
puede provocar una Denegación de Servicio contra Oracle E-
Business Suite.
Desde luego, tan peligrosa puede ser una vulnerabilidad en
Oracle como en los sistemas Microsoft, y nadie ha dicho que
Oracle deba iniciar un proceso de "Trust computing" en sus
productos, cuando también han sido detectadas muchas otras
vulnerabilidades en el famoso programa de gestión
empresarial.
Podríamos ahora hacer un repaso de las vulnerabilidades
detectadas en programas como Apache, o en otros sistemas
operativos como Linux en muchas de sus distribuciones.
También son numerosas y, en muchos casos, nunca llegan a ser
corregidas. ¿Quieren hacer una prueba?. En cualquier buscador
de Internet, introduzcan "It Worked! The Apache Web Server is
Installed on this Web Site!". Aparecerán varios cientos de
sitios que acaban de instalar Apache y que, posiblemente,
todavía no han instalado las actualizaciones para conocidas
vulnerabilidades de ese tipo de servidor.
Así, como pueden ver, no todos los administradores de
sistemas, sean de Linux, de Windows, o de ambos, pueden
presumir de tener la seguridad de sus sistemas perfectamente
a punto. Y no hablo del famoso e inalcanzable 100% seguro; me
refiero solamente a llegar a niveles aceptables.
En muchos casos, los administradores confían la seguridad al
mero azar. Los sistemas quedan demasiadas veces con
instalaciones por defecto, sin posteriores implementaciones
de "service packs", "support packs", "hot fixes"... o como lo
denomine el fabricante, para garantizar un correcto
funcionamiento del sistema ante cualquier situación.
Solamente cuando se produce una alerta por una vulnerabilidad
crítica que se publica masivamente en los medios podemos
esperar alguna reacción, pero lo más normal es poner remedio
una vez que se ha producido el ataque. Es en ese momento
cuando se procede a la actualización de los sistemas
comprometidos.
Para poder arreglar esta situación hay dos opciones muy
sencillas. Por un lado, dejar la seguridad de los sistemas a
los profesionales del sector, que se encargarán de tener los
sistemas a punto y con un nivel de conocimientos muy superior
al que el administrador de base posee. Numerosas empresas
ofrecen sus servicios de seguridad a aquellos negocios que,
bien por falta de conocimientos o de medios, no pueden
asegurar adecuadamente sus sistemas.
La segunda solución, más barata sin duda, es apoyarse en los
servicios de información gratuitos que determinadas compañías
brindan. Basándose en boletines de noticias que suelen ser
diarios, los administradores podrán estar al tanto de las
amenazas de seguridad que se van descubriendo y que puedan
afectar a sus sistemas.
Dedicar cinco minutos al día a la seguridad no es excesivo,
máxime cuando la relación tiempo/beneficio puede ser
realmente provechosa para el administrador de sistemas y, por
ende, para toda la red. Recuerde: "Más vale perder cinco
minutos en la red que la red en cinco minutos". De haber
seguido este consejo Blaster hubiera pasado por el mundo de
los virus informáticos con mucha más pena que gloria.
(*) Fernando de la Cuadra es Editor Técnico Internacional de
Panda Software (http://www.pandasoftware.com)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Kaspersky Antivirus 3.0 no detecta al Sobig.F
_____________________________________________________________
http://www.vsantivirus.com/kav3-obsoleto.htm
Kaspersky Antivirus 3.0 no detecta al Sobig.F
Por Jose Luis Lopez
videosoft@videosoft.net.uy
La versión 3.0.132 y anteriores de KAV (Kaspersky Antivirus),
más conocido por los viejos usuarios como AVP, o Antiviral
Toolkit Pro, no detecta las últimas versiones del Sobig, el
gusano que se ha estado propagando en las últimas horas por
Internet, en verdaderas "oleadas" de mensajes infectados.
Los usuarios que aún confían en esta versión, la que incluso
nosotros hemos recomendado en más de una oportunidad, están
desprotegidos, y lo estarán por más que tengan su AVP
actualizado.
La razón, es que Kaspersky hace tiempo anunció que dejaría de
dar soporte a estas versiones, y por lo tanto no puede
garantizar que las nuevas bases de datos sean confiables en
un 100% con las versiones 3.x de su producto, rebautizado
como KAV (Kaspersky Antivirus) desde hace ya un tiempo.
La aparición de las primeras betas de la versión 4.0, trajo
además a los usuarios fieles a este producto, una gran
frustración por la cantidad ingente de recursos consumidos. Y
aunque las versiones finales (actualmente la 4.0.9),
mejoraron sensiblemente esta relación, de todos modos dejó de
ser la opción preferida para equipos de pocos recursos.
Los fieles defensores del ahora llamado KAV, siempre alabamos
su eficacia, y sobre todo su liviandad, al proteger nuestros
equipos sin quitarnos valiosos recursos en el intento, como
otros tienen la fama de hacerlo.
Por lo pronto, ya no es una opción por la que deberíamos
optar, porque no podremos estar seguros de que nos estará
protegiendo de ahora en más.
Las soluciones obvias, son cambiar de antivirus, o
actualizarse a la versión 3.5 (aunque también en vías de
extinción), que por ahora detecta los nuevos virus, siempre
que esté actualizada su base de datos.
También existe la posibilidad (más recomendable), de pasarse
a la versión 4.0.9, la que tiene todo el soporte de
Kaspersky. Sin embargo, debemos ser conscientes que esta
versión, aún hoy, puede ser muy pesada para equipos con pocos
recursos, y ya obsoletos, aunque esto último no sea algo que
nos guste asumir.
Porque está claro para muchos, que cambiar de computadora,
puede sonar a un chiste de muy mal gusto para la mayoría de
los usuarios de nuestros países.
Sin embargo, no podemos criticar a Kaspersky por esto.
Tendríamos que hacer lo mismo con los fabricantes de
cualquier software o hardware actual, empezando por
Microsoft, que ya no da soporte para ningún Windows anterior
al Me (y éste, solo hasta fin de año).
En concreto, si usted utiliza aún versiones anteriores a la
3.5 de los productos de Kaspersky Antivirus, su computadora
ya no está protegida. Es de vital importancia que actualice
lo antes posible su solución antivirus.
* Relacionados:
Kaspersky Anti-Virus
http://www.avp-es.com/
W32/Sobig.F. Gusano de gran propagación
http://www.vsantivirus.com/sobig-f.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - MS03-032 Actualización acumulativa para IE (822925)
_____________________________________________________________
http://www.vsantivirus.com/vulms03-032.htm
MS03-032 Actualización acumulativa para IE (822925)
Por Lissette Zapata
liszapata@videosoft.net.uy
Nivel de Gravedad: Crítica
Productos afectados por esta actualización:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
Se trata de una actualización acumulativa para el Internet
Explorer que corrige tres nuevas vulnerabilidades, e incluye
además, todas las revisiones publicadas anteriormente para
Internet Explorer 5.01, 5.5 y 6.0.
La más grave de todas las fallas, podría permitir a un
atacante ejecutar código arbitrario en el sistema de un
usuario si éste explorase un sitio Web hostil o abriese un
mensaje de correo electrónico en formato HTML especialmente
diseñado.
Entre los problemas de seguridad en Microsoft Internet
Explorer que se han detectado están los que podrían permitir
a un atacante introducirse en un sistema basado en Microsoft
Windows y, a continuación, llevar a cabo ciertas tareas. Por
ejemplo, se podrían ejecutar programas en el equipo utilizado
para ver un sitio Web malicioso, creado por el atacante.
Esto afecta a cualquier equipo con la simple condición de
tener Internet Explorer instalado. Es decir, no es necesario
que se utilice IE como explorador Web, para verse afectado
por este problema.
* Descripción de las vulnerabilidades
* Ejecución de una secuencia de comandos de caché del
explorador en la zona Mi PC
Esta vulnerabilidad afecta al modelo de seguridad entre
dominios de Internet Explorer, que normalmente impide que las
ventanas de diferentes dominios compartan información. Este
defecto podría permitir la ejecución de una secuencia de
comandos en la zona Mi PC. Con el fin de aprovecharse de este
defecto, un atacante tendría que crear en un sitio Web, una
página diseñada para aprovechar esta vulnerabilidad, y a
continuación, persuadir a su víctima a que visitara dicha
página.
Cuando el usuario visite el sitio, el atacante podría
ejecutar una secuencia de comandos malintencionada que podría
permitir la carga de código en el contexto de la zona Mi PC
de la víctima, incluso invocando cualquier ejecutable que ya
estuviera presente en el sistema local, o visualizar los
archivos de ese equipo.
* Vulnerabilidad de etiquetas de objeto
Internet Explorer no puede determinar correctamente un tipo
de objeto que se devuelve de un servidor Web. Un atacante
podría utilizar este punto vulnerable para ejecutar código
arbitrario en el sistema de un usuario.
Si un usuario visita el sitio Web del atacante, éste podría
aprovechar esta vulnerabilidad sin necesidad de ninguna otra
intervención de parte del usuario. Un atacante también podría
diseñar un mensaje de correo electrónico en formato HTML para
aprovecharse de esta vulnerabilidad.
* Saturación del búfer BR549.DLL
El control ActiveX BR549.DLL implementaba la compatibilidad
para la herramienta de informes de Windows, que ya no es
compatible con Internet Explorer.
Se ha descubierto que este control contiene una
vulnerabilidad en la seguridad, y a fin de proteger a los
clientes que lo tienen instalado, la revisión impide que se
ejecute dicho control o que éste vuelva a introducirse en el
sistema de los usuarios, configurando el bit de interrupción
del mismo.
* Otras actualizaciones
Además de las vulnerabilidades descriptas, esta actualización
soluciona un defecto en la manera en que Internet Explorer
muestra las páginas Web, y que podría permitir a un atacante,
a través de una página Web maliciosa, o por medio de un
mensaje de correo electrónico con formato HTML, creado
maliciosamente, provocar errores en el Outlook Express o en
el Explorer de su víctima.
Para comprender mejor estas vulnerabilidades veamos este
cuadro comparativo por vulnerabilidad y versión del Explorer.
* Ejecución de una secuencia de comandos de caché del
explorador en la zona Mi PC
IE 5.01 SP3 (Importante)
IE 5.5 SP2 (Importante)
IE 6.0 Gold (Importante)
IE 6.0 SP1 (Importante)
IE 6.0 para Windows Server 2003 (Moderada)
* Vulnerabilidad de etiquetas de objeto
IE 5.01 SP3 (Crítica)
IE 5.5 SP2 (Crítica)
IE 6.0 Gold (Crítica)
IE 6.0 SP1 (Crítica)
IE 6.0 para Windows Server 2003 (Moderada)
* Saturación del búfer BR549.DLL
IE 5.01 SP3 (Crítica)
IE 5.5 SP2 (Crítica)
IE 6.0 Gold (Crítica)
IE 6.0 SP1 (Crítica)
IE 6.0 para Windows Server 2003 (Moderada)
* Gravedad acumulada de todos los problemas incluidos en esta
revisión
IE 5.01 SP3 (Crítica)
IE 5.5 SP2 (Crítica)
IE 6.0 Gold (Crítica)
IE 6.0 SP1 (Crítica)
IE 6.0 para Windows Server 2003 (Moderada)
* Descarga de parches
Los parches pueden descargarse de los siguientes enlaces:
1. Todas las versiones (excepto IE 6.0 para Windows Servidor
2003):
http://www.microsoft.com/windows/ie/downloads/critical/822925/default.asp
En este enlace después de escoger el idioma que le
corresponde (en "Select Language:"), será llevado a una
página para seleccionar una de estas versiones del IE:
Internet Explorer 6 SP1
Internet Explorer 6 Windows XP
Internet Explorer 5.5 SP2
Internet Explorer 5.01 Win 2000 SP3 y Win 2000 SP4
2. Parche para IE 6.0 para Windows Server 2003:
http://www.microsoft.com/windows/ie/downloads/critical/822925s/default.asp
Seleccione la actualización en español, en la casilla "Select
Language:" a la derecha de la página.
* Más información:
http://www.microsoft.com/security/security_bulletins/ms03-032.asp
El parche sustituye a los anteriores (ver boletín MS03-015,
MS03-020).
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Múltiples vulnerabilidades en clientes eMule/xMule/Lmule
_____________________________________________________________
http://www.vsantivirus.com/hisp-vul-mule.htm
Múltiples vulnerabilidades en clientes eMule/xMule/Lmule
Francisco Javier Santos
fsantos@hispasec.com
(*) Noticia publicada originalmente en
http://www.hispasec.com/unaaldia/1760
Descubiertas importantes vulnerabilidades en eMule, xMule y
Lmule, que potencialmente permiten a un atacante comprometer
de forma remota los equipos que ejecuten las versiones
afectadas. Hispasec recomienda a todos los usuarios que
actualicen a la última versión disponible de forma inmediata.
Los clientes nombrados son unas de las herramientas más
utilizadas entre los usuarios de las famosas redes de
intercambio de archivos p2p, que en este caso funcionan bajo
redes edonkey2000. EMule corre bajo plataformas Windows,
mientras que xMule y Lmule lo hacen sobre Unix.
La gran cantidad de usuarios de estas redes (millones), y el
hecho de que la mayoría no suelen estar al tanto de
actualizaciones ni avisos de seguridad, los convierten en un
objetivo apetecible para los crackers y script-kiddies. En
último caso pueden dar la oportunidad a asociaciones como la
RIAA (la Asociación Estadounidense de la Industria de la
Grabación), u otras que nos tocan más cerca, de ejercer aun
más presión.
Dada la gravedad de las vulnerabilidades, Hispasec solicita
se de la máxima difusión a esta nota entre los foros más
concurridos por los usuarios de estos programas.
Las versiones afectadas son:
eMule <= 0.29c
Lmule <= 1.3.1
xMule <= 1.4.3, <= 1.5.6a (corregidas parcialmente)
Los usuarios de eMule ya disponen de la última versión 0.30a
que corrige todas las vulnerabilidades. Los usuarios de Lmule
deben cambiar a xMule debido a que los desarrolladores han
abandonado el proyecto en favor de este último. En el caso de
xMule las últimas versiones disponibles han corregido dos de
las cuatro vulnerabilidades, y se espera que en breve se
libere una nueva versión que haga lo propio con el resto.
Entrando con más detalle en las vulnerabilidades, la primera
afecta a la función que recoge los mensajes del servidor
(OP_SERVERMESSAGE). Un servidor podría actuar de forma
maliciosa formateando de forma especial dichos mensajes para
provocar el bloqueo del cliente o conseguir el control total
del sistema afectado.
La siguiente también puede ser provocada desde un servidor
malévolo, en esta ocasión explotando un heap overflow en la
función que recoge la identificación del servidor
(OP_SERVERIDENT), con las mismas implicaciones de seguridad
que las comentadas anteriormente.
La tercera de las vulnerabilidades, muy similar a la primera,
se basa en alterar el formato de los mensajes que se utilizan
para dar los nombres de los nuevos servidores que deben de
agregarse a la lista de servidores. Sin embargo en esta
ocasión es mucho más complicado que pueda lograrse con éxito
la ejecución de código arbitrario y tomar el control del
sistema afectado, por las limitaciones de tamaño impuestas a
la variable.
Sobre la última vulnerabilidad no han ofrecido muchos
detalles, pero concierne al envío de una secuencia de
paquetes perfectamente normales que pueden producir una
condición de error cuando su objeto es eliminado.
(*) Publicado en VSAntivirus con autorización de Hispasec
(www.hispasec.com)
* Más información:
emule/xmule/lmule remote vulnerabilities
http://security.e-matters.de/advisories/022003.html
eMule Project
http://www.emule-project.net/
xMule P2P Client
http://www.xmule.org/
Lmule Homepage
http://lmule.sourceforge.net/news.php
* Relacionados:
Ejecución de código en el cliente P2P, xMule
http://www.vsantivirus.com/vul-xmule-format-string.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Panol.B. Datos adjuntos: "Virus_scanner.exe"
_____________________________________________________________
http://www.vsantivirus.com/panol-b.htm
Nombre: W32/Panol.B
Tipo: Gusano de Internet
Alias: W32.Panol@mm
Fecha: 20/ago/03
Tamaño: 28,160 bytes
Plataforma: Windows 32-bit
Este gusano, programado en Microsoft Visual Basic y
comprimido con la utilidad UPX, se envía en forma masiva a
través del correo electrónico, a todos los contactos de la
libreta de direcciones del Outlook y Outlook Express, en un
mensaje con las siguientes características:
Asunto:
The easy, automatic way to keep your PC virus-free
Datos adjuntos: Virus_scanner.exe
Texto:
Online hackers know more than 2,500 ways to break
into naked, unprotected PC systems. In seconds,
they steal private files, credit card statements,
tax records, passwords even Social Security Numbers.
Cuando se ejecuta, se copia en las siguientes ubicaciones:
c:\virus_scanner.exe
c:\windows\virus_cleaner.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Modifica el registro para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Virus_Scanner = c:\windows\virus_cleaner.exe
Crea las siguientes claves:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Infected
Name = Panolili
Possessor = 0x06.0x15.0x06.0x09.0x0F.0x0C.0x0F.0x0C
Modifica el archivo C:\WINDOWS\WIN.INI:
[windows]
run = c:\windows\virus_cleaner.exe
Luego se envía en forma masiva a todos los contactos de la
libreta de direcciones del Outlook y Outlook Express, en un
mensaje como el descripto antes.
El gusano también cambia la página de inicio del Internet
Explorer por la del sitio web de la Universidad de Ankara, en
Turquía:
http://www.ankara.edu.tr
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\virus_scanner.exe
c:\windows\virus_cleaner.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Virus_Scanner
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Infected
5. Pinche en la carpeta "Infected" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run = c:\windows\virus_cleaner.exe
Debe quedar como:
[windows]
run =
3. Grabe los cambios y salga del bloc de notas.
* Información adicional
* Procedimiento para restaurar página de inicio y página de
búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - W32/Miniman.A. Datos adjuntos: "Virus.vbs", "Attach.exe"
_____________________________________________________________
http://www.vsantivirus.com/miniman-a.htm
Nombre: W32/Miniman.A
Tipo: Gusano de Internet
Alias: W32.Miniman@mm, I-Worm.Miniman, Win32/Miniman.A
Fecha: 20/ago/03
Plataforma: Windows 32-bit
Tamaños: 53,248 bytes, 2,456 bytes
Este gusano, programado en Microsoft Visual Basic, puede
borrar archivos y carpetas vitales de Windows, impidiendo su
ejecución y obligando a reinstalar.
Se envía en forma masiva a través del correo electrónico, a
todos los contactos de la libreta de direcciones del Outlook
y Outlook Express, en mensajes con las siguientes
características:
Mensaje 1:
Asunto: Microsoft Corporation Support
Datos adjuntos: Attach.exe y Virus.vbs
Texto:
Microsoft Corporation has issued a security alert
for your computer. The patch is avaliable in this
attached download. This file will patch a Exploit
found in Microsoft Windows Products. See Attached
info for Information.
Mensaje 2:
Asunto: The Bin Laden game
Datos adjuntos: Virus.vbs
Texto:
Hi! This is an awesome Bin Laden game. Shoot him good.
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\start menu\programs
\startup\sydneyfuckheheheh.exe
c:\windows\magicrulez.exe
Modifica el archivo C:\WINDOWS\WIN.INI:
[windows]
run = MagicRulez.exe
También modifica el archivo C:\WINDOWS\SYSTEM.INI:
[boot]
shell = explorer.exe MagicRulez.exe
Crea el siguiente archivo y lo ejecuta:
C:\Windows\Dos.bat
Este archivo .BAT contiene las instrucciones para
deshabilitar el teclado y el ratón.
Luego envía el mensaje número 1 de los vistos antes, a toda
la libreta de direcciones del Outlook y Outlook Express.
También crea el siguiente script de Visual Basic y lo
ejecuta:
C:\Windows\Virus.Vbs
Como resultado, es enviado el mensaje número 2, también a
toda la libreta del Outlook y Outlook Express.
El gusano crea entonces también el siguiente archivo y lo
ejecuta:
C:\Windows\Pingme.Bat
Este archivo contiene las instrucciones para borrar los
siguientes archivos y carpetas:
C:\Program Files\Symantec Shared
C:\Program Files\Norton Antivirus\V32scan.Dll
C:\Program Files\Norton Antivirus\Navtasks.Dll
C:\Program Files
C:\Windows\System32\Cmd.Exe
C:\Windows\Regedit.Exe
C:\Windows\Winint.Ini
C:\Windows\Fonts
C:\Windows\System32
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Si se ejecutó el gusano, los archivos y carpetas
borrados, harán imposible una recuperación del sistema. La
única solución efectiva será reinstalar todos los programas y
aplicaciones, incluido Windows.
Sugerimos que se llame a un servicio técnico especializado
para realizar estas tareas si desea intentar la recuperación
de la valiosa información guardada en su computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\start menu\programs
\startup\sydneyfuckheheheh.exe
c:\windows\magicrulez.exe
c:\windows\dos.bat
c:\windows\virus.vbs
c:\windows\pingme.bat
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el archivo WIN.INI y SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run = MagicRulez.exe
Debe quedar como:
[windows]
run =
3. Grabe los cambios y salga del bloc de notas.
4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
5. Busque lo siguiente:
[boot]
shell = explorer.exe MagicRulez.exe
y déjelo así:
[boot]
shell = explorer.exe
6. Grabe los cambios y salga del bloc de notas
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1140 Año 7, Jueves 21 de agosto de 2003
|
VSantivirus No. 11
Responder a este mensaje
