| Asunto: | VSantivirus No. 1158 Año 7, Lunes 8 de setiembre de 2003 | | Fecha: | Lunes, 8 de Septiembre, 2003 06:02:51 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1158 Año 7, Lunes 8 de setiembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - MS03-037 Ejecución de código en VBA (822715)
1 - MS03-038 Vulnerabilidad en Visor Instantáneo (827104)
1 - Troj/JunkSurf.A. Infecta con solo ver un HTML
1 - W32/Mexer.D. Se propaga a través de KaZaa e iMesh
_____________________________________________________________
1 - MS03-037 Ejecución de código en VBA (822715)
_____________________________________________________________
http://www.vsantivirus.com/vulms03-037.htm
MS03-037 Ejecución de código en VBA (822715)
Por Lissette Zapata
liszapata@videosoft.net.uy
* Nivel de Gravedad: Crítico
* Programas Afectados:
Visual Basic for Applications SDK 5.0, 6.0, 6.2, y 6.3
Office 97, 2000, y XP
Word 98 (Japonés)
Visio 2000 y 2002
Project 2000 y 2002
Publisher 2002
Works Suite 2001, 2002 y 2003
Business Solutions Great Plains 7.5
Business Solutions Dynamics 6.0 y 7.0
Business Solutions eEnterprise 6.0 y 7.0
Business Solutions Solomon 4.5, 5.0, y 5.5
Microsoft Visual Basic para Aplicaciones (VBA), es una
tecnología de desarrollo que permite crear paquetes de
aplicaciones integrados con los datos y sistemas existentes.
Microsoft VBA está incluido en aplicaciones como Microsoft
Office, y se basa en el lenguaje de programación Microsoft
Visual Basic.
Una falla existente en la manera que VBA comprueba las
propiedades de los documentos cuando estos son abiertos por
una aplicación, puede provocar un desbordamiento de búfer,
que explotado maliciosamente, permitiría a un atacante
ejecutar cualquier código de su elección en el contexto del
usuario atacado, o sea con sus mismos privilegios.
Para que el ataque sea exitoso, un usuario debe abrir un
documento construido maliciosamente, que haya sido enviado
por el atacante, o descargado desde algún sitio web
controlado por el pirata.
Este documento puede ser de cualquiera tipo de los soportados
por VBA, como documentos de Word, hojas de cálculo de Excel,
o presentaciones de PowerPoint.
También podría ser un correo electrónico, en el caso que
Microsoft Word fuera usado como editor de correo con formato
HTML en el Microsoft Outlook. Sin embargo, el usuario debería
responder o reenviar el mensaje para que la vulnerabilidad
sea explotada. La falla no puede producirse por solo leer en
el Outlook un mensaje de correo electrónico elaborado con
Microsoft Word.
Hay otros factores que disminuyen las probabilidades del
aprovechamiento malicioso de esta falla.
Por ejemplo, un atacante solo podría ejecutar archivos con
los mismos privilegios de acceso al sistema que el usuario
atacado. Si los permisos de ese usuario están restringidos
(por políticas de grupos), también lo estarían los del
atacante.
El parche puede descargarse de los siguientes enlaces:
[Nota: los enlaces aparecen cortados por superar la cantidad
de caracteres permitidos en el formato de este boletín. En
todos los casos se deben cortar y pegar en una sola línea]
* Microsoft Office 2000: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=E2CCE199
-9C4A-4EEC-A3EC-9F738017F275&displaylang=es
http://www.microsoft.com/office/ork/xp/journ/o2k0901a.htm
(Actualización Administrativa ***)
* Microsoft Office XP (incluye Publisher 2002): (Todos los
idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=6F1FC4B0
-29E9-44E0-A33D-AD6B4B6A8FF4&displaylang=es
http://www.microsoft.com/office/ork/xp/journ/oxp1001a.htm
(Actualización Administrativa ***)
(***) Estas actualizaciones administrativas corresponden a
las versiones de Office que han sido instaladas a través de
un Windows Installer Patch File (MSP format), por lo que en
estas direcciones encontraran un ejecutable que podrá ser
instalado de igual manera que los MSP (OfficeXP-KB822036-
FullFile-ENU.exe)
http://download.microsoft.com/download/6/7/5/67570E80-E423-
4F17-B57E-8CBFB517B832/OfficeXP-KB822036-FullFile-ENU.exe
* Microsoft Project 2000: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=E53A52E7
-431D-4580-9733-B92A2B7BFD0D&displaylang=es
* Microsoft Project 2002: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=525BDE0A
-0028-488A-8209-6E07D4603CCB&displaylang=es
* Microsoft Visio 2002: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=55944490
-13C2-4043-BA2A-17AF02E9C73E&displaylang=es
* Microsoft VBA Patch: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=DA1A7ABA
-CD3D-458B-9729-AB9094C9BD3F&displaylang=es
Este parche puede ser instalado en sistemas que estén
ejecutando alguna de las siguientes aplicaciones:
Microsoft VBA 5.0
Microsoft VBA 6.0
Microsoft VBA 6.2
Microsoft VBA 6.3.
Microsoft Access 97
Microsoft Excel 97
Microsoft PowerPoint 97
Microsoft Word 97
Microsoft Word 98(J)
Microsoft Visio 2000
Microsoft Works Suite 2001
Microsoft Business Solutions Great Plains 7.5
Microsoft Business Solutions Dynamics 6.0
Microsoft Business Solutions Dynamics 7.0
Microsoft Business Solutions eEnterprise 6.0
Microsoft Business Solutions eEnterprise 7.0
Microsoft Business Solutions Solomon 4.5
Microsoft Business Solutions Solomon 5.0
Microsoft Business Solutions Solomon 5.5
Microsoft recomienda visitar el sitio de actualización de
Office para detectar e instalar el parche de seguridad y
todos los que anteriormente han sido publicados para la
familia de los productos de Office (Nota: el sitio de Office
Update no proporciona el soporte para los siguientes
productos: Office 97 y Visio 2000):
http://www.office.microsoft.com/ProductUpdates/default.aspx
IMPORTANTE: Para la instalación de este parche, se deben
tener instalados los últimos Service Pack de Microsoft Office
2000 y XP. Los mismos pueden ser descargados desde los
siguientes enlaces:
Service Pack 3 para Microsoft Office 2000 (Español)
http://www.microsoft.com/downloads/details.aspx?FamilyID=5C01
1C70-47D0-4306-9FA4-8E92D36332FE&displaylang=es
Service Pack 2 para Microsoft Office XP (Español)
http://www.microsoft.com/downloads/details.aspx?FamilyID=1A8C
E553-AB76-4A63-99DA-B4ED914C1514&displaylang=es
Es importante hacer notar que estos SP poseen un tamaño de 14
y 15 Mb respectivamente.
* Más información:
Microsoft Security Bulletin MS03-037
http://www.microsoft.com/technet/security/bulletin/MS03-037.asp
http://www.microsoft.com/security/security_bulletins/ms03-037.asp
Microsoft Knowledge Base Article - 822715
http://support.microsoft.com/?kbid=822715
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
1 - MS03-038 Vulnerabilidad en Visor Instantáneo (827104)
_____________________________________________________________
http://www.vsantivirus.com/vulms03-038.htm
MS03-038 Vulnerabilidad en Visor Instantáneo (827104)
Por Lissette Zapata
liszapata@videosoft.net.uy
* Nivel de Gravedad: Moderado
* Programas Afectados:
Microsoft Access 97
Microsoft Access 2000
Microsoft Access 2002
Se ha encontrado una vulnerabilidad que constituye un
problema de seguridad, en Microsoft Access y en el Visor
Instantáneo de Microsoft Access (Snapshot Viewer).
La falla podría permitir que un atacante comprometa la
seguridad del sistema en Microsoft Office o en el Visor
Instantáneo de Microsoft Access, pudiendo llevar a cabo
acciones como leer los archivos en su computadora, o ejecutar
los programas que hay en su PC.
Con el Visor Instantáneo, usted puede visualizar de una
manera rápida, una base de datos elaborada con Microsoft
Access sin la necesidad de tener instalado el producto.
La vulnerabilidad radica en que existe una falla en la manera
en que el visor valida los parámetros recibidos. De ese modo,
puede llegar a provocarse un desbordamiento del búfer
asignado, lo que podría permitir la ejecución de un código
malicioso, en el mismo contexto de seguridad del usuario.
Esta vulnerabilidad es catalogada como moderada, porque el
visor no se instala por defecto con Microsoft Office. Además,
para que el ataque tuviera éxito, el atacante necesitaría
persuadir a un usuario para que visitara un sitio de Internet
bajo su control.
Si finalmente el código malicioso es ejecutado, éste tendría
los mismos privilegios de acceso al sistema que el usuario
atacado. Si los permisos de ese usuario están restringidos,
también lo estarían los del atacante.
El parche puede descargarse de los siguientes enlaces:
[Nota: los enlaces aparecen cortados por superar la cantidad
de caracteres permitidos en el formato de este boletín. En
todos los casos se deben cortar y pegar en una sola línea]
* Access 2002: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=B50D4863
-1BBE-4009-9DF8-52D3A916D54F&displaylang=es
http://microsoft.com/office/ork/xp/journ/snpv1001a.htm
(Actualización Administrativa ***)
(***) Estas actualizaciones administrativas corresponden a
las versiones de Office que han sido instaladas a través de
un Windows Installer Patch File (MSP format), por lo que en
estas direcciones encontraran un ejecutable que podrá ser
instalado de igual manera que los MSP (officexp-kb826293-
fullfile-enu.exe):
http://download.microsoft.com/download/2/2/3/223b52aa-0143-
4a71-aaf2-ca097a1d2431/officexp-kb826293-fullfile-enu.exe
* Access 2000: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=F6CB9C8E
-16E3-422D-86DD-7ED5671FB8D4&displaylang=es
http://www.microsoft.com/office/ork/xp/journ/snpv0901a.htm
(Actualización Administrativa ***)
(***) Estas actualizaciones administrativas corresponden a
las versiones de Office que han sido instaladas a través de
un Windows Installer Patch File (MSP format), por lo que en
estas direcciones encontraran un ejecutable que podrá ser
instalado de igual manera que los MSP (office2000-kb826292-
fullfile-enu.exe):
http://download.microsoft.com/download/2/d/5/2d5a89c9-972f-
4135-a8d9-3747188552b2/office2000-kb826292-fullfile-enu.exe
* Access 97:
Instale la aplicación Snapshot Viewer Control actualizada
desde el siguiente enlace:
http://www.microsoft.com/AccessDev/Articles/snapshot.htm
* Más información:
Microsoft Security Bulletin MS03-038
http://www.microsoft.com/technet/security/bulletin/MS03-038.asp
http://www.microsoft.com/security/security_bulletins/ms03-038.asp
Microsoft Knowledge Base Article - 827104
http://support.microsoft.com/?kbid=827104
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
1 - Troj/JunkSurf.A. Infecta con solo ver un HTML
_____________________________________________________________
http://www.vsantivirus.com/junksurf-a.htm
Nombre: Troj/JunkSurf.A
Tipo: Caballo de Troya
Alias: Win32.JunkSurf, Download.Aduent.Trojan, Downloader-ED,
TROJ_JUNKSURF.A, VBS_JUNKSURF.A,
TrojanDownloader.Win32.Small.aq, Win32/JunkSurf.A.Trojan,
Win32/JunkSurf.A, Trojan.Aduent, Troj/JSurf-A, Adware-Surfbar
Fecha: 5/set/03
Plataforma: Windows 32-bit
Tamaños: 6,657 bytes(exe), 508.000 bytes(dll), 1,536 bytes,
932 bytes
Este caballo de Troya se vale de la vulnerabilidad descripta
en el boletín de seguridad MS03-032 de Microsoft:
* Vulnerabilidad de etiquetas de objeto
Internet Explorer no puede determinar correctamente un tipo
de objeto que se devuelve de un servidor Web. Un atacante
podría utilizar este punto vulnerable para ejecutar código
arbitrario en el sistema de un usuario.
Si un usuario visita el sitio Web del atacante, éste podría
aprovechar esta vulnerabilidad sin necesidad de ninguna otra
intervención de parte del usuario. Un atacante también podría
diseñar un mensaje de correo electrónico en formato HTML para
aprovecharse de esta vulnerabilidad.
* Más información:
MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htm
El troyano se distribuye como adjunto en un mensaje enviado
como SPAM (correo basura). Algunos ejemplos de estos
mensajes:
Ejemplo 1:
Asunto: Hello
Texto:
Hey,
Want to go to the pub on Saturday?
Last Saturday was a blast!
Let me know!
Ejemplo 2:
Asunto: Whats Happening?
Texto:
Why hello ;)
Whats been happening on your side of the woods?
We haven't been doing much at all really!
Anyways seeya tommorow.
Ejemplo 3:
Asunto: Whats Happening?
Texto:
Hey,
How have you been? What have you been doing
lately? Ive just been at home doing nothing
:( bored at uni etc. Anyway's lets catch up
soon, Luv,
You know who ;)
Ejemplo 4:
Asunto: Hey
Texto:
Hello,
How have you been lately?
Our familys been fine, not a lot happening
over here! What are you doing this weekend?
Luv,
Your Pal!
Los mensajes, con formato HTML y sin ningún adjunto,
contienen un objeto ActiveX con el que explota la
vulnerabilidad descripta antes para ejecutarse en la máquina
del usuario sin el conocimiento de éste. Se agrega como
adware, y se configura como un plug-in del Internet Explorer
(SurferBar Internet Explorer toolbar).
Esta barra de herramientas es descargada de un sitio de
Internet y luego instalada sin la autorización del usuario.
La existencia del archivo DRG.EXE en una computadora, puede
indicar una posible infección.
Nota: La configuración sugerida en el siguiente artículo,
también previene la ejecución de esta clase de malware:
Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
El troyano también agrega enlaces a sitios pornográficos en
diferentes carpeta del sistema.
El malware consiste en tres componentes, un archivo HTML, un
script CGI y un ejecutable .EXE.
El archivo HTML se aprovecha de la vulnerabilidad para
conectarse a un sitio de Internet con un archivo A.CGI, con
el que crea y descarga al ejecutable DRG.EXE de 1,536 bytes.
Cuando DRG.EXE se ejecuta, éste a su vez descarga e instala
otro componente que se encuentra en el sitio Web del autor
del troyano: SURFERBAR.DLL. La dirección IP de este sitio es
63.246.130.201.
El archivo SURFERBAR.DLL, de 508,000 bytes, es descargado en
alguna de las siguientes ubicaciones:
c:\program files\win32.dll
c:\archivos de programa\win32.dll
También se agregan enlaces directos a varios sitios de
Internet con contenido pornográfico, en numerosas carpetas
del sistema. Ejemplos:
Nombre de los accesos directos:
Adult Search.lnk
Erotic Search.lnk
Vivid DVD.lnk
Web Search.lnk
Carpetas:
%userprofile%\Desktop\
%userprofile%\Desktop\Adult Entertainment\
%userprofile%\Desktop\Casinos & Gambling\
%userprofile%\Desktop\Find a date\
%userprofile%\Desktop\Search The Net\Adults Only\Video\
%userprofile%\Escritorio\
%userprofile%\Escritorio\Adult Entertainment\
%userprofile%\Escritorio\Casinos & Gambling\
%userprofile%\Escritorio\Find a date\
%userprofile%\Escritorio\Search The Net\Adults Only\Video\
%userprofile%\Favorites\Adult Entertainment\
%userprofile%\Favorites\Casinos & Gambling\
%userprofile%\Favorites\Find a date\
%userprofile%\Favorites\Search The Net\
%userprofile%\Favorites\Search The Net\Adults Only\Video\
%userprofile%\Favoritos\Adult Entertainment\
%userprofile%\Favoritos\Casinos & Gambling\
%userprofile%\Favoritos\Find a date\
%userprofile%\Favoritos\Search The Net\
%userprofile%\Favoritos\Search The Net\Adults Only\Video\
%userprofile%\Menú Inicio\Adult Entertainment\
%userprofile%\Menú Inicio\Casinos & Gambling\
%userprofile%\Menú Inicio\Find a date\
%userprofile%\Menú Inicio\Programas\Adult Entertainment\
%userprofile%\Menú Inicio\Programas\Casinos & Gambling\
%userprofile%\Menú Inicio\Programas\Find a date\
%userprofile%\Menú Inicio\Programas\Search The Net\
%userprofile%\Menú Inicio\Search The Net\Adults Only\Video\
%userprofile%\Menú Inicio\Venusseek\
%userprofile%\Start Menu\Adult Entertainment\
%userprofile%\Start Menu\Casinos & Gambling\
%userprofile%\Start Menu\Find a date\
%userprofile%\Start Menu\Programs\Adult Entertainment\
%userprofile%\Start Menu\Programs\Casinos & Gambling\
%userprofile%\Start Menu\Programs\Find a date\
%userprofile%\Start Menu\Programs\Search The Net\
%userprofile%\Start Menu\Search The Net\Adults Only\Video\
%userprofile%\Start Menu\Venusseek\
%windir%\
%windir%\Desktop\
%windir%\Desktop\Adult Entertainment\
%windir%\Desktop\Casinos & Gambling\
%windir%\Desktop\Find a date\
%windir%\Desktop\Search The Net\Adults Only\Video\
%windir%\Escritorio\
%windir%\Escritorio\Adult Entertainment\
%windir%\Escritorio\Casinos & Gambling\
%windir%\Escritorio\Find a date\
%windir%\Escritorio\Search The Net\Adults Only\Video\
%windir%\Favorites\Adult Entertainment\
%windir%\Favorites\Casinos & Gambling\
%windir%\Favorites\Find a date\
%windir%\Favorites\Search The Net\
%windir%\Favorites\Search The Net\Adults Only\Video\
%windir%\Favoritos\Adult Entertainment\
%windir%\Favoritos\Casinos & Gambling\
%windir%\Favoritos\Find a date\
%windir%\Favoritos\Search The Net\
%windir%\Favoritos\Search The Net\Adults Only\Video\
%windir%\Menú Inicio\Adult Entertainment\
%windir%\Menú Inicio\Casinos & Gambling\
%windir%\Menú Inicio\Find a date\
%windir%\Menú Inicio\Programas\Adult Entertainment\
%windir%\Menú Inicio\Programas\Casinos & Gambling\
%windir%\Menú Inicio\Programas\Find a date\
%windir%\Menú Inicio\Programas\Search The Net\
%windir%\Menú Inicio\Search The Net\Adults Only\Video\
%windir%\Menú Inicio\Venusseek\
%windir%\Start Menu\Adult Entertainment\
%windir%\Start Menu\Casinos & Gambling\
%windir%\Start Menu\Find a date\
%windir%\Start Menu\Programs\Adult Entertainment\
%windir%\Start Menu\Programs\Casinos & Gambling\
%windir%\Start Menu\Programs\Find a date\
%windir%\Start Menu\Programs\Search The Net\
%windir%\Start Menu\Search The Net\Adults Only\Video\
%windir%\Start Menu\Venusseek\
NOTA: La variable %windir% corresponde a la ubicación de
Windows de acuerdo a la versión instalada (por defecto
C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows
NT/2000).
NOTA: La variable %userprofile% corresponde a la carpeta del
usuario en Windows 2000 y XP (C:\DOCUMENTS AND
SETTINGS\[usuario]).
El troyano descarga otro ejecutable, WINSRV32.EXE de 6,657
bytes, que es utilizado para verificar en forma periódica que
la instalación de los demás componentes no han sido
modificados:
c:\program files\winsrv32.exe
c:\archivos de programa\winsrv32.exe
Agrega la siguiente entrada al registro de Windows:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
win32 = c:\program files\winsrv32.exe
Otros cambios realizados. Modifica la página de inicio del
Internet Explorer:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = http:/ /www.surferbar.com/
Agrega la siguiente clave:
HKEY_CLASSES_ROOT\CLSID
\{FF7FD490-34E7-4FA1-927A-F5799E6AAD7B}
Esto hace que el DLL se ejecute cuando se inicia el Internet
Explorer.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
"erotic search.lnk" ;
"web search.lnk" ;
adult search.lnk ;
drg.exe ;
surferbar.dll ;
vivid dvd.lnk ;
win32.dll ;
winsrv32.exe
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
"erotic search.lnk" ;
"web search.lnk" ;
adult search.lnk ;
drg.exe ;
surferbar.dll ;
vivid dvd.lnk ;
win32.dll ;
winsrv32.exe
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Runonce
3. Pinche en la carpeta "Runonce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
win32
Nota: Esta clave solo estará si la computadora aún no se
reinició después de la ejecución del troyano.
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{FF7FD490-34E7-4FA1-927A-F5799E6AAD7B}
5. Pinche en la carpeta "{FF7FD490-34E7-4FA1-927A-
F5799E6AAD7B}" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia. O navegue hacia una página
de su agrado, pinche en Herramientas, Opciones de Internet,
General, y finalmente pinche en "Usar actual".
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet pinche en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.
* Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el
siguiente artículo:
http://www.vsantivirus.com/vulms03-032.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
1 - W32/Mexer.D. Se propaga a través de KaZaa e iMesh
_____________________________________________________________
http://www.vsantivirus.com/mexer-d.htm
Nombre: W32/Mexer.D
Tipo: Gusano de Internet (P2P)
Alias: W32.Mexer.D.Worm, Worm.P2P.Harex.c, Harex, Mexer
Fecha: 5/set/03
Plataforma: Windows 32-bit
Tamaño: 2,223 bytes (puede agregar 202,029 bytes)
Este gusano, comprimido con la utilidad de compresión de
ejecutables FSG, intenta propagarse a través de redes de
archivos compartidos Peer-To-Peer (P2P) como KaZaA e iMesh.
También intenta descargar y ejecutar un archivo ejecutable
desde un sitio de Internet.
Cuando se ejecuta el gusano crea la siguiente carpeta:
c:\windows\system\sys32
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Luego se copia en dicha carpeta (sys32) con los siguientes
nombres de archivos:
All Adobe Products Keygen.exe
All Macromedia Products Keygen.exe
All Microsoft Products Keygen.exe
BurnDvds.exe
Divx Pro 5.1 Serial.exe
Dvd Plus Crack.exe
Dvd Ripper.exe
Dvd To Vcd.exe
Dvd Wizard Pro Crack.exe
Dvd Xcopy Crack.exe
DvdCopyOne Crack.exe
DvdToVcd Crack.exe
Easy Dvd creator Crack.exe
Easy Dvd Ripper.exe
EZ Dvd Ripper.exe
Nero Burning Rom Crack.exe
Nimo Codec Pack Updater.exe
Xvid Codec Installer.exe
Todos son copias del gusano, pero en ocasiones se disfraza
agregando más bytes al archivo (solo basura).
Luego intentará descargar un ejecutable de un sitio de
Internet cuya dirección está escrita en el código del gusano.
El archivo descargado es copiado con el siguiente nombre en
la computadora infectada y luego ejecutado (la segunda
extensión queda oculta en una instalación por defecto de
Windows, ver en las referencias "Mostrar las extensiones
verdaderas de los archivos"):
c:\autoexec.bat.exe
Crea luego las siguientes entradas en el registro de Windows,
para compartir la carpeta SYS32 con otros usuarios del KaZaa
y del iMesh:
HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent
Dir0 = 012345:c:\windows\system\sys32
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir0 = 012345:c:\windows\system\sys32
HKEY_CURRENT_USER\Software\Kazaa\Transfer
DlDir0 = c:\windows\system\sys32
* Reparación manual
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Deshabilitar las carpetas compartidas en iMesh
1. Ejecute iMesh
2. Seleccione "Options" del menú "Preferences".
3. En la ventana de "Category" seleccione "Share" y desmarque
la casilla "Allow other users to view my shared files
option".
4. Seleccione el menú "Media Manager" y busque en la lista de
carpetas, todas las que tengan una casilla grisácea a la
derecha del nombre. Márquelas para que dejen de estar
grisáceas, y luego desmárquela para que quede en blanco.
Repítalo con todas las carpetas y subcarpetas que allí
encuentre.
5. Pinche en "Aceptar", etc.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre la carpeta
SYS32 y su contenido:
c:\windows\system\sys32
CUIDADO: Solo debe borrar esa carpeta. No la confunda con
System32.
Borre también el siguiente archivo (CUIDADO, no lo confunda
con C:\AUTOEXEC.BAT, vea "Mostrar las extensiones verdaderas
de los archivos"):
c:\autoexec.bat.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Imesh
\Client
\LocalContent
3. Pinche en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Dir0 = 012345:c:\windows\system\sys32
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
5. Pinche en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Dir0 = 012345:c:\windows\system\sys32
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\Transfer
7. Pinche en la carpeta "Transfer" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
DlDir0 = c:\windows\system\sys32
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1158 Año 7, Lunes 8 de setiembre de 2003
|
VSantivirus No. 11
Responder a este mensaje
