| Asunto: | VSantivirus No. 1166 Año 7, Martes 16 de setiembre de 2003 | | Fecha: | Martes, 16 de Septiembre, 2003 02:41:02 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1166 Año 7, Martes 16 de setiembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Eudora 6.0 es vulnerable al robo de archivos
2 - W32/Lovsan.G (Blaster). Utiliza "enilora.exe"
3 - W32/Patoo.A. Se muestra como "Stop Messenger Popups"
4 - W32/Capsid.A. Se propaga por KaZaa y eDonkey
5 - Troj/Backdoor.Graybird.G. Troyano de acceso remoto
_____________________________________________________________
1 - Eudora 6.0 es vulnerable al robo de archivos
_____________________________________________________________
http://www.vsantivirus.com/ev-eudora6-attach-spoof.htm
Eudora 6.0 es vulnerable al robo de archivos
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Eudora 6.0, la última versión del popular cliente de correo
electrónico, puede ser vulnerable al robo de información a
través de un correo electrónico con archivos adjuntos falsos.
Eudora 6.0 es la última versión del popular programa de
correo electrónico desarrollado por Qualcomm, recientemente
liberado al público (setiembre de 2003).
Según Paul Szabo de la Escuela de Matemáticas y estadísticas
de la Universidad de Sydney, Australia, esta versión de
Eudora contiene aún algunas fallas muy graves, algunas de
ellas similares a las reportadas por él en noviembre de 2002.
El manejo malicioso de los adjuntos, puede engañar al Eudora
para que un atacante pueda robar ciertos archivos de la
computadora del usuario, o incluso para ejecutar un archivo
en forma local, comprometiendo seriamente su seguridad.
Una de las fallas fue comunicada a Qualcomm en mayo de 2003,
y permanece sin solución en la última versión del programa,
liberada oficialmente el 4 de setiembre de 2003.
Uno de los errores se basa en el manejo de nombres de
archivos excesivamente largos (250 caracteres o más), que
puede causar un desbordamiento de búfer. Esto ocasiona el
cuelgue del programa, o incluso la ejecución de código en
forma arbitraria.
También es posible hacer que el Eudora muestre un nombre
diferente al del verdadero adjunto, engañando a los usuarios
para que ejecuten archivos maliciosos.
El 13 de setiembre fue publicada una prueba de concepto en
Internet que podría ser utilizada por usuarios maliciosos
para crear un exploit o alguna clase de malware.
No hay solución oficial para este problema.
* Enlaces:
BugTraq, Eudora 6.0 attachment spoof, exploit, Sep 13 2003
5:19AM
http://www.securityfocus.com/archive/1/337429/2003-09-
12/2003-09-18/1
Eudora
http://www.eudora.com
Qualcomm
http://www.qualcomm.com/press/pr/releases2003/press1250.html
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=2
87
* Relacionados:
Ejecución automática de adjuntos en Eudora e IE
http://www.vsantivirus.com/vul-webbrowser.htm
Denegación de servicio en Eudora 5.1
http://www.vsantivirus.com/vul-eudora-adjuntos.htm
Vulnerabilidad permite el robo de archivos en Eudora
http://www.vsantivirus.com/vul-eudora-script.htm
Autoejecución engañosa de adjuntos en Eudora
http://www.vsantivirus.com/vul-eudora-attach-spoof.htm
Ejecución de código sin consentimiento en Eudora 5.02
http://www.vsantivirus.com/vul-eu502.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Lovsan.G (Blaster). Utiliza "enilora.exe"
_____________________________________________________________
W32/Lovsan.G (Blaster). Utiliza "enilora.exe"
http://www.vsantivirus.com/lovsan-g.htm
Nombre: W32/Lovsan.G (Blaster)
Tipo: Gusano de Internet
Alias: WORM_MSBLAST.G, W32/Lovsan.worm.g, Worm.Win32.Lovesan,
W32/Msblast.G, W32/Blaster-G, W32/Lovsan.worm.g,
Win32.Poza.G, Win32/Lovsan.G, MSBlast, Exploit-DcomRpc
(variant), W32.Blaster.Worm
Fecha: 15/set/03
Plataforma: Windows 2000, XP, NT
Reportado por: varios
Tamaño: 6,208 bytes (UPX)
Esta variante es idéntica a la versión A, salvo en los
siguientes puntos:
1. El nombre del ejecutable:
enilora.exe
2. La entrada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
windows auto update = enilora.exe
3. Está comprimido con la herramienta UPX.
4. Contiene el siguiente texto en su código:
This is just another LovSan! TEST
This is a very nice test to do, just changing a
virus a little bit to test my AV soft
5. El ataque DDoS es al sitio de actualizaciones de
Microsoft.
6. Utiliza un mutex (semáforo indicador), llamado BILLY.
Los demás detalles del gusano son idénticos a la versión A, y
se dan en el siguiente enlace (incluidas las instrucciones
para eliminarlo manualmente):
Más información:
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Patoo.A. Se muestra como "Stop Messenger Popups"
_____________________________________________________________
http://www.vsantivirus.com/patoo-a.htm
Nombre: W32/Patoo.A
Tipo: Gusano de Internet
Alias: W32.Patoo@mm, Bloodhound.W32.5
Fecha: 12/set/03
Plataforma: Windows 32-bit
Tamaño: 73,728 bytes
Escrito en Microsoft Visual Basic, este gusano intenta
enviarse en forma masiva a través del correo electrónico y
también se propaga entre los usuarios del programa de
intercambio de archivos entre usuarios, KaZaa.
Se envía a todos los contactos de la libreta de direcciones
del Microsoft Outlook y Outlook Express, en un mensaje con
las siguientes características:
Asunto: hey..
Datos adjuntos:
Mostrado: Stop Messenger Popups
Nombre real: msngrblock.exe (puede variar)
Texto:
I downloaded this app and it stops the stupid
msn messenger pop ups finally a free version!
El nombre mostrado y el real del archivo adjunto, difiere por
haber sido modificada la etiqueta en las propiedades del
mensaje.
Cuando se ejecuta, se copia con los siguientes nombres y
ubicaciones:
c:\windows\msngrblock.exe
\kazaa\my shared folder\msn ad blocker.exe
La carpeta "Kazaa" puede estar en C:\PROGRAM FILES o
C:\ARCHIVOS DE PROGRAMA.
Agrega las siguientes entradas en el registro de Windows,
para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Messenger Block = c:\windows\msngrblock.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Messenger Block = c:\windows\msngrblock.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Messenger Block = c:\windows\msngrblock.exe
Luego, utiliza las rutinas MAPI del Outlook para enviarse a
si mismo a todos los contactos de la libreta de direcciones
en un mensaje como el descripto al principio.
El gusano también modifica las siguientes claves del
registro:
HKCR\exefile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
HKCR\comfile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
HKCR\batfile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
HKCR\htafile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
HKCR\piffile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
HKLM\Software\CLASSES\exefile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
HKLM\Software\CLASSES\comfile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
HKLM\Software\CLASSES\batfile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
HKLM\Software\CLASSES\htafile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
HKLM\Software\CLASSES\piffile\shell\open\command\
(Predeterminado) = c:\windows\msngrblock.exe %1
Estos cambios provocarán la ejecución del gusano cada vez que
se abra un archivo con cualquiera de las siguientes
extensiones:
.exe
.com
.bat
.hta
.pif
* Reparación manual
* Preparación previa
Descargue el siguiente archivo (repara2.reg):
http://www.videosoft.net.uy/repara2.reg
* Finalizar el proceso en memoria del virus
* Windows 95, 98 y Me
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Windows NT, 2000 y XP
1. Actualice sus antivirus con las últimas definiciones,
luego pulse CTRL+ALT+SUPR.
2. Pinche en Administrador de tareas.
3. Pinche en la lengüeta Procesos.
4. En la lista de tareas, señale la siguiente y pulse el
botón de finalizar tarea:
MSNGRBLOCK.EXE
* Editar el registro
1. Haga doble clic sobre el archivo REPARA2.REG descargado
antes (ver "Preparación previa"), para agregar su contenido
al registro.
2. Ejecute el editor de registro. Desde una ventana MS-DOS
escriba REGEDIT y pulse ENTER
3. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
4. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:
Messenger Block
5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
6. Pinche en la carpeta "RunServices" y en el panel de la
derecha busque y borre la siguiente entrada:
Messenger Block
7. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
8. Pinche en la carpeta "RunOnce" y en el panel de la derecha
busque y borre la siguiente entrada:
Messenger Block
9. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
10. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\msngrblock.exe
\kazaa\my shared folder\msn ad blocker.exe
La carpeta "Kazaa" puede estar en C:\PROGRAM FILES o
C:\ARCHIVOS DE PROGRAMA.
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Capsid.A. Se propaga por KaZaa y eDonkey
_____________________________________________________________
http://www.vsantivirus.com/capsid-a.htm
Nombre: W32/Capsid.A
Tipo: Gusano de Internet (P2P)
Alias: Worm/Capside, W32.Capsid
Fecha: 11/set/03
Tamaño: 39,936 bytes
Plataforma: Windows 32-bit
Es un gusano residente en memoria, que se propaga a través de
las redes de intercambio de archivos entre usuarios (P2P),
KaZaa y eDonkey.
Cuando se ejecuta, el gusano se copia a si mismo en las
siguientes ubicaciones y con los siguientes nombres:
c:\windows\capside.exe
c:\windows\system\hvecvbo.scr
c:\windows\capsidered.pif
c:\windows\capside.htm
Luego, se copia en las siguientes carpetas, dentro de
C:\PROGRAM FILES\ o C:\ARCHIVOS DE PROGRAMA\:
\kazaa\my shared folder\
\edonkey2000\incoming\
Utiliza para ello los siguientes nombres:
ACDSee 5.5.html
Age of Empires 2 crack.html
Ana Kournikova Sex Video.html
Animated Screen 7.0b.html
aol cracker.html
AOL Instant Messenger.html
aol password cracker.html
AquaNox2 Crack.html
Audiograbber 2.05.html
AVP Antivirus Pro Key Crack.html
BabeFest 2003 ScreenSaver 1.5.html
Babylon 3.50b reg_crack.html
Battlefield1942_bloodpatch.html
Battlefield1942_keygen.html
Britney Spears Sex Video.html
Buffy Vampire Slayer Movie.html
Business Card Designer Plus 7.9.html
cable modem ultility pack.html
Clone CD 5.0.0.3 (crack).html
Clone CD 5.0.0.3.html
Coffee Cup Free HTML 7.0b.html
Cool Edit Pro v2.55.html
counter-strike.html
Crack Passwords Mail.html
Credit Card Numbers generator(incl Visa,MasterCard,...).html
Cristina Aguilera Sex Video.html
delphi.html
Diablo 2 Crack.html
DirectDVD 5.0.html
DirectX Buster (all versions).html
DirectX InfoTool.html
divx pro.html
DivX Video Bundle 6.5.html
divx_pro.html
Download Accelerator Plus 6.1.html
DVD Copy Plus v5.0.html
DVD Region-Free 2.3.html
Edonkey2000-Speed me up scotty.html
FIFA2003 crack.html
Final Fantasy VII XP Patch 1.5.html
Flash MX crack (trial).html
FlashGet 1.5.html
FreeRAM XP Pro 1.9.html
Game Cube Real Emulator.html
GetRight 5.0a.html
Global DiVX Player 3.0.html
Gothic2 licence.html
GTA 3 Crack.html
GTA 3 Serial.html
Guitar Chords Library 5.5.html
Hentai Anime Girls Movie.html
Hitman_2_no_cd_crack.html
Hot Babes XXX Screen Saver.html
HotGirls.html
Hotmail Hacker 2003-Xss Exploit.html
hotmail_hack.html
ICQ Pro 2003a.html
ICQ Pro 2003b (new beta).html
iMesh 3.6.html
iMesh 3.7b (beta).html
IrfanView 4.5.html
Jenifer Lopez Sex Video.html
KaZaA Hack 2.5.0.html
Kazaa SDK + Xbit speedUp for 2.xx.html
KaZaA Speedup 3.6.html
Links 2003 Golf game (crack).html
Living Waterfalls 1.3.html
macromedia dreamweaver key generator.htm
Mafia_crack.html
Matrix Movie.html
Matrix Screensaver 1.5.html
Mcafee Antivirus Scan Crack.html
MediaPlayer Update.html
Microsoft KeyGenerator-Allmost all microsoft stuff.html
mIRC 6.40.html
mp3Trim PRO 2.5.html
MSN Messenger 5.2.html
NBA2003_crack.html
Need 4 Speed crack.html
Nero Burning ROM crack.html
Netbios Nuker 2003.html
Netfast 1.8.html
Network Cable e ADSL Speed 2.0.5.html
NHL 2003 crack.html
Nimo CodecPack (new) 8.0.html
Norton Anvirus Key Crack.html
PalTalk 5.01b.html
pamela_anderson.htm
Panda Antivirus Titanium Crack.html
play station emulator.html
Popup Defender 6.5.html
Pop-Up Stopper 3.5.html
PS2 PlayStation Simulator.html
Quick Time Key Crack.html
QuickTime_Pro_Crack.html
Sakura Card Captor Movie.html
Screen saver christina aguilera naked.html
Screen saver christina aguilera.html
Security-2003-Update.html
Serials 2003 v.8.0 Full.html
serials2000.html
Sex Live Simulator.html
Sex Passwords.html
SmartFTP 2.0.0.html
SmartRipper v2.7.html
Space Invaders 1978.html
Spiderman Movie.html
Splinter_Cell_Crack.html
Starcraft serial.html
Start Wars Trilogy Movies.html
Steinberg_WaveLab_5_crack.html
Stripping MP3 dancer+crack.html
subseven.html
Thalia Sex Video.html
Trillian 0.85 (free).html
TweakAll 3.8.html
Unreal2_bloodpatch.html
Unreal2_crack.html
UT2003_bloodpatch.html
UT2003_keygen.html
UT2003_no cd (crack).html
UT2003_patch.html
VB6.html
virtua girl adriana.plg
virtua girl bailey short skirt.plg
Virtua Girl (Full).html
VirtualSex.html
Visual Basic 6.0 Msdn Plugin.html
Visual basic 6.html
warcraft 3 crack.html
warcraft 3 serials.plg
WarCraft_3_crack.html
Winamp 3.8.html
winamp plugin pack.html
WindowBlinds 4.0.html
Windows XP complete + serial.html
Windows Xp Exploit.html
WinOnCD 4 PE_crack.html
WinRar 3.xx Password Cracker.html
WinZip 9.0b.html
winzip full version key generator.htm
Winzip KeyGenerator Crack.html
WinZipped Visual C++ Tutorial.html
XNuker 2003 2.93b.html
Yahoo Messenger 6.0.html
Zelda Classic 2.00.html
También crea los siguientes archivos en el sistema:
c:\progra~1\common~1\micros~1\stationery\capside.htm
c:\windows\asdf.htm
c:\windows\asdf1.htm
c:\windows\capside.htm
c:\windows\capsidecode.htm
c:\windows\htmlhelp.htm
c:\windows\readme.htm
c:\windows\system\membg.htm
c:\windows\system\oobe\blank.htm
Crea la siguiente entrada en el registro de Windows, para
autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
W32Load = c:\windows\system\celksng.scr
También agrega las siguientes claves en el registro:
HKCU\Identities\[ID usuario]\Software
\Microsoft\Outlook Express\5.0\Mail
Stationery Name = c:\windows\capside.htm
Wide Stationery Name = c:\windows\capside.htm
Donde [ID usuario] es un valor diferente para cada
computadora, similar a:
{3CA0C060-E275-11D5-AC8B-004033AE6CEE}
Modifica el archivo C:\WINDOWS\SYSTEM.INI:
[boot]
shell=Explorer.exe c:\windows\capside.exe
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\progra~1\common~1\micros~1\stationery\capside.htm
c:\windows\asdf.htm
c:\windows\asdf1.htm
c:\windows\capside.exe
c:\windows\capside.htm
c:\windows\capside.htm
c:\windows\capsidecode.htm
c:\windows\capsidered.pif
c:\windows\htmlhelp.htm
c:\windows\readme.htm
c:\windows\system\hvecvbo.scr
c:\windows\system\membg.htm
c:\windows\system\oobe\blank.htm
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
W32Load
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Identities
\[ID usuario]
\Software
\Microsoft
\Outlook Express
\5.0
\Mail
5. Pinche en la carpeta "Mail" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
Stationery Name
Wide Stationery Name
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Editar el archivo SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell=Explorer.exe c:\windows\capside.exe
y déjelo así:
[boot]
shell=Explorer.exe
3. Grabe los cambios y salga del bloc de notas
4. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Troj/Backdoor.Graybird.G. Troyano de acceso remoto
_____________________________________________________________
http://www.vsantivirus.com/back-graybird-g.htm
Nombre: Troj/Backdoor.Graybird.G
Tipo: Caballo de Troya
Alias: Backdoor.Graybird.G, Backdoor.Graybird.h,
Backdoor.GrayBird.f, Backdoor.Graybird
Fecha: 14/set/03
Plataforma: Windows 32-bit
Tamaño: 996,572 bytes
Este troyano es una variante de Backdoor.Graybird
[http://www.vsantivirus.com/back-arr.htm], y no posee ninguna
rutina de propagación. Puede distribuirse manualmente,
generalmente bajo la premisa de que es una inocente utilidad.
Los canales de distribución más usados son el correo
electrónico, listas de noticias (newsgroups), canales de IRC,
y redes P2P como KaZaa y otros.
El troyano permite a un atacante el acceso y control remoto
no autorizado de la máquina infectada.
Es un archivo ejecutable en formato PE (Portable Ejecutable),
escrito en Delphi y comprimido con la herramienta ASPack.
Una vez que el troyano se esta ejecutando como servidor en la
computadora de la víctima, el atacante puede administrar en
forma remota todos los recursos de la máquina infectada.
Cuando se ejecuta, se copia a si mismo en la carpeta System
de Windows, con el nombre de "explore.exe":
c:\windows\system\explore.exe
Luego crea las siguientes entradas en el registro, para
autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
explore.exe = c:\windows\system\explore.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
explore.exe = c:\windows\system\explore.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
explore.exe = c:\windows\system\explore.exe
Con el mismo propósito, crea la siguiente entrada en el
archivo WIN.INI:
[windows]
run = c:\windows\system\explore.exe
"C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
El troyano intenta acceder a las contraseñas almacenadas en
el caché de la computadora infectada, para obtener los
nombres de usuarios y claves de accesos a Internet, etc.
Luego se conecta a un servidor específico en el puerto 8001,
y envía la información robada.
También envía a un usuario remoto, una notificación por
correo electrónico.
Además puede interceptar todo lo tecleado por la víctima, lo
que incluye todos los datos que el usuario ingrese,
incluyendo contraseñas, números de tarjeta de crédito, etc.
El troyano queda esperando instrucciones que le permitirán a
un atacante realizar cualquiera de las siguientes acciones:
º Activa y desactiva el equipo, lo suspende o apaga.
º Borra archivos y formatea el disco duro.
º Captura información de la configuración del servidor y de
las estaciones de trabajo.
º Captura teclas digitadas por el usuario.
º Control de Acceso Remoto de los archivos y programas de los
sistemas atacados.
º Controla periféricos como el mouse, CD/DVD drivers,
monitor, etc.
º Envía mensajes de correo desde el equipo infectado a través
de las librerías MAPI.
º Formatear el disco duro.
º Instala un servidor FTP para usar la computadora como
almacén de archivos temporal.
º Instala un servidor proxy Socks5
º Puede enviar comandos a través del Chat.
º Roba claves de acceso y números de tarjetas de crédito.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente
archivo (no lo confunda con EXPLORER.EXE):
c:\windows\system\explore.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre cualquiera de las
siguientes entradas que aparezcan:
explore.exe
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre cualquiera
de las siguientes entradas que aparezcan:
explore.exe
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre cualquiera de las
siguientes entradas que aparezcan:
explore.exe
8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
run = c:\windows\system\explore.exe
Debe quedar como:
[Windows]
run =
3. Grabe los cambios y salga del bloc de notas.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1166 Año 7, Martes 16 de setiembre de 2003
|
VSantivirus No. 11
Responder a este mensaje
