Mostrando mensaje 13     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 964 - Año 7 - Miércoles 26 de febrero de 2003 Fecha: Miercoles, 26 de Febrero, 2003  12:14:44 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 964 - Año 7 - Miércoles 26 de febrero de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Múltiples fallas en SIP 2 - W32/Gibe.B. Falsa actualización de seguridad de Microsoft 3 - W32/CHowl. Se propaga por redes P2P, finaliza antivirus _____________________________________________________________ 1 - Múltiples fallas en SIP _____________________________________________________________ http://www.vsantivirus.com/vul-sip.htm Múltiples fallas en SIP Por Alejandro Germán Rodríguez (*) Peligros_en_la_red-owner@onelist.com Mediante el boletín de seguridad CA-2003-06 CERT/CC, informa sobre la existencia de numerosas vulnerabilidades en los productos que utilicen SIP [Session Initiation Protocol]. Estas vulnerabilidades permitirían a un usuario malicioso obtener accesos privilegiados no autorizados, montar ataques de negación de servicios o crear comportamientos inestables en el sistema. El impacto de estas fallas varia de producto en producto. SIP es un novedoso protocolo de señalización utilizado para establecer sesiones en una red IP. Fue ideado para ser utilizado principalmente para conferencia, telefonía, presencia, notificación de eventos y mensajería instantánea a través de Internet. No todas las implementaciones SIP se encuentran afectadas, ni todos los sistema que hacen uso de él. Asimismo, en el boletín de CERT/CC se dan importantes consejos sobre medidas de seguridad a implementar para minimizar el impacto de estas vulnerabilidades, por lo cual se recomienda su lectura. Más información sobre estas fallas y sistemas afectados desde: http://www.cert.org/advisories/CA-2003-06.html Más información sobre SIP En Inglés: http://www.ietf.org/rfc/rfc3261.txt http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/ Página Oficial: http://www.cs.columbia.edu/~hgs/sip/ En Español: http://www.vnunet.es/detalle.asp?ids=/Informes/Net~Telcos/Int ernet/20021122079 (*) Alejandro Germán Rodriguez mantiene la lista de seguridad "Peligros en la Red", y es un asiduo colaborador de VSAntivirus. http://es.egroups.com/group/Peligros_en_la_red ICQ # 44796626 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Gibe.B. Falsa actualización de seguridad de Microsoft _____________________________________________________________ http://www.vsantivirus.com/gibe-b.htm Nombre: W32/Gibe.B Tipo: Gusano de Internet Alias: Gibe.B, Gibe_B, I-Worm.Gibe.B, W32/Gibe.B@MM, W32/Gibe-D, Win32.Gibe.B, Win32/Gibe.B@mm, WORM_GIBE.B, WORM_GIBE.D, WORM_GIBE.DR Relacionado: mIRC/Simp-Fam Tamaño: 155,648 bytes Fecha: 24/feb/03 Plataforma: Windows 32-bits Gibe.B (reportado como Gibe.D por algunos fabricantes de antivirus el 24 de febrero, (ver "W32/Gibe.D. Falsa actualización de seguridad de Microsoft", http://www.vsantivirus.com/gibe-d.htm), comenzó a propagarse en forma masiva el 25 de febrero (sin embargo, a dicha fecha aún no puede considerarse de riesgo en países de habla hispana, donde prácticamente no hay infecciones detectadas). Según MessageLabs, a la fecha han sido detectadas 318 incidencias en Australia, 165 en Gran Bretaña y 14 en Taiwan. Aún más que el tan promocionado LoveGat.C ( El gusano se propaga a través del correo electrónico, los canales de IRC, redes locales y redes P2P (Peer-To-Peer). Su mayor "gancho" para atrapar incautos, es simular ser una actualización de Microsoft (al propagarse por e-mail). El archivo que se propaga vía e-mail es un "dropper", un programa que "gotea" o libera otros archivos al ejecutarse. Escrito en Visual Basic 6, ese archivo, enviado como adjunto, ocupa 155 Kb. Requiere la librería MSVBVM60.DLL para ejecutarse, lo que no es problema en las versiones más actuales de Windows (está incluido), o si se ha instalado algún programa anterior que lo hubiera requerido (Windows 95 y las primeras de Windows 98). Cuando se ejecuta, el "dropper" verifica si ya está instalado en el sistema, examinando la presencia de la siguiente clave: HKLM\Software\Microsoft\Windows\CurrentVersion \Internet Settings\Messenger Setup Dentro de "Messenger Setup" busca el siguiente valor: Coded = ... by Begbie Otros valores existentes en dicha clave: Server Not found Email Address Not found Disp Name [nombre al azar] LookName [nombre copia del gusano en C:\Windows] Si existe el valor "Coded", etc., entonces el gusano despliega una ventana con el siguiente mensaje y luego detiene su ejecución: Microsoft Internet Update Pack This update does not need to be installed on this system. [ OK ] Si no encuentra la clave anterior, entonces asume que el sistema no ha sido infectado, mostrando la siguiente licencia de uso final, que se supone proviene de Microsoft (por supuesto, esto es falso): ALL MICROSOFT PRODUCTS AND RELATED DOCUMENTS ARE PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND! Microsoft and/or its respective suppliers hereby disclaim all warranties and conditions with regard to this information, including all warranties and conditions of merchantability, whether express, implied or statutory, fitness for a particular purpose, title and non-infringement. Microsoft does not warrant that the functions for the software or code will meet your requirements, or that the operation of the software or code will be uninterrupted or error-free, or that defects in the software or code can be corrected. Furthermore, Microsoft does not warrant or make any representations regarding the use or the results of the use of the software, code or related documentation in terms of their correctness, accuracy, reliability, or otherwise. No oral or written information or advice given by Microsoft or its authorized representatives shall create a warranty or in any way increase the scope of this warranty. Should the software or code prove defective after Microsoft has delivered the same, you, and you alone, shall assume the entire cost associated with all necessary servicing, repair or correction. In no event shall Microsoft and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use or performance of software, documents, provision of or failure to provide services, or information available from the services. COPYRIGHT NOTICE. Copyright c 2003 Microsoft Corporation, One Microsoft Way, Redmond, Washington U.S.A. All rights reserved. Sin necesidad de pulsar tecla alguna, el dropper se copia en la carpeta de archivos temporales de Windows, con alguno de los siguientes nombres (pueden tener también extensión .ZIP): Cooking with Cannabis.exe Free XXX Pictures.exe Hallucinogenic Screensaver.exe IEPatch.exe I-Worm_Gibe Cleaner.exe KaZaA upload.exe Magic Mushrooms Growing.exe My naked sister.exe Porn.exe PS2 Emulator.exe Sex.exe Sick Joke.exe XboX Emulator.exe XP update.exe XXX Video.exe El dropper busca la carpeta de archivos compartidos del KaZaa y si la encuentra, se copia en ella con los mismos nombres de la lista anterior. Para ello examina el contenido de la clave "DownloadDir" en la siguiente rama: HKEY_CURRENT_USER\Software\Kazaa\LocalContent También intenta habilitar la opción de carpetas compartidas en el registro de Windows, si dicha opción estuviera deshabilitada: HKEY_CURRENT_USER\Software\Kazaa\LocalContent Dir99 = 012345:[ubicación del gusano en la carpeta TEMP] DisableSharing 0 Luego de ello, intentará infectar otras computadoras conectadas en una red local (LAN). Examina las unidades de red disponibles, buscando las siguientes carpetas: Windows WinMe Win95 Win98 Si alguna de esas carpetas es encontrada, entonces el dropper libera un archivo llamado "WebLoader.exe" en la siguiente subcarpeta: X:\WINDOWS\Start menu\Programs\Startup "X:\WINDOWS" corresponde a la letra de la unidad, y a la carpeta obtenida de la lista anterior. Ello hace que cuando la computadora remota se reinicie, se infecte. Adicionalmente, el dropper intenta localizar carpetas de inicio de sistemas basados en Windows NT (2000, XP): \Documents and Settings\All Users\Start menu\Programs\Startup \Winnt\Profiles\All Users\Start menu\Programs\Startup Si alguna de esas carpetas es encontrada, el dropper también se copia en ellas como "WebLoader.exe", con el mismo resultado de infectar dichas computadoras cuando estas se reinicien. Luego, el dropper se copia a si mismo como GIBE.DLL: C:\Windows\GIBE.DLL En todos los casos, "C:\Windows" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como "C:\WinNT" en Windows NT/2000). También se copia allí con un nombre generado al azar, por ejemplo: C:\Windows\G590213.EXE También crea archivos en la carpeta System: C:\Windows\System\MSWinsck.OCX Este archivo es un componente estandar de Visual Basic (Visual Basic OCX). "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). El dropper también intentará propagarse a través de los canales de IRC, sobrescribiendo el archivo SCRIPT.INI del mIRC, si este programa estuviera en la computadora infectada. Dicho SCRIPT.INI contiene las instrucciones para enviar la copia del dropper en la carpeta de archivos temporales, a todos los usuarios que participen de los mismos canales de chat que el usuario infectado. El dropper crea tres componentes adicionales más en la carpeta de Windows: C:\Windows\DX3DRndr.exe C:\Windows\MSBugAdv.exe C:\Windows\WMSysDx.bin C:\Windows\MailViews.db Luego, modifica el registro para que "DX3DRndr.exe" se ejecute en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run DxLoad = C:\Windows\DX3DRndr.exe Este archivo se encarga del envío masivo del dropper como un gusano a todos las direcciones encontradas dentro del archivo "MailViews.db" y en la libreta de direcciones de Windows (.WAB). Para esto último, examina la siguiente entrada en el registro: HKCU\Software\Microsoft\Wab\WAB4\Wab File Name Además, el gusano intenta buscar direcciones en los mensajes de los grupos de noticias (newsgroups), desechando aquellas que contengan algunas de estas cadenas: noemail noaddress no.email no.address none spam Esta es la lista de servidores NNTP (Network News Transfer Protocol) a los que el gusano intentará conectarse: 12-254-107-9.client.attbi.com 141.4.4.45 142.155.129.4 194.133.33.10 202.108.36.140 202.184.155.10 207.230.236.9 207.41.8.25 210.221.55.119 64.14.86.166 acs2.byu.edu asics.co.jp baldrick.blic.net baracka.rz.uni-augsburg.de blob.linuxfr.org bolo.nais.com bolzen.logivision.net bossix.informatik.uni-kiel.de butthead.cybertrails.com concern.wolters-kluwer.nl correo.uvigo.es cypress.alberni.net demonews.mindspring.com flis.man.torun.pl ftp.tomica.ru gail.ripco.com glu08.dna.affrc.go.jp graf.cs.uni-magdeburg.de grieg.uol.com.br gsc.gsi.com gwdu112.gwdg.de hermes1.rz.hs-bremen.de htsrv.attack.ru humbolt.nl.linux.org chivato.uah.es iis.tordata.se inetgate.tp.ac.sg info.rgv.net inx3.inx.net l1.newaygo.mi.us lord.usenet-edu.net lugnet.com moon.ees.hokudai.ac.jp msnews.microsoft.com narzisse.hrz.tfh-wildau.de natasha.ncag.edu neptun.beotel.yu news.abcs.com news.aoc.gov news.avcinc.com news.avicenna.com news.caiwireless2.com news.caribsurf.com news.cofc.edu news.coli.uni-sb.de news.cs.tu-berlin.de news.datast.net news.detnet.com news.discom.net news.dma.be news.dsuper.net news.fwi.com news.fxalert.com news.gamma.ru news.gcip.net news.gdbnet.ad.jp news.htwm.de news.ind.mh.se news.inet.gr news.informatik.uni-bremen.de news.invarnet.inwar.com.pl news.itcanada.com news.jerseycape.net news.konkuk.ac.kr news.krs.ru news.louisa.net news.man.torun.pl news.math.cinvestav.mx news.matnet.com news.mindvision.com.au news.netcarrier.com news.nchu.edu.tw news.odata.se news.phoenixsoftware.com news.ramlink.net news.savvis.net news.sexzilla.com news.srv.cquest.utoronto.ca news.terra-link.com news.tln.lib.mi.us news.tohgoku.or.jp news.ttnet.net.tr news.tu-ilmenau.de news.uni-hohenheim.de news.unitel.co.kr news01.uni-trier.de news1.sinica.edu.tw news4.odn.ne.jp newscache0.freenet.de newscache1.freenet.de newscache2.freenet.de newscache3.freenet.de newscache4.freenet.de newscache5.freenet.de newsfeed.ctrl-c.liu.se news-read2.maxwell.syr.edu newssvr20-ext.news.prodigy.com nserver.enc-1.com oak.cise.ufl.edu penelope-gw.oswego.edu pluto.sm.dsi.unimi.it pronews.centramedia.net proxy.dvgd.ru pumba.class.udg.mx ran.age.ne.jp rebell.ghks.de rtcsrv5.realtech.de s1.texinet.com server.internetoutlet.net server.pspu.ac.ru sparky.midwest.net sunu789.rz.ruhr-uni-bochum.de tabloid.uwaterloo.ca targetvision.com test.easynews.com tiger.aba.net.au tomcat.admin.navo.hpc.mil tomcat.med.uoeh-u.ac.jp tthsc5.ttuhsc.edu tyr.eiknes.se vanaema.matti.ee vulkan.euv-frankfurt-o.de weber.techno-link.com wisipc.weizmann.ac.il wixer052.greyware.com www.focalnet.com yucatan.franconews.org La lista se encuentra en el archivo "WMSysDx.bin". Por defecto, la cadena "[wait]" es escrita adelante de cada servidor que no ha respondido. Cuando la conexión es exitosa, el gusano le agrega la cadena "[puerto]", donde "puerto" es el usado para conectarse. El gusano guarda todas las direcciones encontradas en el archivo "MSErr.bak": C:\Windows\MSErr.bak Los mensajes son generados al azar a partir de una lista interna de nombres, direcciones, asuntos, texto y cabezales. El asunto es seleccionado al azar con componentes de esta lista: Latest, New, Last, Newest Internet, Microsoft, Network Security Pack, Update, Patch Ejemplos: Latest Microsoft Security Pack New Internet Security Update Internet Security Pack El nombre del remitente es generado al azar a partir de las siguientes partes: MS, Microsoft, Corporation Network, Internet Security Center, Department, Section, Division Customer, Public, Technical Support, Assistance, Services Ejemplos: Microsoft Public Support MS Security Department Corporation Internet Support En algunos casos, el gusano crea los asuntos a partir de los siguientes componentes: FW:, FWD:, RE: Check, Check out, Prove, Taste, Try Look at, Take a look at, Look at, See Watch this, these, the, that correction, security update, patch, pack which, came, comes from the Microsoft, M$ Corporation Ejemplos: FW: Check this security update which came from Microsoft RE: Take a look at the correction patch from the M$ Corporation La dirección de correo del remitente, es armada con algunas letras y números al azar, seguidas de la arroba y un nombre de dominio seleccionado con elementos de la siguiente lista: newsletters, support, technet, updates, advisor msdn, microsoft, ms, msn com, net Ejemplos: codwmbitj_186377@newsletters.microsoft.com cajdfd89@support.msdn.net El cuerpo del mensaje es un texto plano o con formato HTML. El gusano examina el corriente mes y año e inserta ese dato en el cuerpo del mensaje. El mensaje de texto plano (solo texto o sin formato), luce así: Microsoft Customer this is the latest version of security update, the "February 2003, Cumulative Patch" update which eliminates all known security vulnerabilities affecting Internet Explorer, Outlook and Outlook Express as well as five newly discovered vulnerabilities. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run executable on your system. This update includes the functionality of all previously released patches. System requirements: Win 9x/Me/2000/NT/XP This update applies to: Microsoft Internet Explorer, version 4.01 and later Microsoft Outlook, version 8.00 and later Microsoft Outlook Express, version 4.01 and later Recommendation: Customers should install the patch at the earliest opportunity. How to install: Run attached file. Click Yes on displayed dialog box. How to use: You don't need to do anything after installing this item. Microsoft Technical Support is available at http://support.microsoft.com/ For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site at http://www.microsoft.com/security Contact us at http://www.microsoft.com/isapi/goregwiz.asp?target=3D/contactus/= contactus.asp Please do not reply to this message. It was sent from an unmonitored e-mail address and we are unable to respond to any replies. Thank you for using Microsoft products. With friendly greetings, Microsoft Public Support ________________________________________ =c2003 Microsoft Corporation. All rights reserved. The names of = the actual companies and products mentioned herein = may be the trademarks of their respective owners. La versión HTML (o con formato), posee el mismo texto con algunas variantes sin importancia, mostrando un cuadro azul con las opciones para "System requirements", "This update applies to", "Recommendation", "How to install" y "How to use". El gusano también genera un falso mensaje de rebote. Inserta además el código para aprovecharse de la vulnerabilidad "IFrame", que hace que el adjunto se ejecute automáticamente al leerlo o verlo en la vista previa del Outlook Express, si no se tiene actualizado el Internet Explorer. En algunos casos, el gusano agrega el siguiente texto al pie de los mensajes: --- Outgoing mail is certified Virus Free. Checked by [nombre] anti-virus system (http://www.[nombre].com Release Date: [fecha] Donde suplanta [nombre] por alguna de las siguientes opciones: TrendMicro F-Secure Symantec Kaspersky NOD32 McAfee Sophos DrWeb32 El gusano se adjunta al mensaje como un archivo .EXE o .ZIP de 155,648 bytes, con un nombre generado con partes al azar. [nombre]xxx.exe (o .zip) Donde las "xxx" son tres o más dígitos al azar, y [nombre] es una de las siguientes opciones: Patch Update q p Ejemplos: PATCH368.exe Q382381.exe Update584.zip El gusano intenta enviar los mensajes infectados a través de un listado de servidores SMTP guardados en el archivo "WMSynDx.bin". El gusano también intenta acceder al sitio "ww2.fce.vutbr.cz" para incrementar un contador oculto, seguramente con la intención de llevar una estadística de computadoras infectadas. Además, el gusano ejecuta otro archivo liberado por el dropper (MSBugAdv.exe) con el parámetro "suck" en la línea de comandos (MSBugAdv.exe -suck). Si el archivo se ejecuta sin esa opción, intentará abrir el sitio Web de soporte de Microsoft, en el navegador por defecto. De otro modo (si se ejecuta con el mencionado parámetro), el archivo queda activo en memoria como un proceso de servicio. El código del gusano contiene el siguiente texto: Coded …by Begbie, Slovakia * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: DX3DRndr 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: WMSysDx.bin; WebLoader.exe; SCRIPT.INI 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione Todos los archivos y carpetas 3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente: WMSysDx.bin; WebLoader.exe; SCRIPT.INI 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". 11. Reinicie su computadora * Actualizar Internet Explorer Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo: Parches para WinXP e Internet Explorer (MS03-004 y 005) http://www.vsantivirus.com/vulms03-004-005.htm O instale el IE 6.0, Service Pack 1 (SP1): Cómo descargar Internet Explorer 6 SP1 en español http://www.vsantivirus.com/descarga-ie6sp1.htm Y luego actualice su Internet Explorer como se explica aquí: Parches para WinXP e Internet Explorer (MS03-004 y 005) http://www.vsantivirus.com/vulms03-004-005.htm * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/CHowl. Se propaga por redes P2P, finaliza antivirus _____________________________________________________________ http://www.vsantivirus.com/chowl.htm Nombre: W32/CHowl Tipo: Gusano de Internet Alias: W32/Chowl@mm, I-worm.chowl@mm Plataforma: Windows 32-bits Tamaño: 34,304 bytes Fecha: 25/feb/03 Este gusano posee la capacidad de propagarse a través del correo electrónico a todos los contactos de la libreta de direcciones de Microsoft Outlook y Outlook Express, así como a través de las redes de intercambio de archivos P2P. También intenta detener algunos procesos relacionados con conocidos antivirus. Escrito en Visual Basic, al ser ejecutado, se copia a sí mismo dentro del directorio System de Windows con los siguientes nombres: c:\windows\system\cyberwolf.exe c:\windows\system\explorer.exe c:\windows\system\kernell32.exe c:\windows\system\ms-dos.com c:\windows\system\regedit32.exe c:\windows\system\service.exe c:\windows\system\system.exe c:\windows\system\system32.exe c:\windows\system\systems.exe c:\windows\system\windows.scr "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Luego busca las carpetas compartidas de conocidas aplicaciones de intercambio de archivos como KaZaa, Bearshare, Grokster, Morpheus, eDonkey2000 y Limewire. Crea multitud de copias de si mismo en el directorio System, con nombres generados al azar, tipo "Adt7900tkkgkkygfsh.dsi", "Ab7yhgkldpsp567391.exe", etc... Para ejecutarse en forma automática cada vez que Windows es reiniciado, crea las siguientes claves en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run CyberWolf = C:\WINDOWS\CyberWolf.exe dllhost = C:\WINDOWS\SYSTEM\dllhost.exe Windows Installer Service = C:\WINDOWS\SYSTEM\msiexec.exe Windows Kernell = C:\WINDOWS\SYSTEM\Kernell32.exe Windows Systems Service = C:\WINDOWS\SYSTEM\service.exe También modifica la asociación con archivos .EXE, de modo que cada vez que un ejecutable sea llamado, se ejecute antes el propio gusano: HKEY_CLASSES_ROOT\exefile\shell\open\command (Predeterminado) = C:\WINDOWS\CyberWolf.exe "%1" %* Luego, muestra el siguiente mensaje: Fatal Error in Windows Kernell Fatal Error in Windows Kernell Please allow a 10 MINUTES access for windows to send an error report to microsoft in hope they solve this error This operation could take a few moments but it will help microsoft to make an Windows Update If a dialog is prompted from MS Outlook then please click the yes button to allow Windows to send the e-mail! [ OK ] Si se pulsa en [OK], el gusano se autoenvía a todas las direcciones de la libreta del Outlook, en un mensaje formado con los siguientes componentes: Asunto (uno de los siguientes): w32/CyberWolf@mm is the newest virus... PacketStorm:WINDOWS Xp has several exploits A Virtual joke...the funniest around! A kiss from me to you Archivo adjunto (uno de los siguientes): CyberWolf-Patch.exe. Windows Xp Exploit.exe The CyberWolf-Joke.scr My Kiss for you.scr El texto del mensaje varía en relación al Asunto seleccionado. El adjunto infectado posee un icono en el Escritorio de Windows. El gusano busca en memoria procesos de conocidos antivirus, e intenta finalizarlos. También crea un archivo de texto y agrega un acceso directo al mismo en el escritorio. El contenido es un mensaje del autor del virus. Finalmente, lanza múltiples hilos de si mismo (diferentes ejecuciones del mismo archivo), lo que puede agotar los recursos disponibles y causar el cuelgue del sistema. * Reparación manual * Para eliminar el gusano de un sistema infectado Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal. 1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados 2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). 3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter 4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE SOFTWARE Classes exefile shell open command 5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como: (Predeterminado) C:\WINDOWS\CyberWolf.exe "%1" %* 6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (C:\WINDOWS\CyberWolf.exe) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco): "%1" %* 7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER\ \Software \Microsoft \Windows \CurrentVersion \Run 8. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: CyberWolf dllhost Windows Installer Service Windows Kernell Windows Systems Service 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\cyberwolf.exe c:\windows\system\explorer.exe c:\windows\system\kernell32.exe c:\windows\system\ms-dos.com c:\windows\system\regedit32.exe c:\windows\system\service.exe c:\windows\system\system.exe c:\windows\system\system32.exe c:\windows\system\systems.exe c:\windows\system\windows.scr Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 964 - Año 7 - Miércoles 26 de febrero de 2003