|
Mostrando mensaje 15
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 966 - Año 7 - Viernes 28 de febrero de 2003 | | Fecha: | Viernes, 28 de Febrero, 2003 11:39:55 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 966 - Año 7 - Viernes 28 de febrero de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Detectan graves fallos en un cortafuegos "inhackeable"
2 - W32/Cydog. Usa redes P2P y correo. Borra archivos
3 - W32/Gaobot.D. Gusano que recibe ordenes a través del IRC
_____________________________________________________________
1 - Detectan graves fallos en un cortafuegos "inhackeable"
_____________________________________________________________
http://www.vsantivirus.com/mm-alphashield.htm
Detectan graves fallos en un cortafuegos "inhackeable"
* Detectan graves fallos en un cortafuegos que se anuncia
como 100% "inhackeable"
Por Mercè Molist (*)
colaboradores@videosoft.net.uy
Les llevó sólo una mañana "romper" el aparato. Dos analistas
informáticos de Barcelona paladean la miel de la victoria
después de haber encontrado fallos irreversibles en el
producto "AlphaShield", que se vende como cortafuegos para
líneas ADSL, "100% inhackeable o le devolvemos su dinero". El
verano pasado, la empresa canadiense que lo fabrica convocó
un concurso, donde ofrecía un millón de dólares a quien
encontrase algún fallo de forma remota. Hugo Vázquez y Toni
Cortés decidieron investigarlo por su cuenta.
Y descubrieron que "AlphaShield" era vulnerable a diversos
ataques que permiten a un intruso saltarse las barreras del
cortafuegos sin mucho esfuerzo, mediante la "inyección" de
tráfico fraudulento. "El fallo no tiene solución porque no es
de "software" sino de diseño", afirma Hugo Vázquez. Aunque el
aviso ha aparecido en populares sitios de seguridad como
"Bugtraq" o "The Register", la empresa sigue publicitando el
aparato en su web como "inhackeable" y ganador de diversos
premios y asegura en una nota de prensa que el procedimiento
para dar con el fallo no ha sido correcto ya que no se basa
en un escenario real.
Vázquez se defiende: "No se trata de evaluar cuan difícil de
explotar es la vulnerabilidad, sino de determinar si
realmente existe. Y existe. Presentaban su dispositivo como
la solución mágica a las conexiones ADSL para usuarios
caseros. Se preparaban para realizar un concurso este verano,
de un millón de dólares, iba a ser "El Concurso", aunque
nadie sabe si se celebró. Entonces, pedimos una unidad de
prueba a Canadá. Nos la enviaron con los "chips" tapados con
esmalte negro, para que no viéramos cuáles eran. Patético. Y
un timo: lo venden a unas diez veces por encima del precio de
coste".
El aparato, según Vázquez, "debería realizar un seguimiento
de las conexiones que realiza el usuario al que protege. Si
visita una página web, debería identificar el tráfico
legítimo entre el servidor y el cliente y permitir sólo éste.
Pero el seguimiento no se produce y un atacante puede
"inyectar" tráfico no autorizado, comprometiendo así la
comunicación. También dice que protege de "troyanos", pero no
de los que se conectan desde dentro. Tardamos menos de dos
horas en ver el problema".
No es ésta la primera vez que un producto probado en un
concurso, fraudulento o no, acaba mordiendo el polvo. El
criptólogo Bruce Schneider avisó en su momento de que "una
tecnología no es necesariamente segura porque nadie la haya
vencido durante una competición de "hacking"".
Hugo Vázquez y Toni Cortés
http://www.infohacking.com
AlphaShield
http://www.alphashield.com
Bugtraq
http://online.securityfocus.com/bid/6637/discussion
The Register
http://www.theregister.co.uk/content/55/29118.html
(*) Copyright (C) 2003 Mercè Molist.
Verbatim copying and distribution of this entire article is
permitted in any medium, provided this notice is preserved.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Cydog. Usa redes P2P y correo. Borra archivos
_____________________________________________________________
http://www.vsantivirus.com/cydog.htm
Nombre: W32/Cydog
Tipo: Gusano de Internet
Alias: W32/Cydog@mm, W32/Cyberwolf@mm, I-worm.cydog@mm,
W32/CHowl.B
Tamaño: 34,816 bytes
Plataforma: Windows 32-bits
Fecha: 26/feb/03
Basado en el gusano W32/CHowl (ver "W32/CHowl. Se propaga por
redes P2P, finaliza antivirus",
http://www.vsantivirus.com/chowl.htm), es en realidad un
versión mejorada. También ha sido escrito en Visual Basic,
seguramente a partir de las mismas fuentes, y luego
comprimido con la utilidad UPX.
Se propaga en forma masiva a través de las redes de
intercambio de archivos P2P como KaZaa, BearShare, eDonkey,
Morpheus, Grokster y LimeWire.
También se envía a través de mensajes con diferentes asuntos,
textos y datos adjuntos de extensiones .EXE o .SCR.
El gusano busca en memoria procesos de conocidos antivirus, e
intenta finalizarlos.
Además borra archivos, modifica la configuración del mouse y
del teclado, y se ejecuta en un bucle sin fin, creando varios
hilos de si mismo hasta colapsar al sistema por falta de
recursos.
Para enviarse a todos los contactos de la libreta de
direcciones del Outlook y Outlook Express, el gusano utiliza
las funciones de las librerías MAPI (Messaging Application
Programming Interface).
Cuando se ejecuta el adjunto, el gusano se copia en la
carpeta de archivos compartidos del KaZaa, previa búsqueda de
la misma en la siguiente clave del registro:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DownloadDir = "C:\Program Files\KaZaA\My Shared Folder"
El contenido de DownloadDir puede variar en una configuración
personalizada.
Luego, el gusano crea la carpeta "Windows Security Haches"
como subcarpeta de la carpeta de archivos compartidos del
KaZaa:
\Windows Security Haches
Modifica el registro de Windows para reflejar los cambios
hechos:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir0 = 012345: C:\Program Files\KaZaA\My Shared
Folder\Windows Security Haches
DisableSharing = 0
Después se autocopia en diversas carpetas con los siguientes
nombres:
\Windows Security Haches\Crackologic(All Windows Apps).exe
\Windows Security Haches\Credit Card Numbers
Generator(Incl Visa,Mastercard,...).exe
\Windows Security Haches\Cyberwolf-Patch.exe
\Windows Security Haches\EA Games Keygen For All Versions(Only EA).exe
\Windows Security Haches\Edonkey2000-Speed Me Up Scotty.exe
\Windows Security Haches\Free Mem-Games-Speedup.exe
\Windows Security Haches\Hotmail Hacker 2003-Xss Exploit.exe
\Windows Security Haches\Imesh SDK+Xbit Speed Up.exe
\Windows Security Haches\Kazaa SDK + Xbit Speedup For 2.Xx.exe
\Windows Security Haches\Microsoft Keygenerator-Allmost All Microsoft
Stuff.exe
\Windows Security Haches\My Kiss For You.Scr
\Windows Security Haches\Netbios Nuker 2003.exe
\Windows Security Haches\Popup Remover 9.25.exe
\Windows Security Haches\Security-2003-Update.exe
\Windows Security Haches\Stripping MP3 Dancer+Crack.exe
\Windows Security Haches\The Cyberwolf-Joke.Scr
\Windows Security Haches\Visual Basic 6.0 Msdn Plugin.exe
\Windows Security Haches\W32.Cyberwolf@Mm Fix.exe
\Windows Security Haches\Windows Xp Exploit.exe
\Windows Security Haches\Winrar 3.Xx Password Cracker.exe
\Windows Security Haches\Winzipped Visual C++ Tutorial.exe
\Windows Security Haches\Xnuker 2003 2.93b.exe
C:\Archivos de programa\Bearshare\Shared\Bearshare<Pro 4.3.1 Beta Version.exe
C:\Archivos de programa\Bearshare\Shared\Chaos Ip 2003-Xp Compitable.exe
C:\Archivos de programa\Bearshare\Shared\Hotmail Hacker 2003-Xss Exploit.exe
C:\Archivos de programa\Bearshare\Shared\Netbios Nuker 2003.exe
C:\Archivos de programa\Bearshare\Shared\Xnuker 2003 2.93b.exe
C:\Archivos de programa\Edonkey2000\Incoming
\EA Games Keygen For All Versions(Only EA).exe
C:\Archivos de programa\Edonkey2000\Incoming\Edonkey2000-Ad Remover.exe
C:\Archivos de programa\Edonkey2000\Incoming\Hotmail Hacker 2003-Xss
Exploit.exe
C:\Archivos de programa\Edonkey2000\Incoming\Netbios Nuker 2003.exe
C:\Archivos de programa\Edonkey2000\Incoming\Winrar3.Xx Password Cracker.exe
C:\Archivos de programa\Grokster\My Grokster\Grokster Ad-Remover.exe
C:\Archivos de programa\Grokster\My Grokster\Netscan 1.6.exe
C:\Archivos de programa\Grokster\My Grokster\Stripping Mp3 Dancer+Crack.exe
C:\Archivos de programa\Grokster\My Grokster\Trojan Utility 5.6.exe
C:\Archivos de programa\Grokster\My Grokster\Winrar 3.Xx Password Cracker.exe
C:\Archivos de programa\Grokster\My Grokster\Xss Security Exploit-Hotmail.exe
C:\Archivos de programa\Limewire\Shared\Crackologic(All Windows Apps).exe
C:\Archivos de programa\Limewire\Shared\Credit Card Generator
C:\Archivos de programa\Limewire\Shared\Lunix-Download.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Chaos Ip.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Morpheus-Gold.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Netbios Exploiter Xp.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Webseek-Mp3.exe
C:\Windows\System\Cyberwolf.exe
C:\Windows\System\Cyberwolf.exe
C:\Windows\System\Kernell32.exe
C:\Windows\System\Ms-Dos.Com
C:\Windows\System\Regedit32.exe
C:\Windows\System\Rundll32.exe
C:\Windows\System\Service.exe
C:\Windows\System\System\Explorer.exe
C:\Windows\System\System\System.exe
C:\Windows\System\System32.exe
C:\Windows\System\Systems.exe
C:\Windows\System\Windows.Scr
C:\Windows\TEMP\Windows Media Player Plugin.exe
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden
variar de acuerdo al sistema operativo instalado (con esos
nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
Para ejecutarse cada vez que se reinicie el sistema crea las
siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CyberWolf = CyberWolf.exe
Windows Systems Service = C:\Windows\System\Kernell32.exe
Windows Kernell = C:\Windows\System\Dllhost.exe
Dllhost = C:\Windows\System\msiexec.exe
Windows Installer Service = C:\Windows\System\CyberWolf.exe
También crea esta clave:
HKCU\Software\Microsoft\CyberWolf
CyberWolf = You are Biten
Después, borra todos los archivos en las siguientes
ubicaciones:
C:\Archivos de programa\Common Files\Symantec Shared
C:\Archivos de programa\Norton AntiVirus
También borra todos los archivos con extensiones .EXE, .DLL,
.OCX, y .INI que encuentre en el sistema.
Luego, haciendo uso de objetos WMI (Windows Management
Instrumentation) intenta terminar los procesos de conocidos
antivirus.
WMI (Windows Management Instrumentation), es un estándar de
Microsoft para la gestión integrada de sistemas basada en la
web, creada para Windows 2000, pero implementada en todas las
plataformas de Windows, incluyendo Windows 95. El gusano
utiliza llamadas a objetos bajo este modelo, para detectar
los servicios que se ejecutan, en este caso los diferentes
productos antivirales, cortafuegos, etc.
Para que WMI funcione, se requiere el archivo "WinMgmt.exe"
(es un componente normal de Windows, no un código malicioso).
Este es el componente principal para la gestión de WMI. Bajo
Windows 9x, funciona como un ejecutable independiente. Bajo
Windows NT/2000, como un servicio.
Los ejecutables que el gusano intenta eliminar son los
siguientes:
_Avp32.exe
Anti-trojan.exe
Aupdate.exe
Avp.exe
Avpcc.exe
Avpmon.exe
Blackice.exe
Bootwarn.exe
Ccapp.exe
Ccshtdwn.exe
Cfind.exe
Esafe.exe
Findviru.exe
Kpf.exe
Kpfw32.exe
Luall.exe
Navapw32.exe
Nmain.exe
Nupdate.exe
Qconsole.exe
Regedit.exe
Scan32.exe
Taskmgr.exe
Webscan.exe
Zapro.exe
Luego, muestra una ventana de diálogo con el siguiente texto:
Fatal Error in Windows Kernell
Fatal Error in Windows Kernell
Please allow a 10 MINUTES access for windows to send an
error report to microsoft in hope they solve this error
This operation could take a few moments but it will help
microsoft to make an Windows Update
If a dialog is prompted from MS Outlook then please click
the yes button to allow Windows to send the e-mail!
[ OK ]
Luego, a través de funciones MAPI, utiliza el Outlook (y
Outlook Express) para enviarse a todos los contactos de la
libreta de direcciones del Outlook y Outlook Express.
Los mensajes varían entre estos diferentes formatos:
=====================================================================
Asunto: EA and EIDOS Presents...
Datos adjuntos: CyberWolf-Patch.exe (34,816 bytes)
Texto del mensaje:
Dear client
Some information about our long-awaited product: CyberWolf
CyberWolf is the newest product of Electronic Arts and Eidos
Interactive!
Its a complete new technology which actualy speeds up you're processor
time needed to play game of EA and EIDOS
Including FIFA 2003,BATTLEFIELD 1942,NHL2003,CM01/02 and all the other
games produced by these companies!
The technology behind these new product is something that clear's
excisting ram when playing this game--->Results:
The speed and graphical abilities are increased by 35%,so loading a
new game wile go 35% faster!So more gameplay,less waiting and looking
at that um screen!
But it will take sometime for EA and EIDOS to alert all peoples who
has EA and EIDOS games,but...
They decided to mail the CyberWolf-Patch to users who have games from
EA and EIDOS and to people who visited the website within the past 18
months!
also they decided to mail this patch to workers in companies and to
other people who are using the internet regulary
If you want to enjoy this Speed-the-hell-out-ya-head-PATCH then just
install the attachment,restart you're pc and start playing games or...
wait until you buy a EA or EIDOS game,and enjoy it then!the choice is
yours!
Before i forget:This patch seems to work on other games as well,it
speeds up those games by 15-30% depending on the game!
----------------------------------------------
This email is provided to you by PacketStorm,please enjoy our services
This product may NOT be soled or copied!It may only be used by the
intended recipient and this only for the purpose for which it has been
sent
If you are not the intended recipient,then please contact EA or EIDOS
at EE-CyberWolf.patch@EA-EIDOS.com and delete this e-mail and
attachement
We believe and warrant that this e-mail and any attachments, are virus
free,we take full responsibility about this attachment
CyberWolf
For more information please contact us at EE-CyberWolf.patch@EA-
EIDOS.com or suft to www.EA.com/project\cyberwolf.htm and
ww.eidos.com\cyberwolf.asp
E-mail provided to you by Elena (Elena@EA-EIDOS.com)
=====================================================================
Asunto: PacketStorm:WINDOWS Xp has several exploits
Datos adjuntos: Windows Xp Exploit.exe (34,816 bytes)
Texto del mensaje:
According to the redaction of PacketStorm
Windows Xp has several exploits which could not be removed because if
the do want to delete it then they should rewrite Kernell! but this
would mean rewriting everything Micrsoft had build up over the last
years'
Bill Gates from microsoft reported that there is no exploit at all!,it
was just a joke from a hacker attending to scar off windows XP users
However the word goes around that allready several users and admins
have been hacked by an mysterious hacker nicknamed 'The CyberWolf'
if you want more information about this exploit and the exploit
itself,then open the included e-mail do not forget to vote for
PacktStorm when running the attachment,Enjoy the rest of our services
This email is provided to you by PacketStorm,please enjoy our services
=====================================================================
Asunto: A Virtual joke...the funniest around!
Datos adjuntos: The CyberWolf-Joke.scr (34,816 bytes)
Texto del mensaje:
hi
have you heard about the CyberWolf-Joke?
its soooo funny you 'll laugh yourself a bunch when you see and hear
the joke
haha those little bastards on your screen are soooo funny:D:D
just download and open the attached screensaver (The CyberWolf-
Joke.scr = this is actually the joke) and look at it funny hu!!!
after you have run the joke click ctrl+shift+p to see who made it.
I hope you have fun with it
greeetttzzz
***************************************************
This e-mail is presented to you by Joking-Soft,a division of
MicroSoft.
If you have any problems with this e-mail or attachment then please
contact us.
We take full responsability for this e-mail and attachements.
They are virusfree and are property of Joking-Soft
Please do not Sell or Distribute these atachments.
I thank you
=====================================================================
Asunto: A kiss from me to you...
Datos adjuntos: My Kiss for you.scr (34,816 bytes)
Texto del mensaje:
Dear User
Someone has dropped a kiss in you're mailbox!
Check-Out the attached Kiss from the anonymous person,probably a
secret lover or a very good friend
After you have been kissed please visit www.internetkiss.com and send
this kiss to all the person who you adore or just like
You are Nr.315723625 who has received this Internet-Kiss.
This Internet-Kiss-Letter is started on 13/01/1997 and hopes to
continue until 13/01/2007.
=====================================================================
El gusano crea entonces una clave en el registro, que utiliza
como indicador de envío de los mensajes:
HKEY_CURRENT_USER\Software\Mail-The-Bastards
CyberWolf = They are emailed
También modifica la página de inicio del Internet Explorer
por la siguiente (que actualmente no existe):
http:/ /CyberWolf-has-bitten-you.com
Además, modifica en el registro, algunos parámetros que
involucran al ratón y al teclado, tales como la velocidad del
puntero, el rango de movimiento, tiempo de espera entre las
teclas pulsadas, tiempo de repetición de caracteres (cuanto
se espera al pulsar una tecla continuamente, antes de empezar
a repetir su valor en pantalla, etc.
También puede cambiar la configuración para hacer visibles o
no a los archivos ocultos así como que se muestren o no
ciertas extensiones de archivos.
Puede crear un archivo de texto y luego imprimirlo
directamente, utilizando la impresora marcada como activa.
Finalmente, lanza múltiples hilos de si mismo (diferentes
ejecuciones del mismo archivo), lo que termina agotando los
recursos disponibles, causando el cuelgue del sistema.
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Archivos de programa\Bearshare\Shared\Bearshare<Pro 4.3.1 Beta Version.exe
C:\Archivos de programa\Bearshare\Shared\Chaos Ip 2003-Xp Compitable.exe
C:\Archivos de programa\Bearshare\Shared\Hotmail Hacker 2003-Xss Exploit.exe
C:\Archivos de programa\Bearshare\Shared\Netbios Nuker 2003.exe
C:\Archivos de programa\Bearshare\Shared\Xnuker 2003 2.93b.exe
C:\Archivos de programa\Edonkey2000\Incoming
\EA Games Keygen For All Versions(Only EA).exe
C:\Archivos de programa\Edonkey2000\Incoming\Edonkey2000-Ad Remover.exe
C:\Archivos de programa\Edonkey2000\Incoming\Hotmail Hacker 2003-Xss
Exploit.exe
C:\Archivos de programa\Edonkey2000\Incoming\Netbios Nuker 2003.exe
C:\Archivos de programa\Edonkey2000\Incoming\Winrar3.Xx Password Cracker.exe
C:\Archivos de programa\Grokster\My Grokster\Grokster Ad-Remover.exe
C:\Archivos de programa\Grokster\My Grokster\Netscan 1.6.exe
C:\Archivos de programa\Grokster\My Grokster\Stripping Mp3 Dancer+Crack.exe
C:\Archivos de programa\Grokster\My Grokster\Trojan Utility 5.6.exe
C:\Archivos de programa\Grokster\My Grokster\Winrar 3.Xx Password Cracker.exe
C:\Archivos de programa\Grokster\My Grokster\Xss Security Exploit-Hotmail.exe
C:\Archivos de programa\Limewire\Shared\Crackologic(All Windows Apps).exe
C:\Archivos de programa\Limewire\Shared\Credit Card Generator
C:\Archivos de programa\Limewire\Shared\Lunix-Download.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Chaos Ip.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Morpheus-Gold.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Netbios Exploiter Xp.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Webseek-Mp3.exe
C:\Windows\System\Cyberwolf.exe
C:\Windows\System\Cyberwolf.exe
C:\Windows\System\Kernell32.exe
C:\Windows\System\Ms-Dos.Com
C:\Windows\System\Regedit32.exe
C:\Windows\System\Rundll32.exe
C:\Windows\System\Service.exe
C:\Windows\System\System\Explorer.exe
C:\Windows\System\System\System.exe
C:\Windows\System\System32.exe
C:\Windows\System\Systems.exe
C:\Windows\System\Windows.Scr
C:\Windows\TEMP\Windows Media Player Plugin.exe
Borre la carpeta "Windows Security Haches" y todo su
contenido.
C:\Program Files\KaZaA\My Shared Folder\Windows Security
Haches
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares a los
descriptos antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
3. Pinche en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Dir0
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\CyberWolf
5. Pinche en la carpeta "CyberWolf" y bórrela.
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Mail-The-Bastards
7. Pinche en la carpeta "Mail-The-Bastards" y bórrela.
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
9. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
CyberWolf
Windows Systems Service
Windows Kernell
Dllhost
Windows Installer Service
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Procedimiento para restaurar página de inicio y página de
búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Gaobot.D. Gusano que recibe ordenes a través del IRC
_____________________________________________________________
http://www.vsantivirus.com/gaobot-d.htm
Nombre: W32/Gaobot.D
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: W32/Agobot.d, WORM_AGOBOT.D, W32/Gaobot.worm.k,
Backdoor.Agobot, AGOBOT.D, W32/Gaobot.gen
Fecha: 28/feb/03
Tamaño: 237,568 bytes
Plataforma: Windows 32-bits
Es un gusano residente en memoria, que se propaga a través de
las redes de intercambio de archivos P2P como Kazaa,
Grokster, o Bearshare, y también a través de los recursos
compartidos en red.
El gusano permanece en memoria al ejecutarse. Luego, se
conecta regularmente a un servidor IRC, donde puede
comportarse como un BOT (copia de un usuario en un canal de
chat, generado casi siempre por un programa, y preparado para
responder ciertos comandos que se les envía en forma remota,
de modo de lograr múltiples acciones coordinadas en forma
simultánea, y sin nuestra intervención directa). De este modo
puede ser usado para realizar ataques distribuidos de
denegación de servicio (D.D.o.S).
También tiene capacidades de troyano del tipo backdoor (uso
de una puerta trasera) que permiten a un intruso el control
total del sistema infectado.
La forma más común de arribar a nuestro PC es a través de un
archivo descargado de alguna red de intercambio, como las
mencionadas antes.
Si se infecta a través de un recurso compartido en red, se
crea el archivo WOINGGG.EXE en el directorio raíz de
cualquier unidad compartida.
Durante su ejecución, se copia a sí mismo como SVHOST.EXE en
el directorio System de Windows:
C:\Windows\System\SVHOST.EXE
"C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
Luego, ejecuta SVHOST.EXE finalizando su ejecución en
memoria.
Mientras queda residente, el gusano intenta descargar de un
sitio los siguientes archivos:
PSEXEC.EXE
AGOBOT.EXE
DEFAULT.CFG
Estos podrían ser modificados por el autor para obtener
nuevas funcionalidades con el gusano.
AGOBOT.EXE aparenta ser una actualización del gusano,
mientras que PSEXEC.EXE es un archivo empleado para la
ejecución de comandos en máquinas remotas.
Para ejecutarse automáticamente en cada reinicio de Windows,
el gusano crea las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svhost Loader = svhost.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Svhost Loader = svhost.exe
El gusano se propaga a través de las unidades compartidas de
red, utilizando el comando NET, disponible en todas las
versiones de Windows, sin embargo, el gusano utiliza con
dicho comando parámetros no soportados por todos los Windows.
Luego de enumerar los recursos compartidos disponibles, el
gusano se copia como WOINGGG.EXE dentro del directorio raíz
de la unidad compartida.
A continuación, un programa legítimo (no es un virus),
llamado PSEXEC.EXE, es usado para ejecutar las copias del
virus en las unidades remotas, causando la infección de
estas.
Si las aplicaciones KaZaa, Grokster o Bearshare se encuentran
instaladas en la computadora infectada, el gusano modifica el
registro para permitir compartir los siguientes archivos
infectados (todos con extensión .EXE):
[nombre] doing hardcore xxx
[nombre] getting it on with George W. Bush - XXX
[nombre] getting it on with Usama Bin Laden - XXX
[nombre] getting on with it! - XXX
[nombre] giving VERY good blowjob XXX
[nombre] in bed with some guy - XXX
[nombre] is very horny atm - XXX
[nombre] lesbian love - XXX
[nombre] nude fucking hardcore xxx huge boobs
[nombre] spreading VERY wide!! - XXX
[nombre] sucking dick - XXX
[nombre], very good pic (must download) - XXX
[nombre]'s webcam - cracked access - no cost - XXX
[nombre]'s webcam - view livecast - XXX
Anal Sex - [nombre] - XXX
Big Boobs Part II XXX - [nombre]
Big Tits XXX - [nombre]
buttfuckin [nombre] - XXX
Celebrity XXX - [nombre]
cum all over [nombre] - XXX
Free [nombre] celeb pics xxx playboy fuck port huge boobs nude hardcore - XXX
h4x [nombre]'s c0mput3r 4nd s3nd h3r 3m41l - mus7 d0wnl04d - 1337 h4x0r - XXX
Hardcore XXX - [nombre]
Huge Tits XXX - [nombre]
Instant access to [nombre]-picture download - XXX
oh my, horny [nombre] - XXX
Pictures of [nombre] - hot pics! - XXX
Sexy [nombre] nude pics xxx playboy porn pics
Spreading Wide XXX - [nombre]
Watch [nombre] sucking and fucking - XXX
Donde [nombre] puede ser cualquiera de los siguientes:
Alessandra Ambrosia
Amanda Peet
Anna Kournikova
Ashley Judd
Belinda Chapple
Britney Spears
Cameron Diaz
Carmen Electra
Chandra North
Charlize Theron
Christina Aguilera
Donna D'Erico
Emma Sjoberg
Gillian Anderson
Halle Berry
Helena Christensen
Jessica Alba
Jolene Blalock
Karina Lombard
Kate Moss
Katie Price
Kelly Hu
Kirsten Dunst
Kylie Bax
Kylie Minogue
Lexa Doig
Michelle Behennah
Pamela Anderson
Salma Hayek
Samantha Mumba
Sandra Bullock
Shakira
Stacey Keibler
También puede ser uno de estos archivos:
[nombre] - ADSL Playfix
[nombre] - Autotuning (for Newbies)
[nombre] - Cable Modem Playfix
[nombre] - CD Key Generator
[nombre] - Character Cheat
[nombre] - Crack all versions
[nombre] - Game Trainer
[nombre] - Idem Duplicator
[nombre] - Internet Play Fix
[nombre] - Item Hack
[nombre] - Map Hack
[nombre] - Multiplayer Cheat
[nombre] - Newest Patch
[nombre] - NOCD Patch
[nombre] - Tweaking utility
[nombre] - Unlimited Healt Trainer
[nombre] - Unlock Everything Trainer
[nombre] 3D Setup
[nombre] crack (all versions)
[nombre] newest version crack
También seguido de la extensión .EXE y donde [nombre] es uno
de estos:
Action Man Destruction X
AFL Live 2003
Asswipe
Bandits - Phoenix Rising
BANDITS Phoenix Rising
Battlefield 1942
Blue's Clues Preschool
Bongo Boogie
Brixout XP
Combat Mission 2
Conflict Desert Storm
CUT2003
Deep Fritz 7
Delta Force Black Hawk Down
Diablo
Diablo 2
Divine Divinity
Dogs Playing Poker
Duke Nukem Forever
Earth 2150 Lost Souls
Emperor
Emperor Rise of the Middle Kingdom
Empire Earth Art of Qonquest
Exodus Action
Fartknocker
Frontline Attack War over Europe
Ganja Farmer 2
Halloween
High Grow
Hoyle Card Games 2003
HOYLE PUZZLE GAMES 2003
Hyper Rails
Iron Storm
Iron Storm Action
Jedi Knight 2
Jeopardy! 2003
Jurassic Park Dinosaur Battles
Kango Shicyauzo
Kickoff 2002
Law and Order Dead on the Money
Links 2003
Links 2003 Championship Courses
Madden NFL 2003
Maximum G-Force Coasters
Midnight Outlaw Street Racing
NHL 2003
No One Lives Forever 2
NOLF2
ParaShooter
Pox Puzzle
Prisoner Of War
Pro Soccer Cup 2002
Project Nomads
Puzzles battles of the history
Quake 1
Quake 2
Quake 3
Reel Deal Slots Volume II
Scarlet Waves
Shattered Galaxy
Sniper Path of Vengeance
Snow Drop
Squad Battles Eagles Strike
Star Wraith 3
Starcraft
Starshatter v3
Stronghold Crusader
Taz Wanted
The Gates
The Sims Unleashed
Total Club Manager 2003
Ultimate Pinball
Ultimate Ride Disney Coaster
Unreal Tournament 2003
Us Open 2002
Virtual Resort
Virtual Resort Spring Break
Virtual Sailor
Virtual Skipper 2
Warcraft
Warcraft 2
Warcraft 3
World War II
X-Plane
Zelenhgorm The Great Ship
La capacidad del tipo "backdoor" (acceso remoto en forma
clandestina), que posee el virus, habilita a un usuario
remoto a lanzar ataques distribuidos de denegación de
servicio, a otros usuarios.
Intenta continuamente conectarse a cualquiera de los
siguientes servidores IRC mediante los puertos 9900 o 6667
utilizando un 'alias' y una 'contraseña' pre-configurados:
63.149.30.62
B14cKZ0mB13.users.undernet.org
Columbus.Private.Net
Cada cierto tiempo, además, también a través del IRC, intenta
notificar a un usuario remoto que el sistema infectado está
activo, dándole a este la dirección IP de la máquina
infectada y otra información del sistema, como los números de
registro de populares aplicaciones y juegos que pudieran
estar instaladas. Estos datos son tomados del registro.
También puede enviar cualquiera de los datos de esta lista:
- Confirmación de copias hechas en KaZaa, Grokster o
Bearshare
- Confirmación de la existencia de CD Key’s (claves de
registro)
- Información del estado de la bandeja del CD (abierta o
cerrada)
- Información del estado actual del gusano (si se ha
propagado, si se ha copiado al KaZaa, etc.
- Tipo de conexión a Internet, dirección IP local
- Origen de la conexión
- Velocidad de la CPU, cantidad de RAM (total y libre)
- Versión de Windows
El gusano intentará continuamente conectarse a un servidor de
IRC usando un nickname y contraseña previstos en su código,
hasta que obtenga éxito.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Deshabilitar las carpetas compartidas en BearShare
1. Ejecute BearShare.
2. Seleccione "Options" del menú "Setup".
3. Seleccione la lengüeta "Sharing"
4. Seleccione todo lo que estuviera en la ventana bajo el
título "Share the files in these directories and their sub-
directories:" y pinche en "Remove"
5. Pinche en "Aceptar", etc.
* Deshabilitar las carpetas compartidas en Grokster
1. Ejecute Grokster.
2. Seleccione "Tools" > "Find Media to Share" > "Folder
List".
3. Pinche en el botón "DeSelect All".
4. Pinche en "Aceptar", etc.
* Antivirus
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecútelos en modo escaneo, revisando todos sus discos
duros
3. Borre los archivos detectados como infectados
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir cada una de las siguientes ramas:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
3. Pinche alternativamente en las carpetas "RunServices" y
"Run", y en cada caso, en el panel de la derecha busque y
borre la siguiente entrada:
Svhost Loader
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 966 - Año 7 - Viernes 28 de febrero de 2003
|
Responder a este mensaje
