|
Mostrando mensaje 17
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 968 - Año 7 - Domingo 2 de marzo de 2003 | | Fecha: | Domingo, 2 de Marzo, 2003 12:21:32 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 968 - Año 7 - Domingo 2 de marzo de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Autoejecución de código en archivos HTML con IE
2 - W32/Cydog.B. Se propaga vía redes P2P. Borra archivos
3 - Troj/BackDoor.Sub7. Nueva variante: Sub7 Legends 2.15
_____________________________________________________________
1 - Autoejecución de código en archivos HTML con IE
_____________________________________________________________
http://www.vsantivirus.com/vul-mhtml-file.htm
Aviso de seguridad: Autoejecución de código en archivos HTML
con Internet Explorer
Fecha original: 25/feb/03, 1/mar/03
Aplicación vulnerable: Todas las versiones del IE 5.x y 6.x
Severidad: Alta
Riesgo: Grande
Fabricante: Microsoft
Una nueva vulnerabilidad recientemente descubierta en el
Internet Explorer, permite que por medio de un script, se
pueda ejecutar un programa embebido en un documento HTML.
Al ser un archivo HTML, el mismo será abierto y procesado por
defecto, por el Internet Explorer.
Cuando el script es procesado, el ejecutable empotrado en el
documento se ejecuta en el área de seguridad actual del
Explorer.
De ese modo, un operador Web malicioso podría incluir en una
página un archivo maligno, que se ejecutaría en el entorno de
seguridad local, menos restrictivo que el usado para navegar.
Un escenario similar, podría ser preparado por un malware
(virus o troyano), incluso a través de mensajes de correo
electrónico con formato HTML.
El mayor peligro de esta falla, está en que el Internet
Explorer no muestra ninguna advertencia al ejecutar un
archivo bajo esas condiciones.
Microsoft fue avisado de la falla, pero no existe aún una
solución. Debido a que esta advertencia y un ejemplo para
explotar la falla, ya han sido publicadas en Internet, es que
advertimos de la misma a nuestros lectores.
Son vulnerables las siguientes versiones del Explorer:
Microsoft Internet Explorer 5.0
Microsoft Internet Explorer 5.5 SP2
Microsoft Internet Explorer 5.5 SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Fuente: http://www.securityfocus.com/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Cydog.B. Se propaga vía redes P2P. Borra archivos
_____________________________________________________________
http://www.vsantivirus.com/cydog-b.htm
Nombre: W32/Cydog.B
Tipo: Gusano de Internet
Alias: WORM_CYDOG.B, W32/Chowl@MM, W32.HLLW.Cydog@mm,
W32/CHowl.C, I-Worm.Cydog.b, Win32/Cydog.B@mm
Relacionados: BAT/Cydog.B, BAT_CYDOG.B
Tamaño: 34,304 bytes
Plataforma: Windows 32-bits
Fecha: 2/mar/03
Esta versión, igual que W32/Cydog
(http://www.vsantivirus.com/cydog.htm) se propaga en forma
masiva a través de las redes de intercambio de archivos P2P
como KaZaa, BearShare, eDonkey, Morpheus, Grokster y
LimeWire.
También intenta hacerlo por correo electrónico pero por un
error en su código, falla en el intento.
El gusano busca en memoria procesos de conocidos antivirus, e
intenta finalizarlos.
Además borra archivos, modifica la configuración del mouse y
del teclado, y se ejecuta en un bucle sin fin, creando varios
hilos de si mismo hasta colapsar al sistema por falta de
recursos.
Cuando se ejecuta, el gusano crea una copia de si mismo en el
raíz de la unidad C:
C:\CyberWolf.exe
Además, crea otras copias de si mismo en el directorio System
de Windows:
C:\Windows\System\explorer.exe
C:\Windows\System\system.exe
C:\Windows\System\Kernell32.exe
C:\Windows\System\system32.exe
C:\Windows\System\systems.exe
C:\Windows\System\service.exe
C:\Windows\System\regedit32.exe
C:\Windows\System\CyberWolf.exe
C:\Windows\System\Windows.scr
C:\Windows\System\Ms-Dos.com
También crea una carpeta llamada "Windows Security Haches"
dentro de la carpeta Windows:
C:\Windows\Windows Security Haches
Dentro de esta carpeta, se copia con los siguientes nombres:
Crackologic(all windows Apps).exe
Credit Card Numbers generator(incl Visa,MasterCard,...).exe
CyberWolf-Patch.exe
EA Games Keygen for All versions(only EA).exe
Edonkey2000-Speed me up scotty.exe
Free mem-Games-SpeedUP.exe
Hotmail Hacker 2003-Xss Exploit.exe
Imesh SDK+Xbit Speed Up.exe
Kazaa SDK + Xbit speedUp for 2.xx.exe
Microsoft KeyGenerator-Allmost all microsoft stuff.exe
My Kiss for you.scr
Netbios Nuker 2003.exe
PopUp remover 9.25.exe
Security-2003-Update.exe
Stripping MP3 dancer+crack.exe
The CyberWolf-Joke.scr
Visual Basic 6.0 Msdn Plugin.exe
W32.CyberWolf@mm Fix.exe
Windows Xp Exploit.exe
WinRar 3.xx Password Cracker.exe
WinZipped Visual C++ Tutorial.exe
XNuker 2003 2.93b.exe
Luego, crea múltiples copias de si mismo en la carpeta System
de Windows, con nombres largos generados al azar, y con
algunas de las siguientes extensiones:
.BCY
.DLL
.DSI
.EXE
.JXL
.KQX
.MGP
.MSI
.SCR
.SQL
.SYS
.XWP
.YQB
.ZMRM
También crea el siguiente archivo en la carpeta de archivos
temporales de Windows:
C:\Windows\TEMP\Windows Media Player Plugin.exe
Finalmente, el gusano borra el archivo RUNDLL32.EXE de la
carpeta Windows.
Para ejecutarse al reiniciarse Windows, el gusano modifica el
archivo WIN.INI, bajo la sección [MCI Extensions.BAK]. Allí
cambia el valor de las siguientes entradas:
mpg=MPEGVideo la cambia por: mpg=CyberWolf
Mpeg=MPEGVideo la cambia por: Mpeg=CyberWolf
mp3=MPEGVideo la cambia por: mp3=CyberWolf
Wma=MPEGVideo2 la cambia por: Wma=CyberWolf
Crea además la siguiente entrada:
CyberWolf=CyberWolf
También modifica el archivo SYSTEM.INI, agregando las
siguientes líneas bajo la etiqueta "[driver32]":
[driver32]
Cyberwolf=W32.CyberWolf@mm
Has=Infected you
El gusano también agrega la siguiente entrada en el registro
de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CyberWolf = C:\WINDOWS\CyberWolf.exe
Windows Systems Service = C:\WINDOWS\SYSTEM\service.exe
Windows Kernell = C:\WINDOWS\SYSTEM\Kernell32.exe
dllhost = C:\WINDOWS\SYSTEM\dllhost.exe
Windows Installer Service = C:\WINDOWS\SYSTEM\msiexec.exe
También modifica el registro para asociar los archivos con
extensión .EXE (la mayoría de los ejecutables que utilizan
Windows y las aplicaciones), con el código del propio gusano.
De este modo, el virus se ejecuta siempre antes que se llame
a un programa cualquiera.
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = C:\WINDOWS\CyberWolf.exe "%1" %*
El gusano busca cualquiera de las siguientes carpetas
compartidas con otros usuarios mediante programas P2P como
KaZaa, Bearshare, Grokster, Morpheus, eDonkey2000 y Limewire.
KaZaa\My shared Folder\
Bearshare\Shared\
Grokster\My Grokster\
Morpheus\My Shared Folder\
eDonkey2000\Incoming\
limewire\Shared\
También crea alguno de los siguientes archivos en la carpeta
"C:\Archivos de programa":
\limewire\Shared\CrackOlogic(all windows apps).exe
\limewire\Shared\Credit card Generator
\limewire\Shared\Lunix-Download.exe
\Morpheus\My Shared Folder\Netbios Exploiter Xp.exe
\Morpheus\My Shared Folder\Chaos Ip.exe
\Morpheus\My Shared Folder\WebSeek-Mp3.exe
\Morpheus\My Shared Folder\Morpheus-Gold.exe
\Grokster\My Grokster\Xss security exploit-hotmail.exe
\Grokster\My Grokster\NetScan 1.6.exe
\Grokster\My Grokster\Winrar 3.xx password cracker.exe
\Grokster\My Grokster\Trojan Utility 5.6.exe
\Grokster\My Grokster\Stripping mp3 dancer+crack.exe
\Grokster\My Grokster\Grokster ad-remover.exe
\Bearshare\Shared\Netbios Nuker 2003.exe
\Bearshare\Shared\Chaos Ip 2003-Xp compitable.exe
\Bearshare\Shared\XNuker 2003 2.93b.exe
\Bearshare\Shared\BearShare Pro 4.3.1 Beta Version.exe
\Bearshare\Shared\Hotmail Hacker 2003-Xss Exploit.exe
\eDonkey2000\Incoming\EA Games Keygen for All versions(only EA).exe
\eDonkey2000\Incoming\WinRar 3.xx Password Cracker.exe
\eDonkey2000\Incoming\Netbios Nuker 2003.exe
\eDonkey2000\Incoming\Hotmail Hacker 2003-Xss Exploit.exe
\eDonkey2000\Incoming\Edonkey2000-Ad remover.exe
La rutina de envío vía e-mail falla por un error en su
código. El mensaje enviado tendría alguno de los siguientes
asuntos:
w32/CyberWolf@mm is the newest virus...
PacketStorm:WINDOWS Xp has several exploits
A Virtual joke...the funniest around!
A kiss from me to you
Y alguno de los siguientes archivos adjuntos:
CyberWolf-Patch.exe.
Windows Xp Exploit.exe
The CyberWolf-Joke.scr
My Kiss for you.scr
Luego, el gusano muestra un falso error del programa, para
disimular su verdadera acción:
Fatal Error in Windows Kernell
Fatal Error in Windows Kernell
Please allow a 10 MINUTES access for windows to send an
error report to microsoft in hope they solve this error
This operation could take a few moments but it will help
microsoft to make an Windows Update
If a dialog is prompted from MS Outlook then please click
the yes button to allow Windows to send the e-mail!
[ OK ]
Una vez que el usuario pincha en el botón de OK, el gusano
procede a ejecutar múltiples copias de si mismo hasta que el
sistema colapsa por falta de recursos disponibles, o sea al
agotarse la memoria disponible.
El gusano realiza además los siguientes cambios en el
registro:
HKEY_CURRENT_USER\Software\CyberWolf
HKEY_CURRENT_USER\Software\
Windows with data CyberWolf = "You are Biten"
HKEY_CURRENT_USER\Software\Microsoft\
MSNMessengerServer = "www.hotmail.com;64.4.44.7:80"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CyberWolf
CyberWolf = "You are Biten"
Luego, crea otro componente, CYBERWOLF.BAT (detectado como
BAT/Cydog.B). Este BAT tiene las instrucciones para borrar
archivos con extensiones .EXE y .DLL cuando se ejecuta. El
borrado es realizado dos veces en cada ejecución.
El gusano también crea el archivo de texto CYBERWOLF.TXT que
solo contiene un mensaje del autor del gusano.
* Reparación manual
Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Editar el registro
Primero debe renombrar el archivo REGEDIT.EXE como
REGEDIT.COM, ya que la extensión .EXE está asociada al
gusano, y éste se volvería a cargar si ejecutamos REGEDIT en
forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del
troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar
cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta
referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
5. Pinche sobre la carpeta "command". En el panel de la
derecha debería ver algo como:
(Predeterminado) = C:\WINDOWS\CyberWolf.exe "%1" %*
6. Pinche sobre "(Predeterminado)" y en Información del
valor, debe borrar el nombre del cargador
(C:\WINDOWS\CyberWolf.exe) y dejar solo esto (comillas,
porcentaje, uno, comillas, espacio, porcentaje, asterisco):
"%1" %*
7. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
9. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
CyberWolf
Windows Systems Service
Windows Kernell
dllhost
Windows Installer Service
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
11. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\CyberWolf
12. Pinche en la carpeta "Cyberwolf" y bórrela.
13. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Windows
14. Pinche en la carpeta "Windows" y en el panel de la
derecha, bajo la columna "Nombre", borre la siguiente
entrada:
CyberWolf
15. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\MSNMessenger
16. Pinche en la carpeta "MSNMessenger" y en el panel de la
derecha, bajo la columna "Nombre", borre la siguiente
entrada:
Server
17. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CyberWolf
18. Pinche en la carpeta "CyberWolf" y bórrela.
19. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
20. Pinche en la carpeta "Windows" y en el panel de la
derecha, bajo la columna "Nombre", borre la siguiente
entrada:
CyberWolf
21. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
22. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Editar el archivo WIN.INI y SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque la siguiente etiqueta:
[MCI Extensions.BAK]
3. Bajo esta clave, modifique las siguientes entradas:
mp3 = CyberWolfW
mpeg = CyberWolf
mpg = CyberWolf
wma = CyberWolf
CyberWolf = CyberWolf
Cámbielas por las siguientes:
mp3 = MPEGVideo
mpeg = MPEGVideo
mpg = MPEGVideo
wma = MPEGVideo2
4. Borre la entrada "CyberWolf = CyberWolf"
5. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
6. Abra el archivo SYSTEM.INI bajo la etiqueta "[driver32]" y
borre las líneas que contengan lo siguiente:
[driver32]
Cyberwolf=W32.CyberWolf@mm
Has=Infected you
Running Trend Micro Antivirus
7. Reinicie su computadora.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Troj/BackDoor.Sub7. Nueva variante: Sub7 Legends 2.15
_____________________________________________________________
http://www.vsantivirus.com/sub7.htm
Nombre: Troj/BackDoor.Sub7
Tipo: Caballo de Troya de Acceso Remoto
Fecha: 16/dic/1999
Actualización: 1/mar/03
Variantes:
Sub7 Defcon8 2.1
Sub7 2.2 Beta
Sub7 Legends 2.15
Alias:
BackDoor.IRC.Mata
BackDoor.PolyDrop
Backdoor.Subseven.22.a
BackDoor/SubSeven2.2
BackDoor-G2
BackDoor-G2.svr
BackDoor-G2.svr.gen
BackDoor-G22.svr
BackDoor-Sub7
BackDoor-Sub7.svr
BackDoor-Sub7.svr
Badman Trojan
Serbian Badman Trojan
Sub7 v2.x
SubSeven v2.0
SubSeven v2.1
SubSeven v2.1 Gold
SubSeven v2.12
SubSeven v2.13
SubSeven v2.2 Beta
Troj.Sub7
Troj_Sub7.22.d
TROJ_SUB7.MUIE
Troj_Sub7.v20
Trojan.PSW.Pet.e
Trojan.SubSeven.2.2
TSB Trojan
El primero de marzo de 2003 una nueva versión del troyano fue
lanzada por su autor. Llamada "Sub7 Legends 2.15", utiliza
las técnicas genéricas de las versiones anteriores.
Por defecto el troyano utiliza el puerto TCP/27374, pero es
configurable.
Normalmente se distribuye como un dropper en formato .EXE de
Win32 PE. Pero puede hacerse pasar por una imagen JPG o BMP.
Cuando el dropper se ejecuta, el mismo "gotea" en el sistema
uno o dos archivos dentro de la carpeta Windows (dependiendo
de la versión del troyano), Sus nombres pueden ser cambiados
por el atacante al editar el servidor, antes de enviarlo a su
víctima por medio de algún método de ingeniería social. El
servidor, sin comprimir, ocupa 372,131 bytes.
El "paquete" del Sub7 Legends 2.15 incluye otros archivos
(solo el servidor es necesario en la computadora de la
víctima):
ICQMAPI .dll 58,880 bytes
tutorial .txt 9,086 bytes
editserver .exe 314,368 bytes
SubSeven .exe 658,944 bytes
server .exe 372,131 bytes
- SubSeven.EXE es el archivo usado para controlar al
servidor (víctima).
- Server.EXE es el troyano que debe ejecutar la víctima en
su PC (mediante engaños), para ser infectada.
- EditServer.EXE es el editor para personalizar el servidor
- ICQMAPI.DLL es una librería necesaria si se requiere el
uso del ICQ para controlar al troyano.
Algunas de las acciones que el troyano puede realizar en un
sistema infectado son las siguientes:
Abrir o cerrar la bandeja del CD
Activar o desactivar Bloq. Despl. (Scroll lock on/off)
Activar y desactivar el teclado numérico (Nums lock on/off)
Actualizaciones a través de Internet del servidor
Buscar archivos en la computadora de la víctima
Búsqueda de archivos
Cambiar la carpeta local del troyano
Cambiar los valores del volumen de sonido
Cambio de la resolución de la pantalla
Cambio de los colores de Windows
Cambio de teclado mayúsculas/minúsculas (Caps Lock on/off)
Cambio de vista, fecha y hora
Captura continua con Webcam
Captura de la pantalla
Captura de todo lo tecleado
Captura y espionaje de comunicaciones ICQ, MSN, AIM y YAHOO
Cerrar sesión, apagar, reiniciar o salir de Windows
Chat
Control del ratón
Controlar el ICQ
Convertir la PC en servidor FTP
Convertir texto en voz (Text-2-speech)
Deshabilitar y habilitar cualquier tecla
Deshabilitar y habilitar las teclas ALT-CTRL-SUPR
Editar el registro del Windows de la víctima
Editar el servidor en forma remota
Ejecutar comandos DOS y ver el resultado en forma remota
Enviar a un URL
Enviar mensajes
Esconder o mostrar el botón de Inicio
Esconder o mostrar el cursor del ratón
Esconder o mostrar el escritorio
Esconder o mostrar el reloj
Esconder o mostrar la barra de tareas
Escribir en el teclado remoto
Espionaje de ICQ, AIM, MSN, YAHOO Instant Messenger
Grabaciones de video (AVI de WebCams y QuickCams)
Grabaciones del sonido emitido, a través del micrófono del PC
Intercambiar los botones del ratón
Manejador de archivos
Manejador de impresoras
Manejador de procesos
Manejador de Windows
Manejador del portapapeles (Clipboard manager)
Manejador del registro
Mover la pantalla
Obtener contraseñas
Obtener información del PC
Obtener información del usuario
Obtener la clave del AIM
Obtener la clave del ICQ
Obtener la clave del salvador de pantalla
Obtener las claves de acceso a Internet
Obtener todas las claves guardadas en el caché
Prender y apagar el monitor (ahorro de energía)
Redireccionado de aplicaciones
Redireccionar puertos
Servidor FTP
Sniffer de paquetes
Ver la imagen de la webcam
Visualizar toda la red (Network browser)
* Reparación manual
Para limpiar este troyano de un sistema infectado, deberá
ejecutar primero uno o más antivirus actualizados. Se sugiere
su limpieza bajo MS-DOS con F-Prot desde un disquete de
inicio, como se explica en nuestro sitio:
Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm
* Apuntes de desinstalación
Los archivos "SubSeven.EXE", "EditServer.EXE", "ICQMAPI.DLL",
pueden ser borrados directamente si aparecen en la
computadora infectada.
El troyano se engancha al sistema operativo, usando alguno de
estos métodos:
1. Agregando el nombre del servidor en el archivo WIN.INI
(el servidor o server, puede tener cualquier nombre para
engañar a su víctima).
2. Agregando el nombre del servidor en el archivo
SYSTEM.INI (el servidor o server, puede tener cualquier
nombre para engañar a su víctima).
3. Agregando el nombre del archivo servidor, al registro
bajo alguna de las siguientes claves:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Cambiando la asociación de archivos ejecutables, de modo
que se ejecute el servidor cada vez que se llama a cualquier
otro programa. Esto se hace desde la siguiente ramas del
registro:
HKEY_CLASSES_ROOT\exefile\shell\open\command\
El troyano también agrega a la lista de extensiones de
archivos ejecutables, la extensión ".DL", necesaria para
descargar y ejecutar archivos desde y hacia la computadora de
la víctima.
Algunos antivirus no revisan archivos .DL, por lo que se debe
actuar con cuidado si encuentra algún archivo con esa
extensión en su computadora.
Para remover el troyano de un sistema infectado, no solo
basta con borrar todos los archivos involucrados, sino que se
debe modificar el registro de la siguiente forma:
1. Primero debe renombrar el archivo REGEDIT.EXE como
REGEDIT.COM, ya que la extensión .EXE está asociada al
troyano, y éste se volvería a cargar si ejecutamos REGEDIT en
forma normal.
2. Ejecute un antivirus actualizado y anote los archivos del
troyano detectados
3. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar
cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta
referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
4. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
5. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
6. Pinche sobre la carpeta "command". En el panel de la
derecha debería ver algo como:
(Predeterminado) [nombre del servidor] "%1" %*
7. Pinche sobre "(Predeterminado)" y en Información del
valor, debe borrar el nombre del cargador (o sea el [nombre
del servidor], que puede variar) y dejar solo esto (comillas,
porcentaje, uno, comillas, espacio, porcentaje, asterisco):
"%1" %*
8. Si se aplica, borre las referencias al servidor del
troyano de las siguientes claves:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Active Setup\Installed Components\KeyName
9. Borre el siguiente registro de extensión su aparece:
HKEY_CLASSES_ROOT\.dl (borre la carpeta ".DL").
10. Si se aplica, edite el archivo WIN.INI y borre todas las
líneas que hagan referencias el ejecutable del troyano (la
línea RUN= bajo la etiqueta [windows]). Para editarlo, desde
Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
11. Si se aplica, edite el archivo SYSTEM.INI y borre todas
las líneas que hagan referencias el ejecutable del troyano
(la línea SHELL=EXPLORER.EXE [nombre del servidor] bajo la
etiqueta [boot]). Para editarlo, desde Inicio, Ejecutar,
teclee SYSTEM.INI y pulse Enter.
IMPORTANTE: La línea SHELL debe quedar así:
[boot]
shell=Explorer.exe
12. Reinicie su computadora.
13. Borre los archivos pertenecientes al troyano. Si se
produce un error, y un archivo no se puede eliminar por estar
activo, es probable el troyano siga en memoria, y se haya
cometido un error en los pasos anteriores. En ese caso
reitérelos actuando minuciosamente.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 968 - Año 7 - Domingo 2 de marzo de 2003
|
Responder a este mensaje
