Mostrando mensaje 19     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 970 - Año 7 - Martes 4 de marzo de 2003 Fecha: Martes, 4 de Marzo, 2003  10:24:10 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 970 - Año 7 - Martes 4 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Grave falla en Sendmail compromete la seguridad 2 - Madrid acoge el primer servidor raíz "espejo" de nombres 3 - W32/Yaha.P. Usa más de 30 mensajes diferentes 4 - Troj/Slacker.A (Slackor, Yabinder, SDBot, SDBot-S) _____________________________________________________________ 1 - Grave falla en Sendmail compromete la seguridad _____________________________________________________________ http://www.vsantivirus.com/vul-bufer-sendmail.htm Aviso de seguridad: Desbordamiento de búfer en Sendmail Nombre original: Sendmail Buffer Overflow Fecha original: 3/mar/03 Autor/descubridor: Mark Dowd de ISS X-Force Aplicación vulnerable: Todas las versiones de Sendmail anteriores a la 8.12.8 Severidad: Alta Riesgo: Se puede obtener acceso administrativo del servidor Fabricante: Sendmail Consortium Sendmail es el servidor de correo más empleado en Internet, con un porcentaje del casi 75% sobre otros programas similares. Esto convierte en muy grave esta falla, por la implicancia a gran escala de la misma. Mediante la manipulación de ciertos valores en las áreas de las cabeceras de los mensajes, se puede producir un desbordamiento de búfer en el programa, cuando éste realiza la lectura de las mismas para procesar el correo. Lo más básico de este proceso en circunstancias normales, es obtener de allí, por ejemplo, las direcciones de entrega de cada mensaje, etc. Algunos de los parámetros más conocidos son los campos como "De:", "Para:", "CC:", etc. Esta información es almacenada momentáneamente en una memoria intermedia para su proceso (esta memoria intermedia es el búfer). Cuando la información de la cabecera procesada, supera el espacio asignado como estándar, se produce un clásico desbordamiento de búfer. Los bytes extras pueden sobrescribir entonces partes críticas del propio programa en memoria, dando como resultado la ejecución arbitraria de un determinado software, previamente montado por un atacante en la cabecera "tocada". Si bien Sendmail realiza varias comprobaciones para detectar que la información no supere el espacio asignado al ser examinada, una de estas comprobaciones es incorrecta, dando lugar a la explotación. Según los expertos que dieron la voz de alerta, esta vulnerabilidad, es especialmente peligrosa debido a que el atacante no necesita ningún conocimiento específico sobre su objetivo y puede explotar este error a través de cualquier mensaje de correo electrónico. Esto también puede permitir al atacante, obtener el acceso al servidor con privilegios de administrador. Por otra parte un ataque que haya cumplido su objetivo, no deja constancia en los logs del servidor. Además, un cortafuegos no puede evitar el ataque, si el servidor de correo es accesible desde el exterior. Esta vulnerabilidad, también podría permitir la ejecución de un gusano del estilo del "Slammer", que se propagó en gran escala por la red a finales de enero de 2003. La solución, que deber ser realizada con la mayor prioridad, consiste en actualizarse a la versión actual del Sendmail, si es éste el programa que tiene instalado en su servidor de correo. Son vulnerables todas las versiones anteriores a la 8.12.8. También existe un parche para las versiones anteriores, sin embargo, se recomienda instalar la versión completa. Los administradores con versiones de sendmail distribuidas por el fabricante del sistema operativo (por ejemplo, Solaris), deben ponerse en contacto con el fabricante de forma urgente. Descargas: ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.8.tar.gz ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.8.tar.gz.sig ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.8.tar.Z ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.8.tar.Z.sig Más Información: Remote Sendmail Header Processing Vulnerability http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21950 Vulnerability Note VU#398025 Remote Buffer Overflow in Sendmail http://www.kb.cert.org/vuls/id/398025 Sendmail 8.12.8 http://www.sendmail.org/8.12.8.html Patching Sendmail http://www.sendmail.org/patchcr.html Sendmail Home Page http://www.sendmail.org/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Madrid acoge el primer servidor raíz "espejo" de nombres _____________________________________________________________ http://www.vsantivirus.com/mr-servidor-espejo.htm Madrid acoge el primer servidor raíz "espejo" de nombres de dominio Por Mercè Molist (*) colaboradores@videosoft.net.uy El ministro de Ciencia y Tecnología, Josep Piqué, ponía en marcha, la semana pasada en Madrid, el primer servidor raíz "espejo" de uno de los trece que controlan el Sistema de Nombres de Dominio (DNS). La acción era simbólica ya que la máquina, que se gestiona remotamente desde Estados Unidos, llevaba dos meses funcionando en pruebas. Paul Vixie, uno de los padres de Internet y presidente del Internet Software Consortium, estuvo allí, como principal artífice de esta estrategia, que consiste en crear "espejos" de los servidores DNS principales, para minimizar ataques y mejorar el servicio. El Sistema de Nombres de Dominio son máquinas y protocolos que convierten los dominios como elpais.es en direcciones numéricas, comprensibles para los ordenadores, y a la inversa. Su funcionamiento es jerárquico, empezando por el servidor DNS que tiene cualquier ISP, hasta los trece principales, llamados "servidores raíz" e identificados por letras. Hay nueve en Estados Unidos, uno en Japón y dos en Europa (Londres y Amsterdam). En Madrid, se ha instalado una réplica del servidor raíz F, casi al mismo tiempo que Japón pone en marcha otro "espejo". La asociación Espanix, que reúne a 31 operadores de telecomunicaciones y es responsable del principal "nodo neutro" de intercambio de tráfico Internet en España, ha hecho realidad el proyecto diseñado por Vixie. Según su gerente, Cristóbal López, "Espanix suministra y gestiona los equipos y el Internet Software Consortium se encarga de la operativa desde Palo Alto, en California. Lo que diferencia este servidor de los otros es que, en lugar de intercomunicarse con los trece, lo hace únicamente con el F". Espanix prevé que absorba el tráfico de España, Francia, Italia y Portugal, aunque en las pruebas se han detectado conexiones desde Moscú y se esperan atender también demandas de África. "El tráfico de Internet ha variado en los últimos años y ya no es tan lógico como antes que estén todos los servidores en Estados Unidos. El hecho de que el sur de Europa se configure como una de las áreas con más tráfico y que no hubiese ningún servidor raíz en ningún país de habla castellana nos ha ayudado bastante", explica López. Según el gerente de Espanix, los internautas españoles verán pronto las ventajas: "Se ganará tiempo en la resolución de los nombres de dominio, con lo que todos los servicios que prestan los operadores a sus usuarios finales tendrán una mejora de calidad, España no dependerá de servicios instalados en terceros países y aumentará su tráfico porque será el primer servidor de su tipo en el sur/centro de Europa. También atraerá tráfico de regiones con buena conectividad de África, Países Árabes y Latinoamérica". Espanix http://www.espanix.net Internet Software Consortium http://www.isc.org (*) Copyright (C) 2003 Mercè Molist. Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Yaha.P. Usa más de 30 mensajes diferentes _____________________________________________________________ http://www.vsantivirus.com/yaha-p.htm Nombre: W32/Yaha.P Tipo: Gusano de Internet Alias: WORM_YAHA.P, I-Worm.Lentin.m, W32/Yaha.p@MM Fecha: 6/ene/03 Plataforma: Windows 32-bits Tamaño: 45,568 bytes (UPX), 102,400 bytes Otra variante del W32/Yaha.A (Valentine.scr), un gusano de Internet programado en Visual C++ y comprimido con la utilidad UPX, que se propaga a través del correo electrónico a todos los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book), lista de contactos de MSN Messenger y Yahoo Pager, así como a direcciones extractadas de archivos temporales y del caché de Internet (archivos HTM, HTML y HTA). Utiliza su propio motor SMTP de modo que puede enviarse en mensajes infectados, sin necesidad de utilizar las facilidades de programas como Outlook, etc. Puede finalizar procesos específicos relacionados con conocidos antivirus y cortafuegos. También puede provocar ataques de denegación de servicio (D.o.S), a determinadas direcciones fijas, incluidas directamente en su código. Se propaga en mensajes creados de la siguiente manera: El campo "De:" puede ser falsificado por el gusano, de modo que rara vez indica la dirección verdadera del usuario infectado que lo envía. Incluye además, una lista de direcciones escritas directamente en su código: admin@clubjenna.com admin@codeproject2.com admin@hackers.com admin@hackers2.com admin@hackersclub.com admin@hackersclub2.com admin@kofonline2.com admin@viruswriters.com admin@zpornstars.com American Beauty av_patch@mcafee.com av_patch@norton.com av_patch@trendmicro.com Benting britneyspears.org btq@2632.com caijob@online.sh.cn Cathy Kindergarten cathy@21cn.com Clark Steel Club Jenna Codeproject Cupid cupid@freescreensavers.com Disney Int. DNA_seraph@163.com ericpan@online.com.pk Free Disney Screensavers free@hardcorescreensavers.com free@sexyscreensavers.com free@sql.library.com free@xxxscreensavers.com GC Chat Networks HACKTEQ.NET hamada@seikosangyo.com Hardcore Screensavers info@infotech.com Infocom Technologies Iori Yagami Jasmine Stevens Jaucques Antonio Barkinstein Jenna Jameson jenna@jennajameson.com Jericho John Vandervochich Jonathan Keanu Stevenson kkn@k2k.comscreensavers@nomadic.com kl@aminoprojects.com Klein Anderson KOF - The Game KOF Online Kyo Kusanagi Love Inc. love@lovescreensavers.com Lovers Inc Lovers Screensaver Lovers Screensavers loverscr@lovers.com loverscreensavers@love.com lubing@7135.com luoairong@21cn.com marketing@playstation.com marketing@sega.com marketing@suppersoccer.com marketing44@disney.biz Matrix - The Game McAfee Inc. me@me2K.com newsletters@britneyspears.org Nicolas Schwarzeneggar nics@noma.com Nomadic Screensavers Noopman Norton Antivirus OE 6 Patch Omega Rugal Paul Owen paul@kqscore2.com Playboy Inc. Playstation Plus 2 Plus 6 plus@real.com Ralph Jones Raveena Pusanova ravs@go2pussy.com Real Inc. Rocking Stone Romantic Screensavers romanticscreensavers@love.com Romeo & Juliet Ross Anderson sales@playboy.com sales@real.com sales@susoft.net samsun@online.sh.cn Screensavers of Love screensavers@lovers.com SEGA Corp. sells@haqteq.net services@tcsonline2.com Sexy Screensavers SQL Library St. Valentine stone@esterplaza.com Super Soccer super@21cn.com Susan SuSoft SCR Maker SuSoft Technologies Pvt. Ltd. Terry Bogard The Rock therock@wwe.com Trend Micro Ultimate Hackers tool unleashed.. Valentine Screensavers valentinescreensavers@t2k.com valscr@freescreensavers.com Veronica Anderson XXX Screensavers Yahoo Matchmakers yjworks@online.sh.cn Zdenka Podkapova zdenka@zpornstars.com zhouyuye@citiz.net zporNstarS Uno de los siguientes "Asuntos": 4 U only.. Alert Are you a Soccer Fan ? Are you beautiful Are you in Love Are you looking for Love Are you the BEST Check it out Check this shit check this.. Check ur friends Circle Demo KOF 2002 Feel the fragrance of Love Find a good friend Freak Out Free Demo Game Free Disney Screensavers Free rAVs Screensavers Free Screenavers of Love Free Screensavers Free Screensavers 4 U Free Win32 API source Free XXX GC Chat Networks Hardcore Screensavers 4 U Hello hey check it yaar How sweet this Screen saver I am in Love I am in Love.. I Love You I Love You.. Jenna 4 U KOF - The Game Learn How To Love Learn SQL 4 Free Let's Dance and forget pains Looking for Friendship love speaks from the heart Lovers Corner Lovers Screensaver make ur friend happy Matrix - The Game My Feelings 4 U Need a friend? Need money ?? OE 6 Patch One Hacker's Love One Virus Writer's Story Patch for Elkern.gen Patch for Klez.H Play KOF 2002 4 Free Private Documents.... Project Sample KOF 2002 Sample Playboy Sample Screensavers Say 'I Like You' To ur friend Screensavers from Club Jenna Sexy Screensavers 4 U Shake it baby SuSoft SCR Maker The Hotmail Hack The King of KOF The world of Friendship Things to note Things to note... to ur friends to ur lovers True Love U realy Want this Ultimate Hackers tool unleashed.. Visit us Wanna be a HE-MAN Wanna be friends ? Wanna be friends ?? Wanna be like a stone ? Wanna be my sweetheart ?? Wanna Brawl ?? wanna exchange.. Wanna Hack ?? Wanna Rumble ?? war Againest Loneliness We want peace Whats up Who is ur Best Friend Who is your Valentine why u send me this... World Tour Wowwwwwwwwwww check it WWE Screensavers XXX Screensavers 4 U Yahoo Matchmakers You are so sweet Como datos adjuntos, esta es una lista de posibles nombres de archivos que el gusano incluye en su código: Be_Happy.scr Beautifull.scr Best_Friend.scr Body_Building.scr Britney_Sample.scr Codeproject.scr colour_of_life.scr Cupid.scr dance.scr Demo.exe Demo.zip disney.zip FixElkern.com FixKlez.com FreakOut.exe Free_Love_Screensavers.scr Friend_Finder.exe Friend_Happy.scr friendship.scr friendship_funny.scr funny.scr GC_Messenger.exe GC_msgr.zip Hacker.scr Hacker_The_LoveStory.scr HackerTool.zip Hardcore4Free.scr hotmail_hack.exe I_Like_You.scr I_Love_You.scr Jenna_Jemson.scr King_of_Figthers.exe KOF.exe KOF_Demo.exe KOF_Fighting.exe KOF_Sample.exe KOF_The_Game.exe KOF2002.exe life.scr love.scr Love.scr LoveScr.scr LoveScr.zip make_scr.zip My_Sexy_Pic.scr MyPic.scr MyProfile.scr Notes.exe OE6.zip oe6patch.exe Peace.scr Playboy.scr Plus2.scr Plus6.scr Project.exe Ravs.scr Real.scr Romantic.scr Romeo_Juliet.scr Screensavers.scr Services.scr Setup.exe Setup.zip Sex.scrSoccer.scr Sexy_Jenna.scr shake.scr SQL_4_Free.scr Stone.scr Sweet.scr Sweetheart.scr The_Best.scr THEROCK.scr True_Love.scr up_life.scr Valentine.scr Valentines_Day.scr ValentineScr.zip VXer_The_LoveStory.scr Ways_To_Earn_Money.exe world_of_friendship.scr World_Tour.scr xxx4Free.scr zDenka.scr zXXX_BROWSER.exe Como texto del mensaje, alguno de los siguientes: ----------------------------------------------------------- Variante 1: hey, did u always dreamnt of hacking ur friends hotmail account.. finally i got a hotmail hack from the internet that really works.. ur my best friend thats why sending to u.. check it..just run it..enter victim's address and u will get the pass. ----------------------------------------------------------- Variante 2: hi, check the attached love screensaver and feel the fragrance of true love.. ----------------------------------------------------------- Variante 3: Hi, check the attached screensaver.. its really wonderfool.. i got it from freescreensavers.com ----------------------------------------------------------- Variante 4: Hi, check ur friends circle using the attached friendship screensaver.. check the attached screensaver and if u like it send it to all those you consider to be true friends... if it comes back to you then you will know that you have a circle of friends.. ----------------------------------------------------------- Variante 5: Hi, check the attached screensaver and enjoy the world of friendship.. ----------------------------------------------------------- Variante 6: Hi, are u in a rocking mood... check the attached scrennsaver and start shaking.. ----------------------------------------------------------- Variante 7 Hi, Check the attached screensaver.. ----------------------------------------------------------- Variante 8: Hi, Are you lonely ??.. check the attached screensaver and forget the pain of loneliness ----------------------------------------------------------- Variante 9: Hi, Looking for online pals.. check the attached friend finder software.. ----------------------------------------------------------- Variante 10: Hi, sending you a screensaver.. check it and let me know how it is... ----------------------------------------------------------- Variante 11: Hi, Check the attached screensaver and feel the fragrance of true love... ----------------------------------------------------------- Variante 12: Hey, I just got this wonderfull screensaver from freescreensaver.com.. Just check it out and let me know how it is.. ----------------------------------------------------------- Variante 13: Hi, I just came across it.. check out.. =========================================================== Are you one of those unfortunate human beings who are desperately looking for friends.. but still not getting true friends with whom you can share your everything.. anyway you wont feel down any more cause GC Chat Network has brought up a global chat and online match making system using its own GC Messenger. Attached is the fully functional free version of GC Instant Messenger and Match Making client.. Just install, register an account with us and find thousands of online pals all over the world.. You can also search for friends by specific country,city,region etc. Regards Admin, GC Global Chat Network System.. ----------------------------------------------------------- Variante 14: Hi, So you think you are in love.. is it true love ? you may think right now that you are in true love but it is certainly possible that it is nothing but a mere infatuation to you.. anyway to know yourself better than you have ever known check the attached screensaver and feel the fragrance of true love.. ----------------------------------------------------------- Variante 15: Hey pal, you know friendship is like a business... to get something you need to give something.. though its not that harsh as business but to get love and care from your friends you need to give love,care and respect to your friends.. right? check the attached screensaver and you will learn how to make your friends happy.. ----------------------------------------------------------- Variante 16: Hi, Its quite obvious that in our life we have numerous friends but.. BUT Best Friend can only be ONE.. right ?? so can you decide who is your best friend ?? i guess not.. cause mostly you will find that your best friend wont care about u like somebody else.. anyway i found one way to find who is my best friend.. check it.. just check the attached screensaver.. answer some questions in it and also ask your best friend to answer the questions.. ..then you will know more about him.. ----------------------------------------------------------- Variante 17: Hey pal, wanna have some fun in life... feel like life is too boring and monotonous.. check the attached screensaver and bring colours to your black & white life.. :) ----------------------------------------------------------- Variante 18: Hi, I just came across this funny screensaver.. sending it to u.. hope u like it.. check out and die laughing.. :) ----------------------------------------------------------- Variante 19: <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> This E-Mail is never sent unsolicited. If you receive this E- Mail then it is because you have subscribed to the official newsletter at the KOF ONLINE website. King Of Fighters is one of the greatest action game ever made. Now after the mind boggling sucess of KOF 2001 SNK proudly presents to you KOF 2002 with 4 new charecters. Even though we need no publicity for our product but this time we have decided to give away a fully functional trial version of KOF 2002. So check out the attached trial version of KOF 2002 and register at our official website to get a free copy of KOF2002 original version Best Regards, Admin,KOF ONLINE.. <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> ----------------------------------------------------------- Variante 20: Hello, I just came across your email ID while searching in the Yahoo profiles. Actually I want a true friend 4 life with whom I can share my everything. So if you are interested in being my friend 4 life then mail me. If you wanna know about me, attached is my profile along with some of my pics. You can check and if you like it then do mail me. I will be waiting for your mail. Best Wishes, Your Friend.. ----------------------------------------------------------- Variante 21: Hello, Looking for some Hardcore mind boggling action ? Install the attached browser software and browse across millions of paid hardcore sex sites for free. Using the software you can safely and easily browse across most of the hardcore XXX paid sites across the internet for free. Using it you can also clean all traces of your web browsing from your computer. Note:The attached browser software is made exclusivley for demo only. You can use the software for a limited time of 35 days after which you have to register it at our official website for its furthur use. Regards, Admin. ----------------------------------------------------------- Variante 22: Klez.H is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC ----------------------------------------------------------- Variante 23: Hello, The attached product is send as a part of our official campaign for the popularity of our product. You have been chosen to try a free fully functional sample of our product.If you are satified then you can send it to your friends. All you have to do is to install the software and register an account with us using the links provided in the software. Then send this software to your friends using your account ID and for each person who registers with us through your account, we will pay you $1.5.Once your account reaches the limit of $50, your payment will be send to your registration address by check or draft. Please note that the registration process is completely free which means by participating in this program you will only gain without loosing anything. Best Regards, Admin, ----------------------------------------------------------- Variante 24: Hey listen pal, I am in big trouble.. Plz help me.. Check attached document.. ----------------------------------------------------------- Variante 25: hi plz check the attached document.. and contact me as soon as possible.. ----------------------------------------------------------- Variante 26: hi check this.. ----------------------------------------------------------- Variante 27: wanna exchange.. I really like ur gift check the attached document.. ----------------------------------------------------------- Variante 28: u shit... why the hell u send this to me.. i am returning ur document.. ----------------------------------------------------------- Variante 29: I think u are in love... check the attached file.. Play the game of love.. ----------------------------------------------------------- Variante 30: Plz check the attachment and plz dont be angry one me.. ----------------------------------------------------------- Variante 31: ur system is infected with W32/Yaha.K use the attached patch to disinfect... ----------------------------------------------------------- Variante 32: hey pal I want to share a secret with u.. Check the attached document.. ----------------------------------------------------------- Variante 33: Hi dear... checked the attached document.. ----------------------------------------------------------- Variante 34: Attached is the Patch for OE 6 invalid MIME content vulnerability. This vulnerability may allow an attacker to execute any file without being opened.. Please use the attached program to patch up your system... ----------------------------------------------------------- Variante 35: Hello, Attached is a set of hacking utilities developed by our programmers. We are distributing it freely for evolution purpose... ----------------------------------------------------------- Variante 36: Hi Check the attached Valentine Screensaver... ----------------------------------------------------------- Variante 37: Hi Check the attached Lovers Screensaver... ----------------------------------------------------------- Variante 38: =========================================================== Are you one of those unfortunate human beings who are desperately looking for friends.. but still not getting true friends with whom you can share your everything.. anyway you wont feel down any more cause GC Chat Network has brought up a global chat and online match making system using its own GC Messenger. Attached is the fully functional free version of GC Instant Messenger and Match Making client.. Just install, register an account with us and find thousands of online pals all over the world.. You can also search for friends by specific country,city,region etc. Regards Admin, GC Global Chat Network System.. ----------------------------------------------------------- Variante 39: <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> This E-Mail is never sent unsolicited. If you receive this E- Mail then it is because you have subscribed to the official newsletter at our offical website. King Of Fighters is one of the greatest action game ever made. Now after the mind boggling sucess of KOF 2001 SNK proudly presents to you KOF 2002 with 4 new charecters. Even though we need no publicity for our product but this time we have decided to give away a fully functional trial version of KOF 2002. So check out the attached trial version of KOF 2002 and register at our official website to get a free copy of KOF2002 original version Best Regards, Admin,KOF ONLINE.. <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> ----------------------------------------------------------- El gusano obtiene las direcciones a las que se envía de la libreta de Windows (WAB), todos los contactos, caché de Messenger, Yahoo Pager, páginas Web, etc. Cuando se ejecuta el adjunto, el gusano se copia en la carpeta System de Windows, varias veces, con los siguientes nombres: c:\windows\system\mstask32.exe c:\windows\system\exeLoader.exe En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Se modifica el registro, para hacer que el gusano se autoejecute en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run MicrosoftServiceManager = [archivo del gusano] HKLM\Software\Microsoft\WindowsCurrentVersion\RunServices MicrosoftServiceManager = [archivo del gusano] También modifica las siguientes claves: HKEY_CLASSES_ROOT\exefile\shell\open\command (Predeterminado) = "C:\Windows\System\exeLoader.exe "%1" %*" Esto hace que se ejecute el virus cada vez que una aplicación ejecutable es llamada por el sistema. Esto dificulta la limpieza del virus, ya que cualquier programa que se ejecute, incluido el antivirus, lanza al gusano en memoria. "C:\Windows\System\exeLoader.exe" representa el nombre y ubicación del ejecutable del gusano una vez que se instaló en nuestro PC. En principio suele ser el que se indica, pero podría ser alguno de las otras copias del gusano. El gusano libera también el archivo TASKMGR32.DLL: c:\windows\system\taskmgr32.dll También agrega las siguientes claves en el registro: HKEY_LOCAL_MACHINE\Software\Microsoft WinVer Snakes Para chequear su propia presencia en memoria y evitar volver a ejecutarse si ya está activo, el gusano crea el MUTEX llamado "SPAWNER". El gusano intenta acabar con la ejecución de una larga lista de programas de seguridad, como antivirus, cortafuegos, etc., matando en memoria los procesos que contengan cualquiera de las siguientes cadenas: _AVP32 _AVPCC _AVPM ACKWIN32 ALERTSVC AMON.EXE ANTI-TROJAN ANTIVIR APVXDWIN ATRACK AUTODOWN AVCONSOL AVGCTRL AVKSERV AVP.EXE AVP32 AVPCC.EXE AVPM.EXE AVSCHED32 AVSYNMGR AVWUPD32 BLACKD BLACKICE CFIADMIN CFIAUDIT CFINET CFINET32 CLEANER ECENGINE ESAFE.EXE ESPWATCH F-AGNT95 FINDVIRU F-PROT95 FP-WIN FRW.EXE F-STOPW IAMAPP IAMSERV.EXE IBMASN IBMAVSP ICMON IOMON98 LOCKDOWN2000 LOCKDOWNADVANCED LUALL LUCOMSERVER MCAFEE MOOLIVE MPFTRAY MSNMSG32REGEDIT N32SCANW NAV32_LOADER NAVAPSVC NAVAPW32 NAVLU32 NAVNT NAVRUNR NAVW32 NAVWNT NISSERV NISUM NMAIN NOD32 NORTON NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NUPGRADE NVC95 PADMIN PAVSCHED PCCIOMON PCCMAIN PCCWIN98 PCFWALLICON PERSFW POP3TRAP PVIEW PVIEW95 REGEDIT RESCUE32 RMVTRJANSAFEWEB SCAM32 SCAN32 SIRC32 SPHINX SWEEP95 SYMPROXYSVC SYSHELP.EXE TBSCAN TCPSVS32 TDS2- TDS2-98 TDS2-NT VET95 VETTRAY VSECOMR VSHWIN32 VSSTAT WEBSCANX WEBTRAP WFINDV32 WINGATE.EXE WINMGM32.EXE WINSERVICES ZONEALARM También intenta cerrar cualquier ventana con alguno de los siguientes títulos: Network Propagation Process Viewer Registry Editor System Configuration Utility Windows Task Manager El gusano busca en las siguientes carpetas de las unidades compartidas en red, el archivo WIN.INI: WIN WIN95 WIN98 WINDOWS WINME WINNT WINXP Si lo encuentra, modifica su contenido agregando las siguientes líneas bajo la etiqueta [windows]: [windows] run=REG32.EXE Luego, el gusano se copia a si mismo como REG32.EXE en el mismo directorio donde se encuentre WIN.INI. Busca en las unidades de red por la siguiente carpeta, y se copia en ella con el nombre de "MSRegScanner.exe": Documents and Settings\All Users\Start Menu\Programs\Startup Finalmente, agrega la siguiente clave en el registro: HKLM\Software\Microsoft\Windows\CurrentVersion ZoneCheck = [aquí uno de los siguientes sitios:] pakistan.gov.pk paki.com pcb.gov.pk comsats.com kse.com.pk Luego, cada pocos segundos, envía peticiones HTTP al sitio seleccionado, intentando un ataque de denegación de servicio (D.o.S) contra dicho Web. El gusano libera también un archivo de texto con nombre al azar, de cinco variantes posibles, todas diferentes, en el directorio de Windows. Estos textos contienen diferentes dedicatorias (incluso a compañías antivirus), y comienzan casi todos con las siguientes líneas: iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00 wE aRe tHe gREaT inDIaNs * Para eliminar el virus de un sistema infectado 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Modificación del registro Es necesario renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com Si Windows no está instalado en "C:\Windows", debe cambiar esta referencia (Ej.: "C:\Nombre\Regedit.exe", etc.). 2. Desde Inicio, Ejecutar, teclee "Regedit.com" y pulse Enter 3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \exefile \shell \open \command 4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como: (Predeterminado) = "C:\Windows\System\exeLoader.exe "%1" %*" 5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el cargador: (C:\Windows\System\exeLoader.exe) y dejar solo esto (comillas, porcentaje, número uno, comillas, espacio, porcentaje, asterisco): (Predeterminado) = "%1" %* 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). 8. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.com Regedit.exe Si windows no está instalado en "C:\Windows", debe cambiar esta referencia (ej.: "C:\Nombre\Regedit.com", etc.). 9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 10. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: MicrosoftServiceManager 11. Repita los pasos 9 y 10 (pinchando en "RunServices") con la siguiente rama del registro: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft 13. Pinche en la carpeta "Microsoft" y busque y borre las siguientes entradas: WinVer Snakes 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion 15. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha busque y borre las siguientes entradas: ZoneCheck 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Con el explorador de Windows, busque y borre el archivo "MSRegScanner.exe" de la siguiente carpeta (solo Windows 2000 y XP): Documents and Settings\All Users\Start Menu\Programs\Startup\ 18. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 19. Busque lo siguiente: [windows] run=REG32.EXE Debe quedar como: [windows] run= 20. Grabe los cambios y salga del bloc de notas. 21. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). 22. Ejecute uno o más antivirus actualizados. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Slacker.A (Slackor, Yabinder, SDBot, SDBot-S) _____________________________________________________________ http://www.vsantivirus.com/slacker-a.htm Nombre: Troj/Slacker.A Tipo: Gusano de Internet y caballo de Troya Alias: Worm.Win32.Slackor, Troj/Slacker-A, VirTool Win32.Slackworm, Win32/Slacke.worm Tamaños: varios Relacionados: Troj/Yabinder, Troj/SdBot, Backdoor.SdBot, Troj/SDBot-S Se trata de un gusano de redes multi-componentes. El gusano se propaga a través de recursos compartidos, y posee algunos errores en su código. Los componentes son: - cnn3.exe (es el archivo principal, de 350 Kb) - abc.bat (1,344 bytes) - main.exe (el caballo de Troya, 53,280 bytes) - psexec.exe (es una utilidad, no un virus 122,880 bytes) - slacke-worm.exe (buscador de direcciones de red 25K/28K) El componente principal (cnn3.exe) es un "dropper" que libera al gusano, y es detectado por la mayoría de los antivirus como "Troj/Yabinder" (TrojanDropper.Win32.Yabinder, etc.). Cuando se ejecuta, crea el directorio "C:\sp", y libera y ejecuta los siguientes archivos: C:\sp\abc.bat C:\sp\main.exe C:\sp\psexec.exe C:\sp\slacke-worm.exe "Main.exe" es el troyano propiamente dicho, y posee características de backdoor (acceso por una "puerta trasera"). Es detectado por los antivirus como "Troj/SdBot" (Backdoor.SdBot, etc.). "Slacke-worm.exe" contiene la leyenda "netbios auto-router by eRiC", y es una aplicación de Visual Basic que busca direcciones IP, e intenta conectarse a las computadoras encontradas, que no tengan contraseñas, o usen una contraseña débil (puerto 445). Utiliza para ello otros dos componentes: "Abc.bat", archivo al que "Slacke-worm.exe" llama pasándole como parámetro el nombre de la computadora encontrada, y que intenta conectarse a dicho recurso probando una serie de logines y passwords para cuentas administrativas contenidos en su código. "Psexec.exe" es usado para ejecutar la copia del gusano "main.exe" en forma remota en las computadoras infectadas. Es una aplicación legítima (Sysinternals PsExec), no es ni gusano ni troyano ni nada similar, y lo utiliza el gusano para sus acciones clandestinas. "Main.exe" es detectado como "Troj/SDBot-S". * Limpieza manual Para limpiar manualmente un sistema infectado, borre la carpeta "c:\sp" y todo su contenido. Busque también los siguientes archivos y bórrelos: \cnn3.exe \abc.bat \main.exe \psexec.exe \slacke-worm.exe Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 970 - Año 7 - Martes 4 de marzo de 2003