| Asunto: | VSantivirus No. 975 - Año 7 - Domingo 9 de marzo de 2003 | | Fecha: | Domingo, 9 de Marzo, 2003 10:35:22 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 975 - Año 7 - Domingo 9 de marzo de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - La Criptografía (Por Fernando de la Cuadra)
2 - Alerta: Inyección de código SQL en PHP-Nuke 6.x
3 - W32/Deloder. Se propaga por el puerto 445 como INST.EXE
4 - VBS/Cocau. Infecta y borra archivos. Borra antivirus
5 - W32/BiBrog.B. Asunto: "Fwd:La Academia Azteca"
_____________________________________________________________
1 - La Criptografía (Por Fernando de la Cuadra)
_____________________________________________________________
http://www.vsantivirus.com/fdc-criptografia.htm
La Criptografía
Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com
La palabra "Criptografía" viene del griego "Kryptos",
escondido, y "Graphos", escritura. Es decir, cuando hablamos
de Criptografía estamos hablando de "Escritura escondida". Se
trata de escribir algo de manera que otra persona que quiera
leer lo que hemos escrito no pueda entenderlo a no ser que
conozca cómo se ha escondido.
Los sistemas criptográficos están teniendo un gran auge
últimamente ante el miedo de que una transmisión en Internet
pueda ser interceptada y algún desaprensivo pueda enterarse
de alguna información que no debería. Y no estamos hablando
de un correo electrónico en el que organizamos las vacaciones
con los amigos, nos referimos a, por ejemplo, una transacción
comercial de cientos de miles de euros o una información
sobre determinados temas empresariales que podría hacer las
delicias de un competidor.
Desde la Antigüedad todas las civilizaciones han desarrollado
sistemas de criptografía para que las comunicaciones no
fueran públicas. Incluso hoy en día muchas personas utilizan
lenguajes específicos para que solamente los iniciados en
ellos puedan comprender la conversación como, por ejemplo,
las jergas utilizadas en ambientes carcelarios. A veces los
informáticos también parece que hablemos en clave...
Hay muchos sistemas para "camuflar" lo que escribimos. Quizá
el más fácil sea la "transposición" del texto. Consiste en
cambiar cada letra del texto por otra distinta. Por ejemplo,
si escribo "boujwjsvt", solamente las personas que supieran
que he puesto la letra siguiente del alfabeto para escribir
la palabra "antivirus" podrían entender la palabra.
Evidentemente los sistemas criptográficos actuales van mucho
más allá de un sistema como el de transposición, fácil de
descubrir en unos cuantos intentos. Incluso si en lugar de
trasponer un determinado número de espacios elegimos
aleatoriamente las letras a sustituir, también bastaría con
un ordenador que tuviera un simple corrector ortográfico
para, en unos cuantos intentos, descubrir el significado de
un mensaje.
* La importancia de los números primos
Una de las tareas que más tiempo ocupa a los grandes sistemas
de ordenadores es el cálculo de números primos cada vez
mayores. Su objetivo es poder obtener un número que sirva
para cifrar mensajes y que luego sea muy complicado
descifrarlos.
Vamos a ver cómo se podría cifrar un mensaje en función de un
número primo. Cada letra en un mensaje tiene un número
asociado que nunca varía. El número está establecido por el
código denominado "American Standard Code for Information
Interchange" (ASCII). El conjunto de caracteres ASCII define
cada carácter con un número que va desde el 0 al 255. Por
ejemplo, la letra "A" mayúscula tiene el código 65, la "z"
minúscula tiene el código 122, etc. Cualquier texto escrito
en un ordenador se puede trasladar a notación ASCII. Por
ejemplo, en código ASCII la palabra "antivirus" es:
97 110 116 105 118 105 114 117 115
Así tenemos una cadena de números (que es como realmente se
transmite la información digitalmente) que podríamos
multiplicar por un número que sea la multiplicación de dos
números primos. Si elegimos, por ejemplo, 14 (multiplicando 2
y 7), la cadena de números nos quedaría así:
1358 1540 1624 1470 1652 1470 1596 1638 1610
La persona que quiera leer lo que pone primero deberá
averiguar cuál es el número que hemos utilizado para cifrar
la información. Y para ello deberá adivinar cuáles son los
dos factores que hemos utilizado para cifrar la información.
Evidentemente, en este ejemplo es muy fácil, 14 es 7 por 2,
no hace falta ninguna titulación en Matemáticas más allá de
la obtenida cuando estábamos en primaria.
Sin embargo, si utilizamos números muy grandes, el problema
se complica. Por ejemplo, si utilizamos el número
2.591.372.723, su descomposición en dos factores primos ya no
es tan inmediata. A pesar de eso, en muy poco tiempo veríamos
que es el producto de 97.453 y 26.591.
La longitud de estos números (lo que se llama el "tamaño de
la clave") es primordial para que un cifrado sea más o menos
efectivo. En el primer ejemplo, si pasamos a notación binaria
el número 14 veríamos que se escribe 1110, un número de 4
bits. El segundo ejemplo, 2.591.372.723, se escribe en
binario como 10011010011101010011010110110011, 32 bits. Y en
los sistemas de cifrado actuales una clave de menos de 400 ó
500 bits se considera ridícula. Lo más normal es utilizar,
como poco, ¡¡¡1.024 bits de longitud de clave!!!
* Ventajas y problemas del cifrado
Mandar un correo electrónico cifrado aporta indudables
ventajas tanto al emisor como al receptor del mensaje. La
confidencialidad está prácticamente asegurada, nadie que no
conozca las claves con las que se ha enviado el correo
electrónico podrá enterarse de qué es lo que hay en el
correo. Así podremos mandar todo tipo de información con la
tranquilidad de que estará a salvo de teóricas intercepciones
de la comunicación.
Pero... ¿qué es una intercepción de la comunicación? En
principio todos pensamos que es un hacker, o un espía de la
competencia, o cualquier otro elemento de esa calaña que
quiere inmiscuirse en las conversaciones ajenas. Entre todos
los que quieren echar un vistazo hay uno que lo hace con muy
buena fe y grandes dosis de ganas de defendernos... ¡el
antivirus!
Un antivirus siempre va a intentar inmiscuirse en la
comunicación por correo electrónico. Tiene que abrir el
mensaje y mirar qué es lo que hay dentro, no con afán de
espionaje sobre el contenido del mensaje, sino en busca de un
virus. Si el mensaje lo hemos cifrado, la misión del
antivirus puede fracasar.
En la estructura empresarial actual se tiende a instalar
antivirus en los puntos de conexión de las redes a Internet:
firewalls, proxys, etc. Es el sitio más lógico, ya que por
allí van a entrar casi el 90% de los virus. Pero si el virus
viene en un mensaje de correo electrónico cifrado, ese
maravilloso antivirus que está en el firewall va a fracasar
en su misión: al estar el contenido del mensaje cifrado, no
va a poder detectar el virus que pueda contener el mensaje.
De otra manera, los usuarios que recibieran correos cifrados
podrían verse envueltos, inconscientemente en una infección.
Si el emisor ha cifrado el mensaje, también ha cifrado el
virus. Nadie, ni siquiera el antivirus más potente podría
descifrar el mensaje para su análisis. Simplemente buscaría
un virus en un montón de caracteres y símbolos que al ser
incomprensibles ocultarían al virus de una manera tan eficaz
como ocultan el texto. Por ello, la protección en las
estaciones de trabajo debe ser tan fuerte como la perimetral,
ya que es en la estación de trabajo donde el mensaje se
descifrará y aparecerá el virus.
En definitiva, nadie duda de que los sistemas de cifrado son
una herramienta que aumenta la seguridad de las
comunicaciones, pero tienen su reverso tenebroso: ocultan
virus a los antivirus perimetrales que no estén preparados.
La única solución para evitar que los virus cifrados entren
en la empresa, debe ser una protección perimétrica efectiva
que bloquee los elementos cifrados no autorizados antes de
que puedan alcanzar los servidores y las estaciones de
trabajo de la empresa.
(*) Fernando de la Cuadra es Editor Técnico Internacional de
Panda Software (http://www.pandasoftware.com)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Alerta: Inyección de código SQL en PHP-Nuke 6.x
_____________________________________________________________
http://www.vsantivirus.com/vul-php-injection.htm
Aviso de seguridad: Inyección de código SQL en PHP-Nuke 6.x
Nombre original: Injection SQL dans Members_List et
Your_Account
Fecha original: 6/mar/03
Más información: http://www.phpsecure.info
Aplicación vulnerable: PHP-Nuke 6.x
Severidad: Alta
Riesgo: Obtención de contraseñas, elevación de privilegios,
etc.
Fabricante: http://www.phpnuke.org/
PHP-Nuke es la utilidad que permite la creación y gestión de
numerosos portales en Internet. Utiliza su propio lenguaje
(PHP), para brindar una serie de facilidades a quienes
administran sitios que se actualizan diariamente.
Para su implementación, se requiere que en el host del
servidor, se halle instalado este software.
La versión 6 de PHP-Nuke y posiblemente 6.5 y anteriores, son
vulnerables a varios tipos de ataques de la clase inyección
de código, que permitirían el acceso a datos sensibles en el
servidor, con la posibilidad incluso de manipular la base de
datos.
La vulnerabilidad, se produce por un error en la validación
de las entradas en los módulos denominados "Members_List" y
"Your_Account". Sin embargo, esta falla solo podrá ser
explotada con éxito si en el archivo de configuración del
programa (normalmente PHP.INI), se encuentra esta opción
configurada como se muestra aquí:
magic_quotes_gpc=OFF
Por medio de la falla, un atacante puede obtener el listado
de moderadores, administradores, etc. Crear y descargar una
lista de contraseñas, además de implementar la elevación de
privilegios, o hasta permitir examinar el directorio local
con los riesgos que ello significa a la hora de intentar
acceder a archivos críticos en forma clandestina.
Para solucionar la falla, se deben descargar e instalar los
parches correspondientes de la Web oficial:
Download Profile: Security Fixes for PHP-Nuke 6.0
[esta dirección debe ser escrita en un solo renglón]
http://www.phpnuke.org/modules.php?name=Downloads&d_op=viewdo
wnloaddetails&lid=342&ttitle=Security_Fixes_for_PHP-Nuke_6.0
Cómo solución momentánea se sugiere cambiar la configuración
en PHP.INI en la mencionada línea por el siguiente valor:
magic_quotes_gpc=ON
* Más Información:
PHP-Nuke:
http://www.phpnuke.org
Vulnerabilidades en PHP-Nuke (en francés):
http://www.phpsecure.info/v2/.php?zone=pDl&id=110
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Deloder. Se propaga por el puerto 445 como INST.EXE
_____________________________________________________________
http://www.vsantivirus.com/deloder.htm
Nombre: W32/Deloder
Tipo: Gusano de Internet
Alias: W32.HLLW.Deloder
Fecha: 8/mar/03
Plataforma: Windows 32-bit
Alerta previa: La descripción de este virus será actualizada
a la brevedad.
Symantec ha anunciado la presencia de un nuevo gusano que se
vale del puerto TCP/445 para propagarse.
Aunque la mayoría de los usuarios conoce los riesgos del
puerto 139, usado por Windows para compartir archivos y
carpetas, muchos ignoran que el puerto 445 en W2K y XP,
permite prácticamente lo mismo que el anterior.
Si la conexión es exitosa, el gusano copia en la computadora
accedida un componente troyano con capacidad de acceso vía
puerta trasera (backdoor). El nombre del archivo copiado es
INST.EXE.
Este archivo posee en su código definidos los caminos de
ejecución (path), de modo de activarse en el reinicio de cada
computadora infectada.
Luego, el gusano intenta ejecutar un servicio remoto para
realizar acciones como copiar y ejecutar el caballo de Troya,
copiar y ejecutar el gusano, borrar recursos compartidos y
cambiar los atributos de ambos archivos (gusano y troyano),
como de solo lectura (+R).
El archivo del gusano en los primeros reportes es
DVLDR32.EXE, un ejecutable comprimido con la herramienta
ASPack.
Los siguientes archivos pueden ser borrados:
DVLDR32.EXE
INST.EXE
Información adicional será colocada en breve en nuestro
sitio.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
DVLDR32.EXE; INST.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione Todos los archivos y carpetas
3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo
siguiente:
DVLDR32.EXE; INST.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Relacionados:
Win 2000 y el puerto 445, una invitación a los intrusos
http://www.vsantivirus.com/w2k-puerto445.htm
W32/Randon. Se aprovecha del puerto 445 para propagarse
http://www.vsantivirus.com/randon.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - VBS/Cocau. Infecta y borra archivos. Borra antivirus
_____________________________________________________________
http://www.vsantivirus.com/cocau.htm
Nombre: VBS/Cocau
Tipo: Gusano de Visual Basic Script
Alias: Cocau
Fecha: 24/jun/02, 7/mar/03
Tamaño: 6938 bytes
Plataforma: Windows 32-bit
Este gusano, aunque creado en junio de 2002, no había
reportado ninguna incidencia hasta marzo 2003.
Se trata de un virus y gusano. Como virus se agrega al final
de los archivos infectados.
Al ejecutarse en una computadora por primera vez, el gusano
agrega la siguiente clave al registro:
HKEY_CURRENT_USER\Software\MA
mensaje2 = "1"
Luego muestra una ventana de diálogo con el siguiente texto:
Windows Scripting Host
Cancion de Hey babe!!!
[ Aceptar ]
El virus realiza copias de si mismo en los siguientes
archivos:
C:\Windows\Shakira.Mp3.vbs
C:\Windows\Outlook.vbs
C:\Windows\TEMP\teclas.vbs
C:\Windows\Windows.vbs
C:\Recycled\ma.vbs
Agrega la siguiente entrada al registro (en la misma clave
anterior):
mensaje3 = "1"
Esto deja al registro de la siguiente forma:
HKEY_CURRENT_USER\Software\MA
mensaje2 = "1"
mensaje3 = "1"
Luego muestra este otro mensaje:
Windows Scripting Host
Muy pronto escucharas las canciones....
[ Aceptar ]
El virus puede borrar los siguientes archivos (no funciona si
la carpeta por defecto de Windows no es C:\Windows, etc.):
C:\Windows\System\*.*
C:\Windows\Command\*.*
C:\Windows\*.*
C:\misdoc~1\*.*
C:\*.*
Y luego agrega al registro la siguiente entrada (a la misma
clave):
mensaje1 = "1"
Quedando la clave como sigue:
HKEY_CURRENT_USER\Software\MA
mensaje1 = "1"
mensaje2 = "1"
mensaje3 = "1"
Los siguientes mensajes son mostrados, en dos ventanas
diferentes:
VBScript: Error
Error al descompactar los archivos
reemplacelo por uno nuevo
[ Aceptar ]
VBScript: Información
No open files stranges :P...
[ Aceptar ]
Los siguientes archivos pertenecientes a conocido antivirus
son borrados:
C:\Archivos de Programa\AVPersonal\*.*
C:\Archivos de Programa\Antiviral Toolkit Pro\*.*
C:\Archivos de Programa\Kaspersky Lab\Kaspersky Anti–Virus Personal\*.*
C:\Archivos de Programa\Kaspersky Lab\Kaspersky Anti–Virus Personal pro\*.*
Y se agrega la siguiente clave al registro:
HKEY_CURRENT_USER\Software\MA\Shakira
DeleteAntiv = "1"
El virus infecta luego todos los archivos encontrados en el
disco duro principal, con las siguientes extensiones:
.asp
.hta
.htm
.html
.htt
.js
.php
.shtm
.shtml
.WSH
El código es agregado al final de los archivos infectados.
Cuando los archivos infectados son ejecutados, el virus
muestra una ventana con el siguiente mensaje:
Internet Explorer
Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?
[ Si ] [ No ]
Si el usuario contesta [ No ], entonces se despliega el
siguiente mensaje:
Internet Explorer
Error.
Esta pagina requiere ActiveX para funcionar correctamente.
Presione Actualizar y acepte la ejecución de ActiveX. Si no
se le permite aceptar ActiveX, baje el nivel de seguridad
de su navegador, o busque como permitir esta interaccion.
[ Aceptar ]
Finalmente, copia el archivo "temp.vbs" en el directorio de
Windows, y agrega la siguiente rama al registro:
HKEY_CURRENT_USER\Software\MA\Infec
html = "1"
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows\temp.vbs
C:\Windows\Shakira.Mp3.vbs
C:\Windows\Outlook.vbs
C:\Windows\TEMP\teclas.vbs
C:\Windows\Windows.vbs
C:\Recycled\ma.vbs
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\MA
3. Pinche en la carpeta "MA" y bórrela.
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/BiBrog.B. Asunto: "Fwd:La Academia Azteca"
_____________________________________________________________
http://www.vsantivirus.com/bibrog-b.htm
Nombre: W32/BiBrog.B
Tipo: Gusano de Internet
Alias: W32/BiBrog.B@mm, W32.Bibrog.B@mm, Academia,
W32/Bibrog.b@MM
Fecha: 6/mar/03
Tamaño: 245,760 bytes
Plataforma: Windows 32-bit
Escrito en Visual Basic 5, este gusano se presenta como un
juego en el que hay que dispararle a personajes de la versión
mexicana del concurso televisivo "La Academia". Es una
variante de un virus similar dedicado al reality "Gran
Hermano", y utiliza el mismo juego, con diferentes gráficos.
El gusano se propaga a través del correo electrónico, y redes
de intercambio de archivos como KaZaA, Grokster, Morpheus e
ICQ.
A través del correo electrónico, utiliza mensajes como el
siguiente:
Asunto: Fwd:La Academia Azteca
Datos adjuntos: Academia.exe
Texto del mensaje:
La cacademia azteca (muy bueno) ¡no es virus!
Cuando el adjunto es ejecutado, el gusano se activará,
mientras muestra en el escritorio de Windows una pantalla y
un arma flotante, y una ventana con los personajes del
mencionado programa, en una especie de polígono de tiro. El
logo de "La Academia" ha sido cambiado por otro que dice "La
Cacademia".
[ver imagen en http://www.vsantivirus.com/bibrog-b.htm]
También cambia el papel tapiz o fondo del escritorio de
Windows, modificando el archivo WIN.INI.
Luego se copia con los siguientes nombres y ubicaciones:
C:\Windows\System
C:\Windows\System\academia.exe
C:\Windows\manzana.exe
C:\Windows\Menú Inicio\Programas\Inicio\Itch.exe
C:\Windows\Menú Inicio\Programas\Inicio\Itcj.exe
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden
variar de acuerdo al sistema operativo instalado (con esos
nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
"C:\Windows\Menú Inicio\Programas\Inicio" en Windows 95, 98 y
Me. En Windows XP y 2000 es "C:\Documents and
Settings\[usuario]\Menú Inicio\Programas\Inicio" y en Windows
NT "C:\WinNT\Profiles\[usuario]\Menú Inicio\Programas\Inicio"
También crea el siguiente archivo (no malicioso, de solo 2
bytes, posiblemente un error en el código del gusano):
C:\Windows\Mai.vbs
Luego se copia a las siguientes carpetas, bajo "C:\Archivos
de programa":
\Grokster\My Grokster\Kylie_Minogue_screensaver.exe
\Grokster\My Grokster\Shakira_screensaver.exe
\ICQ\shared files\Kylie_Minogue_screensaver.exe
\ICQ\shared files\Shakira_screensaver.exe
\KaZaA\My Shared Folder\Kylie_Minogue_screensaver.exe
\KaZaA\My Shared Folder\Shakira_screensaver.exe
\Morpheus\My Shared Folder\Kylie_Minogue_screensaver.exe
\Morpheus\My Shared Folder\Shakira_screensaver.exe
El gusano puede borrar archivos con las siguientes
extensiones:
.dbf
.dll
.exe
.gif
.jpg
.mp3
.mpg
.zip
Cuando el gusano se ejecute nuevamente al reiniciarse la
computadora (se ejecutan los archivos "Itch.exe" e "Itcj.exe"
luego de los cambios hechos en el registro), el gusano
realiza las siguientes acciones:
Genera la siguiente nueva clave en el registro:
HKCU\Software\VB and VBA Program Settings
HKCU\Software\VB and VBA Program Settings\ezzey\vari
Utiliza el Microsoft Outlook y Outlook Express para
propagarse a todos los contactos de la libreta de direcciones
en un mensaje igual al ya descripto.
Crea dos nuevos archivos:
C:\Windows\Osiris.bmp (54,594 bytes)
C:\Windows\Quiettime.bmp (327,222 bytes)
Luego, agrega al archivo WIN.INI uno de los dos archivos, con
lo que en el próximo reinicio, la imagen seleccionada lucirá
como fondo (papel tapiz) del escritorio.
[Desktop]
Wallpaper = C:\Windows\quiettime.bmp
o:
[Desktop]
Wallpaper = C:\Windows\osiris.bmp
Las imagenes son las siguientes:
[ver imagenes en http://www.vsantivirus.com/bibrog-b.htm]
Crea los siguientes archivos en la carpeta \Mis documentos:
Acafug.htm - (7,622 bytes)
Banamex.htm - (7,622)
Citibank.htm - (26,212 bytes)
Hotmail.htm - (10,072 bytes)
Msn.htm - (20,611 bytes)
Yahoo.htm - (15,382 bytes)
Todos estos archivos HTML son copias idénticas de los
populares sitios mencionados con el nombre de sus camisetas.
Estos archivos simulan ser los sitios verídicos, y cuando el
usuario ingresa allí algún dato, este es enviado al atacante
vía e-mail, etc..
* Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows\Mai.vbs
C:\Windows\Osiris.bmp
C:\Windows\Quiettime.bmp
C:\Mis documentos\Acafug.htm
C:\Mis documentos\Banamex.htm
C:\Mis documentos\Citibank.htm
C:\Mis documentos\Hotmail.htm
C:\Mis documentos\Msn.htm
C:\Mis documentos\Yahoo.htm
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Quitar el papel tapiz
Pinche con el botón derecho sobre cualquier área vacía del
escritorio, y seleccione Propiedades. En la lengüeta "Fondo"
seleccione el de su preferencia o "Ninguno".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\VB and VBA Program Settings
3. Pinche en la carpeta "VB and VBA Program Settings" y
bórrela.
4. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 975 - Año 7 - Domingo 9 de marzo de 2003
|
VSantivirus No. 97
Responder a este mensaje
