Mostrando mensaje 232     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1183 Año 7, Viernes 3 de octubre de 2003 Fecha: Viernes, 3 de Octubre, 2003  03:47:05 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1183 Año 7, Viernes 3 de octubre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Proteja su equipo antes que sea demasiado tarde 2 - Los Parches publicados por Microsoft en setiembre 2003 3 - Troj/VBS.Qhosts. Redirecciona sitios y cambia DNS 4 - Troj/Backdoor.Afcore.q. Utiliza "NTFS streams" _____________________________________________________________ 1 - Proteja su equipo antes que sea demasiado tarde _____________________________________________________________ http://www.vsantivirus.com/ev02-10-03.htm Proteja su equipo antes que sea demasiado tarde Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Una falla en el IE, no corregida, permite lanzar una ventana pop-up en la PC de la víctima, con la intención de obtener un beneficio económico para el atacante. Pero nada impide que mañana, se use el mismo procedimiento para ejecutar un código realmente peligroso. Un código malicioso que explota una vulnerabilidad en Windows, comenzó a circular el miércoles en Internet, infectando una gran cantidad de equipos. Aunque el código malicioso no es técnicamente un virus, los usuarios pueden infectarse a través de un banner del tipo pop-up (ventana emergente), cuando visitan las páginas de ciertos proveedores de hosting para Internet, dice Russ Cooper, editor de la lista NTBugTraq. Los fabricantes de antivirus clasificaron el código maligno como un caballo de Troya, el cuál es detectado como "QHosts- 1". Infecta computadoras con Windows 2000 y XP, explotando la vulnerabilidad en Internet Explorer publicada por Microsoft en agosto, pero que el parche emitido en esa oportunidad no corrige. La falla, conocida como "Object Type Vulnerability", está relacionada con el manejo incorrecto de las etiquetas de objeto, y fue descripta en el boletín MS03-032. Se basa en la forma como las versiones más actuales del Internet Explorer manejan un código HTA insertado en las etiquetas OBJECT. Esto permite a un atacante ejecutar código a su elección en las computadoras con el software vulnerable. En este caso, se utiliza la falla para lanzar una ventana pop-up en la PC de la víctima, presumiblemente con la intención de obtener cierta ganancia con los programas que agregan créditos por cada clic a ciertos avisos comerciales. Pero nada impide que en el futuro, se use el mismo procedimiento para ejecutar un código realmente peligroso en la máquina vulnerable. Desde que Microsoft publicó el parche el 20 de agosto, diversos expertos anunciaron que la falla no estaba totalmente corregida. Más de un mes después, la compañía no ha publicado aún ninguna actualización para corregir totalmente esta vulnerabilidad. El CERT Coordination Center, que mantiene un seguimiento de los ataques producidos por este agujero, anunciaron esta semana un aumento de los mismos, pero no se refirieron en ese momento al troyano QHosts, salvo la referencia a la modificación de la configuración DNS de algunas máquinas bajo Windows 2000 y XP. DNS (Domain Name System), o Sistema de Nombres de Dominio, es el sistema que traduce un nombre de dominio (www.nombre.com) a una dirección IP, un número como 223.151.123.76 (este es un ejemplo ficticio), y de esta forma, se localiza el servidor donde reside un sitio Web. El troyano configura el registro de Windows y el archivo "hosts" usado para resolver los números IP. "HOSTS" es un archivo en formato texto, sin extensión, ubicado en la carpeta "windows\" o "windows\system32\drivers\etc\", dependiendo de la versión de Windows, que en caso de estar presente, es utilizado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS. En este caso, el troyano lo usa para redireccionar la navegación desde las máquinas infectadas , a un sitio controlado por el atacante, cada vez que la víctima intenta realizar alguna búsqueda en Internet. Además, el troyano modifica a la computadora atacada, para que todos sus servicios DNS sean obtenidos de los servidores propios (EV1.NET). Esto puede ocasionar que algunas aplicaciones que dependen de un DNS local, dejen de funcionar apropiadamente. El mecanismo de infección del QHosts actúa a partir de un banner deliberadamente desplegado como publicidad contratada, por el sitio de hospedaje gratuito FortuneCity.com, pero el aviso y el código malicioso se encuentran en realidad en las máquinas de ev1.net. FortuneCity.com no hizo ningún comentario a la prensa. El proveedor de hosting pago, Everyone's Internet Inc, ubicado en Texas, Estados Unidos, el dueño del dominio ev1.net, dijo que había localizado la cuenta del usuario dándola de baja, acabando así con la fuente del problema. Jeff Lowenberg, vice presidente de operaciones de EV1, dijo a la prensa que los servidores cuestionados enviaban publicidad a las máquinas infectadas, para finalmente redireccionarlas a los sitios de búsqueda previstos. EV1 es un sitio que ofrece el mecanismo para que sus clientes ofrezcan banners publicitarios a terceros. El departamento de abusos de EV1 fue contactado al comenzar el problema, y luego de una rápida investigación, la cuenta del usuario que lo provocaba (un anunciador), fue finalizada y su servidor desconectado. Lowenberg dijo que dicha cuenta había sido abierta recientemente (setiembre de 2003). De todos modos, es importante hacer notar que nada impide que hechos similares vuelvan a presentarse, o que surja un código realmente maligno que se aproveche de esta falla. Una solución alternativa para proteger nuestros equipos antes que ocurra, y mientras no exista un parche que realmente lo solucione, es desactivar los controles ActiveX en el Internet Explorer. Para deshabilitar Active Scripting y los controles ActiveX, seleccione Opciones de Internet, Seguridad, Internet, Personalizar nivel, y marque la casilla "Desactivar" en todas las opciones de Automatización y Controles y complementos de ActiveX. Recuerde que a partir de ello, muchas facilidades y opciones disponibles al visualizar algunos sitios desaparecerán o darán error. También se sugiere quitar del registro la asociación con la etiqueta "application/hta", borrando la carpeta con ese nombre de la siguiente clave: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MIME \Database\Content Type\application/hta Finalmente, se recomienda también utilizar un cortafuegos diferente al que proporciona Windows XP, para impedir el acceso a Internet del proceso iniciado por el host para archivos HTA (mshta.exe). Y recuerde que no solo el Internet Explorer es vulnerable, sino también cualquier programa que haga uso del control WebBrowser de ActiveX, o del visor HTML (MSHTML). (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=3 03 * Relacionados: Troj/VBS.Qhosts. Redirecciona sitios y cambia DNS http://www.vsantivirus.com/qhosts.htm Nuevos ataques producen cambios en la configuración DNS http://www.vsantivirus.com/02-10-03.htm Navegando más seguros y sin molestos Pop-Ups con el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm Crecen ataques usando fallas que parche de IE no corrige http://www.vsantivirus.com/30-09-03.htm Parche crítico del Internet Explorer no funciona http://www.vsantivirus.com/ev09-09-03.htm Falla crítica en el Internet Explorer y como protegernos http://www.vsantivirus.com/10-09-03.htm MS03-032 Actualización acumulativa para IE (822925) http://www.vsantivirus.com/vulms03-032.htm Troj/Backdoor.Coreflood. Infecta desde páginas Web http://www.vsantivirus.com/back-coreflood.htm Falla crítica en el Internet Explorer y como protegernos http://www.vsantivirus.com/10-09-03.htm Troj/JunkSurf.B. Infecta con solo ver un HTML http://www.vsantivirus.com/junksurf-b.htm Troj/JunkSurf.A. Infecta con solo ver un HTML http://www.vsantivirus.com/junksurf-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Los Parches publicados por Microsoft en setiembre 2003 _____________________________________________________________ http://www.vsantivirus.com/lz-ms-resumen0903.htm Los Parches publicados por Microsoft en setiembre 2003 Por Lissette Zapata liszapata@videosoft.net.uy MS03-039 Ejecución de código en servicio RPCSS (824146) MS03-038 Vulnerabilidad en Visor Instantáneo (827104) MS03-037 Ejecución de código en VBA (822715) MS03-036 Ejecución de código en conversor WP (827103) MS03-035 Ejecución automática de macros en Word (827653) MS03-034 Revelación de información con NetBIOS (824105) Este es un resumen de los parches publicados por Microsoft para sus productos, como una guía para localizarlos, y mantener actualizado nuestro sistema operativo. A diferencia del mes de agosto donde tuvimos, muy pocas publicaciones, durante setiembre se dieron parches que Microsoft cataloga como imprescindibles, como el que soluciona la última vulnerabilidad publicada en el mes que es la MS03-039, y que sustituye a la cubierta por el boletín MS03-026, que evita la infección del Blaster (Lovsan), el cuál se aprovecha del servicio del RPC. * 11 de setiembre de 2003 * Boletín de Seguridad de Microsoft MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.microsoft.com/security/security_bulletins/ms03-039.asp Es el boletín más importante del mes ya que abarca la reparación de tres puntos vulnerables en el servicio RPCSS, que se ocupa de los mensajes RPC para la activación Modelo de objetos componentes distribuido (DCOM, Distributed Component Object Model); dos de ellos permitirían la ejecución arbitraria de código y el tercero podría provocar una denegación de servicio. RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows, que proporciona un mecanismo de comunicación entre procesos internos, y que permite que un programa ejecutándose en una computadora pueda acceder a los servicios de otra. Nivel de Gravedad: Crítico Productos Afectados: Windows NT 4.0 Windows 2000 Windows XP Windows Server 2003 No son afectados los siguientes productos: Windows Millennium (Windows Me) Windows 98 Second Edition (SE) Windows 98 Windows 95 IMPORTANTE: salvo Windows Me, los demás productos ya no tienen soporte de Microsoft. * Más información: MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm * 8 de setiembre de 2003 * Boletín de Seguridad de Microsoft MS03-038 Vulnerabilidad en Visor Instantáneo (827104) http://www.microsoft.com/security/security_bulletins/ms03-038.asp Se ha encontrado una vulnerabilidad que constituye un problema de seguridad, en Microsoft Access y en el Visor Instantáneo de Microsoft Access (Snapshot Viewer). La falla podría permitir que un atacante comprometa la seguridad del sistema en Microsoft Office o en el Visor Instantáneo de Microsoft Access, pudiendo llevar a cabo acciones como leer los archivos en su computadora, o ejecutar los programas que hay en su PC. Nivel de Gravedad: Moderado Programas Afectados: Microsoft Access 97 Microsoft Access 2000 Microsoft Access 2002 * Más información: MS03-038 Vulnerabilidad en Visor Instantáneo (827104) http://www.vsantivirus.com/vulms03-038.htm * Boletín de Seguridad de Microsoft MS03-037 Ejecución de código en VBA (822715) http://www.microsoft.com/security/security_bulletins/ms03-037.asp Microsoft Visual Basic para Aplicaciones (VBA), es una tecnología de desarrollo que permite crear paquetes de aplicaciones integrados con los datos y sistemas existentes. Microsoft VBA está incluido en aplicaciones como Microsoft Office, y se basa en el lenguaje de programación Microsoft Visual Basic. Una falla existente en la manera que VBA comprueba las propiedades de los documentos cuando estos son abiertos por una aplicación, puede provocar un desbordamiento de búfer, que explotado maliciosamente, permitiría a un atacante ejecutar cualquier código de su elección en el contexto del usuario atacado, o sea con sus mismos privilegios. Nivel de Gravedad: Crítico Programas Afectados: Visual Basic for Applications SDK 5.0, 6.0, 6.2, y 6.3 Office 97, 2000, y XP Word 98 (Japonés) Visio 2000 y 2002 Project 2000 y 2002 Publisher 2002 Works Suite 2001, 2002 y 2003 Business Solutions Great Plains 7.5 Business Solutions Dynamics 6.0 y 7.0 Business Solutions eEnterprise 6.0 y 7.0 Business Solutions Solomon 4.5, 5.0, y 5.5 * Más información: MS03-037 Ejecución de código en VBA (822715) http://www.vsantivirus.com/vulms03-037.htm * 4 de setiembre de 2003 * Boletín de Seguridad de Microsoft MS03-036 Ejecución de código en conversor WP (827103) http://www.microsoft.com/security/security_bulletins/ms03-036.asp Un problema de seguridad ha sido identificado en Microsoft Office. El mismo podría permitir a un atacante modificar la base del sistema que utilice Office y llevar a cabo varias acciones. Por ejemplo, un atacante podría leer los archivos de su computadora o ejecutar los programas que ésta tiene. Nivel de Gravedad: Importante Programas Afectados: Office 97, 2000, y XP Word 98 (Japonés) FrontPage 2000 y 2002 Publisher 2000 y 2002 Works Suite 2001, 2002 y 2003 * Más información: MS03-036 Ejecución de código en conversor WP (827103) http://www.vsantivirus.com/vulms03-036.htm * Boletín de Seguridad de Microsoft MS03-035 Ejecución automática de macros en Word (827653) http://www.microsoft.com/security/security_bulletins/ms03-035.asp Un macro es una serie de órdenes e instrucciones que pueden agruparse como un solo comando para lograr la ejecución de una tarea automáticamente. Microsoft Word soporta el uso de macros para permitir la automatización de tareas realizadas normalmente. Cómo los macros son códigos ejecutables y por lo tanto también es posible emplearlos maliciosamente, se ha implementado en Word un modelo de seguridad diseñado para validar si a un macro se le debe permitir su ejecución o no, dependiendo del nivel de seguridad que el usuario haya escogido. La vulnerabilidad existe porque es posible para un atacante elaborar un documento malévolo que podría evitar el modelo de seguridad de los macros. Si el documento fuera abierto, esta falla podría permitir que un macro maligno, embebido en el documento, fuera ejecutado automáticamente, sin tener en cuenta el nivel en que la seguridad esté configurada. Nivel de Gravedad: Importante Programas Afectados: Word 97 Word 98 (Japonés) Word 2000 Word 2002 Works Suite 2001, 2002, y 2003 * Más información: MS03-035 Ejecución automática de macros en Word (827653) http://www.vsantivirus.com/vulms03-035.htm * Boletín de Seguridad de Microsoft MS03-034 Revelación de información con NetBIOS (824105) http://www.microsoft.com/security/security_bulletins/ms03-034.asp Un problema de seguridad que podría permitir a un atacante visualizar la información en la memoria de su computadora a través de una red, ha sido identificado en Microsoft Windows. NetBIOS (Network basic input/output system), es un API (Application Programming Interface), que puede ser usado por los programas en una red de área local (LAN). NetBIOS proporciona un conjunto uniforme de órdenes a los programas que requieren un bajo nivel de servicio para manejar los nombres, los comportamientos de las sesiones, y enviar datagramas (paquetes de datos) entre los nodos en una red. La vulnerabilidad reportada, involucra a NetBT (NetBIOS sobre TCP) y NBNS (NetBIOS Name Service). NBNS es análogo a DNS (Domain Name Server) en el mundo de TCP/IP, y proporciona una manera de encontrar la IP de un sistema dándole el nombre a NetBIOS y viceversa. Nivel de Gravedad: Baja Programas Afectados: Windows NT Server 4.0 Windows NT Server 4.0, Terminal Server Edition Windows 2000 Windows XP Windows Server 2003 * Más información: MS03-034 Revelación de información con NetBIOS (824105) http://www.vsantivirus.com/vulms03-034.htm * Parches Anteriores: Los Parches publicados por Microsoft en agosto 2003 http://www.vsantivirus.com/lz-ms-resumen0803.htm Los Parches publicados por Microsoft en julio 2003 http://www.vsantivirus.com/lz-ms-resumen0703.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/VBS.Qhosts. Redirecciona sitios y cambia DNS _____________________________________________________________ http://www.vsantivirus.com/qhosts.htm Nombre: Troj/VBS.Qhosts Tipo: Caballo de Troya Alias: QHosts-1, Trojan.Qhosts, VBS.QHOSTS, VBS/StartPage.D, Delude, Trojan.BAT.Startpage.a, QHosts-1.dr, TROJ_QHOSTS.A Variantes: Troj/VBS.Qhosts.A, Troj/VBS.Qhosts.B Plataforma: Windows 32-bit Tamaños: 4,096 bytes(BAT), 76KB(HTML), 41 KB(EXE) Fecha: 1/oct/03 Este troyano intenta redireccionar los nombres de dominio de Internet, principalmente para interceptar las consultas a sitios de búsqueda, como Google y otros. El troyano se descarga desde una página Web, que explota una vulnerabilidad en el Microsoft Internet Explorer para ejecutar un script de Visual Basic (en este caso), con acceso irrestricto al sistema de su víctima. La falla está comentada en el siguiente boletín de seguridad de Microsoft (MS03-032), pero el parche anunciado no la corrige: MS03-032 Actualización acumulativa para IE (822925) http://www.vsantivirus.com/vulms03-032.htm Cómo dijimos, aún con el parche instalado, este gusano puede instalarse en el sistema (Windows XP y Windows 2000 principalmente). Una vez que el script malicioso se ejecuta, el troyano libera el siguiente archivo dentro de la carpeta Windows: c:\windows\aolfix.exe También puede liberar el siguiente archivo (de acuerdo a la versión): c:\windows\partyboy.exe NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000). También crea un archivo de proceso por lotes (.BAT) que ejecuta el archivo AOLFIX.EXE o PARTYBOY.EXE y luego se borra al terminar la ejecución. Para ello, crea el siguiente directorio, con los atributos de oculto: c:\bdtmp\tmp Luego crea y ejecuta el mencionado archivo .BAT en dicha carpeta, con un nombre aleatorio compuesto de cualquier dígito entre 100 y 9999, por ejemplo: c:\bdtmp\tmp\100.bat También crea los siguientes archivos para su uso interno: c:\windows\o.reg c:\windows\o2.reg c:\windows\o.vbs Luego de ejecutarse, borra dicho archivo .BAT AOLFIX.EXE (o PARTYBOY.EXE) a su vez, es también un archivo de proceso por lotes, pero compilado con la herramienta "bat2exe" para convertirlo en un ejecutable (.EXE). Cuando AOLFIX.EXE o PARTYBOY.EXE se ejecuta, el mismo comprueba si existe el siguiente archivo: c:\windows\winlog Si existe, el troyano no realiza ninguna otra acción y solo termina de ejecutarse. Si WINLOG no existe (es un archivo sin extensión), entonces el troyano intenta modificar las siguientes entradas en el registro: HKLM\System\CurrentControlSet\Services\VxD\MSTCP\ "EnableDNS"="1" "NameServer"="69.57.146.14,69.57.147.175" "HostName"="host" "Domain"="mydomain.com" HKCU\Software\Microsoft\Windows\CurrentVersion \Internet Settings\ "ProxyEnable"=dword:00000000 "MigrateProxy"=dword:00000000 HKCU\Software\Microsoft\Internet Explorer\Main\ "Use Search Asst"="no" "Search Page"="http://www.google.com"; "Search Bar"="http://www.google.com/ie"; HKCU\Software\Microsoft\Internet Explorer\SearchURL\ (Predeterminado)="http://www.google.com/keyword/%%s"; "provider"="gogl" HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\ "SearchAssistant"="http://www.google.com/ie"; Estas configuraciones, cambia las direcciones de los servidores DNS en la máquina infectada por las siguientes: 69.57.146.14 69.57.147.175 También se cambia el nombre del dominio a "host.mydomain.com", deshabilita (si estuviera activo), el servidor proxy del Internet Explorer, y cambia la página de búsqueda por defecto del Internet Explorer, por "www.google.com";. El troyano examina si existe el siguiente archivo: c:\windows\system32\drivers\etc\services Si existe un archivo SERVICES, modifica las siguientes entradas en el registro (la presencia de este archivo le indica al gusano que se está ejecutando en Windows 2000 o Windows XP): HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters "DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00, 65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,68,00, 65,00,6c,00,70,00,00,00 HKLM\SYSTEM\ControlSet002\Services\Tcpip\Parameters "DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00, 65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,68,00, 65,00,6c,00,70,00,00,00 HKLM\SYSTEM\ControlSet001\Services\Tcpip \Parameters\interfaces\windows "r0x"="your s0x" HKLM\SYSTEM\ControlSet002\Services\Tcpip \Parameters\interfaces\windows "r0x"="your s0x" El contenido de "DataBasePath", es una cadena unicode, que obliga a Windows a cargar el archivo HOSTS desde el directorio C:\WINDOWS\HELP, en lugar de la ubicación normal en esos sistemas: c:\windows\system32\drivers\etc\ HOSTS. Es un archivo en formato texto, sin extensión, ubicado en windows\hosts o windows\system32\drivers\etc\hosts, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS. El troyano también enumerará y modificará cada valor "NameServer" encontrado en las siguientes claves: HKLM\SYSTEM\ControlSet001\Services \Tcpip\Parameters\Interfaces HKLM\SYSTEM\ControlSet002\Services \Tcpip\Parameters\Interfaces Este valor indica los servidores DNS que usará la máquina al conectarse a Internet. El troyano cambia los que pone por defecto la instalación con un determinado proveedor de servicio, por las siguientes (ya vistas): 69.57.146.14 69.57.147.175 Luego el troyano modifica el archivo HOSTS (sin extensión) localizado en el directorio de Windows, para que los nombres de dominio de las herramientas buscadores más populares, sean redireccionadas a la dirección IP 207.44.220.30 y 88.88.88.88 Los nombres de dominio redireccionados, son los siguientes: alltheweb.com altavista.com ask.com au.search.yahoo.com auto.search.msn.com ca.search.msn.com ca.search.yahoo.com de.search.yahoo.com elite fr.ca.search.msn.com go.google.com google.at google.be google.ca google.co.il google.co.kr google.co.nz google.com google.com.hk google.com.mx google.com.ru google.com.sg google.de google.dk google.fi google.fr google.ie google.it google.nl google.pl hotbot.com jp.search.yahoo.com search.aol.com search.fr.msn.be search.fr.msn.ch search.latam.yupimsn.com search.lycos.com search.msn.at search.msn.be search.msn.ch search.msn.co.in search.msn.co.jp search.msn.co.kr search.msn.co.za search.msn.com search.msn.com.br search.msn.com.hk search.msn.com.my search.msn.com.sg search.msn.com.tw search.msn.de search.msn.dk search.msn.es search.msn.fi search.msn.fr search.msn.it search.msn.nl search.msn.no search.msn.se search.ninemsn.com.au search.t1msn.com.mx search.xtramsn.co.nz search.yahoo.co.jp search.yahoo.com search.yupimsn.com uk.search.msn.com uk.search.yahoo.com web.ask.com www.altavista.com www.ask.com www.google.akadns.net www.google.at www.google.be www.google.ca www.google.ch www.google.co.il www.google.co.jp www.google.co.kr www.google.co.nz www.google.co.th www.google.co.uk www.google.com www.google.com.au www.google.com.gr www.google.com.hk www.google.com.mx www.google.com.ru www.google.com.sg www.google.com.tr www.google.com.tw www.google.de www.google.dk www.google.fi www.google.fr www.google.ie www.google.it www.google.jp www.google.nl www.google.pl www.google.pt www.google.se www.google.uk www.hotbot.com www.looksmart.com www.lycos.ca www.lycos.co.jp www.lycos.com www.lycos.de www.lycos.jp www.teoma.com Si el troyano localiza el archivo SERVICES en "\system32\drivers\etc", sabe que está ejecutándose en Windows 2000 o XP, y entonces crea el archivo HOSTS en la carpeta C:\WINDOWS\HELP. Finalmente el troyano crea el archivo WINLOG (sin extensión), en C:\WINDOWS\, y lo utiliza como marca de infección. * Reparación manual 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados 4. Borre del archivo HOSTS las siguientes entradas (o borre todo el archivo HOSTS. Este archivo normalmente no es utilizado en una instalación doméstica. En caso contrario, confirme con el administrador de su red si el mismo es necesario, y de lo contrario bórrelo): 88.88.88.88 elite 207.44.220.30 alltheweb.com 207.44.220.30 altavista.com 207.44.220.30 ask.com 207.44.220.30 au.search.yahoo.com 207.44.220.30 auto.search.msn.com 207.44.220.30 ca.search.msn.com 207.44.220.30 ca.search.yahoo.com 207.44.220.30 de.search.yahoo.com 207.44.220.30 fr.ca.search.msn.com 207.44.220.30 go.google.com 207.44.220.30 google.at 207.44.220.30 google.be 207.44.220.30 google.ca 207.44.220.30 google.co.il 207.44.220.30 google.co.kr 207.44.220.30 google.co.nz 207.44.220.30 google.com 207.44.220.30 google.com.hk 207.44.220.30 google.com.mx 207.44.220.30 google.com.ru 207.44.220.30 google.com.sg 207.44.220.30 google.de 207.44.220.30 google.dk 207.44.220.30 google.fi 207.44.220.30 google.fr 207.44.220.30 google.ie 207.44.220.30 google.it 207.44.220.30 google.nl 207.44.220.30 google.pl 207.44.220.30 hotbot.com 207.44.220.30 jp.search.yahoo.com 207.44.220.30 search.aol.com 207.44.220.30 search.fr.msn.be 207.44.220.30 search.fr.msn.ch 207.44.220.30 search.latam.yupimsn.com 207.44.220.30 search.lycos.com 207.44.220.30 search.msn.at 207.44.220.30 search.msn.be 207.44.220.30 search.msn.ch 207.44.220.30 search.msn.co.in 207.44.220.30 search.msn.co.jp 207.44.220.30 search.msn.co.kr 207.44.220.30 search.msn.co.za 207.44.220.30 search.msn.com 207.44.220.30 search.msn.com.br 207.44.220.30 search.msn.com.hk 207.44.220.30 search.msn.com.my 207.44.220.30 search.msn.com.sg 207.44.220.30 search.msn.com.tw 207.44.220.30 search.msn.de 207.44.220.30 search.msn.dk 207.44.220.30 search.msn.es 207.44.220.30 search.msn.fi 207.44.220.30 search.msn.fr 207.44.220.30 search.msn.it 207.44.220.30 search.msn.nl 207.44.220.30 search.msn.no 207.44.220.30 search.msn.se 207.44.220.30 search.ninemsn.com.au 207.44.220.30 search.t1msn.com.mx 207.44.220.30 search.xtramsn.co.nz 207.44.220.30 search.yahoo.co.jp 207.44.220.30 search.yahoo.com 207.44.220.30 search.yupimsn.com 207.44.220.30 uk.search.msn.com 207.44.220.30 uk.search.yahoo.com 207.44.220.30 web.ask.com 207.44.220.30 www.altavista.com 207.44.220.30 www.ask.com 207.44.220.30 www.google.akadns.net 207.44.220.30 www.google.at 207.44.220.30 www.google.be 207.44.220.30 www.google.ca 207.44.220.30 www.google.ch 207.44.220.30 www.google.co.il 207.44.220.30 www.google.co.jp 207.44.220.30 www.google.co.kr 207.44.220.30 www.google.co.nz 207.44.220.30 www.google.co.th 207.44.220.30 www.google.co.uk 207.44.220.30 www.google.com 207.44.220.30 www.google.com.au 207.44.220.30 www.google.com.gr 207.44.220.30 www.google.com.hk 207.44.220.30 www.google.com.mx 207.44.220.30 www.google.com.ru 207.44.220.30 www.google.com.sg 207.44.220.30 www.google.com.tr 207.44.220.30 www.google.com.tw 207.44.220.30 www.google.de 207.44.220.30 www.google.dk 207.44.220.30 www.google.fi 207.44.220.30 www.google.fr 207.44.220.30 www.google.ie 207.44.220.30 www.google.it 207.44.220.30 www.google.jp 207.44.220.30 www.google.nl 207.44.220.30 www.google.pl 207.44.220.30 www.google.pt 207.44.220.30 www.google.se 207.44.220.30 www.google.uk 207.44.220.30 www.hotbot.com 207.44.220.30 www.looksmart.com 207.44.220.30 www.lycos.ca 207.44.220.30 www.lycos.co.jp 207.44.220.30 www.lycos.com 207.44.220.30 www.lycos.de 207.44.220.30 www.lycos.jp 207.44.220.30 www.teoma.com 5. Ejecute REGEDIT desde Inicio, Ejecutar, abra la siguiente rama del registro, y luego borre los valores que se indican de la clave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\VxD\MSTCP Borre estas entradas: EnableDNS NameServer HostName host Domain mydomain.com 6. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo: HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Internet Settings Borre estas entradas: ProxyEnable MigrateProxy 7. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo: HKEY_CURRENT_USER\Software\Microsoft \Internet Explorer\Main Borre estas entradas: Use Search Asst Search Page Search Bar 8. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo: HKEY_CURRENT_USER\Software\Microsoft \Internet Explorer\SearchURL Borre estas entradas: (Predeterminado) provider 9. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo: HKEY_CURRENT_USER\Software\Microsoft \Internet Explorer\Search Borre esta entrada: SearchAssistant 10. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Tcpip\Parameters\interfaces\windows HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 \Tcpip\Parameters\interfaces\windows En cada una de esas ramas, borre esta entrada: r0x * Información adicional Se recomienda la siguiente configuración para evitar la ejecución de controles ActiveX peligrosos: Navegando más seguros y sin molestos Pop-Ups con el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Más información sobre esta falla, y sobre el gusano propiamente dicho, en los siguientes enlaces: Proteja su equipo antes que sea demasiado tarde http://www.vsantivirus.com/ev02-10-03.htm Nuevos ataques producen cambios en la configuración DNS http://www.vsantivirus.com/02-10-03.htm Crecen ataques usando fallas que parche de IE no corrige http://www.vsantivirus.com/30-09-03.htm Parche crítico del Internet Explorer no funciona http://www.vsantivirus.com/ev09-09-03.htm Falla crítica en el Internet Explorer y como protegernos http://www.vsantivirus.com/10-09-03.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Backdoor.Afcore.q. Utiliza "NTFS streams" _____________________________________________________________ http://www.vsantivirus.com/back-afcore-q.htm Nombre: Troj/Backdoor.Afcore.q Tipo: Caballo de Troya de acceso remoto Alias: Afcore.q, TrojanDropper.Win32.Emaner, Backdoor.Afcore.q Plataforma: Windows NT, 2000 y XP Tamaño: 58,368 bytes Fecha: 2/oct/03 Reportado por: F-Secure Este troyano con capacidad de acceso remoto, utiliza propiedades de almacenamiento de datos proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). La presencia del troyano en un equipo, posibilita a un intruso el acceso remoto total a la máquina infectada. Utiliza las características "NTFS streams" para su funcionamiento. NTFS es el tipo de partición utilizado en Windows NT, 2000 y XP (opcional), del mismo modo que FAT y FAT32 lo son de Windows 9x y Me. NTFS implementa seguridad a nivel de archivo. Cada archivo o directorio posee su lista de control de acceso (ACL) conociéndose en todo momento quien tiene derechos sobre él, lo que permite especificar claramente los permisos para el uso de cualquier archivo. Por el contrario un sistema bajo particiones FAT o FAT32, carece totalmente de este tipo de protección en los archivos, siendo estos accesibles por cualquier usuario que use el sistema. Bajo Windows NT, 2000 y XP (y Server 2003), usando NTFS, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream". Puede compararse esto a tener varios archivos comprimidos dentro de un solo .ZIP. Cada stream es accesible como un archivo individual. En Windows 95, 98 o ME, ejecutándose bajo sistemas FAT o FAT32, estos streams no existen. El troyano tiene previsto su propio mecanismo de remoción, que lo quita del registro, pero deja algunos archivos en el sistema. Cuando un sistema Windows NT, 2000 o XP con sistema NTFS se infecta, quitar el archivo DLL del troyano es complicado, ya que el mismo se localiza dentro de un stream. Los antivirus pueden interceptarlo cuando el troyano accede a este archivo, pero generalmente no podrán borrarlo porque estará en uso, como lo indicará un mensaje de Windows al usuario. Para borrarlo, se deberá configurar en "remover el virus" o similar, la opción "remover automáticamente", y reiniciar la computadora para que el antivirus intente borrar al troyano, cuando éste pretenda acceder a su stream. El troyano está comprimido con la utilidad UPX. Cuando se ejecuta por primera vez, actúa como dropper, liberando los demás componentes del troyano. Estos son almacenados en un stream, por defecto en la carpeta de archivos temporales de Windows, si el sistema es NTFS. De lo contrario, si el sistema no soporta NTFS, se copia como un archivo normal en la misma carpeta. El nombre del archivo en el stream es creado al azar, y siempre consiste en varios caracteres de la A a la Z en minúscula. Cuando el archivo es copiado, el dropper finaliza su acción. El componente backdoor del troyano es un DLL (113,152 bytes), y se tiene que ejecutar como tal. Provee una gran variedad de características que un intruso podrá utilizar para controlar el sistema infectado. Cuando el backdoor se ejecuta, agrega la siguiente entrada en el registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [nombre al azar] = rundll32 [camino y nombre], [opciones] El código del troyano posee el siguiente texto: *********************************************************** If you read this, then this program was probably stolen from our laboratory. Author of this software is not responsible for any harm that may be caused by incompetent or malicious persons who use this software possibly running on your machine. Therefore, please remove this software as soon as possible. Click the "Start" menu, select "Run", enter there: rundll32 [camino al DLL], Uninstall and click "OK" *********************************************************** No posee rutina de propagación, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargada de sitios maliciosos, o a través de redes P2P. * Relacionados: Flujo de datos, riesgo de virus en Windows XP, 2000 y NT http://www.vsantivirus.com/dfm-streams.htm VBS/Potok@mm (Stream, VDrive). Utiliza sistemas NTFS http://www.vsantivirus.com/stream-a.htm W32/Press (Win32.HIV). ¿Moda de virus auto-actualizables? http://www.vsantivirus.com/press.htm Virus: Win32.HIV. Nuevas técnicas y constante actualización http://www.vsantivirus.com/hiv.htm * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [nombre al azar] = rundll32 [camino y nombre del DLL], [opciones] 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1183 Año 7, Viernes 3 de octubre de 2003