Mostrando mensaje 204     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1155 Año 7, Viernes 5 de setiembre de 2003 Fecha: Viernes, 5 de Septiembre, 2003  06:31:14 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1155 Año 7, Viernes 5 de setiembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Prisión para delitos informáticos 2 - El Blaster tuvo parte de la culpa por el gran apagón 3 - W32/Neroma.A. Simula una imagen del 11/set 4 - W32/Raleka.C. Utiliza la vulnerabilidad RPC/DCOM _____________________________________________________________ 1 - Prisión para delitos informáticos _____________________________________________________________ http://www.vsantivirus.com/fdc-prision.htm Prisión para delitos informáticos Por Fernando de la Cuadra (*) Fdelacuadra@pandasoftware.com Los Ministros de Justicia de los 15 países miembros de la Unión Europea han acordado introducir cambios en sus respectivas legislaciones para castigar con penas de cárcel a los autores de delitos informáticos. Su decisión puede tener muchas más implicaciones de las que se perciben a simple vista. Hay muchos tipos distintos de delitos que pueden cometerse con un ordenador, y cada uno de ellos puede verse desde muy distintas perspectivas. Por ejemplo, pretende lucharse contra los ataques "a la integridad de sistemas de información o de bases de datos cuando provocan intencionadamente una perturbación grave o una interrupción del mismo". Es decir, cuando alguien consigue acceso a un sistema y lo manipula hasta afectar a su funcionamiento. En principio, tal vez sería muy deseable que las personas que lleven a cabo estas acciones acaben con sus huesos en la cárcel pero, aunque yo sé muy poco de Derecho, para que la justicia haga que alguien entre en prisión necesita un elemento básico: el sujeto a quien encarcelar. Y si no se puede identificar al autor del ataque, difícilmente se le va a poder encarcelar. Cuando un hacker quiere entrar en otro ordenador para robar información, no se identifica. Sería como si un ladrón entrara en el banco y dijera "Hola, soy yo, mi identificación es ésta. Vengo a robarles todo el dinero". Por eso, un hacker intentará ocultar sus acciones de muchas maneras distintas: desde la más sencilla, como puede ser la utilización de un cibercafé, hasta utilizando troyanos e inicios de sesión en ordenadores sin una protección adecuada. Conseguir detectar desde dónde está efectuándose un ataque es una tarea muy compleja, y mucho más si tenemos en cuenta que numerosos países no aplican medidas de seguimiento en los ISP ni en las operadoras telefónicas. Es más, en muchos países hay conexiones a Internet gratuitas con usuarios anónimos que, además, permiten ocultar el número desde el que la llamada se efectúa. En definitiva, una persona podría efectuar una llamada telefónica para conectarse a Internet sin peligro de que nadie sepa desde dónde llama o quién es. Pero aún es más fácil buscar en Internet algún ordenador desprotegido contra intrusiones (es decir, sin antivirus ni firewall personal). Una vez encontrada esa máquina, bastaría con buscar un puerto abierto e iniciar una sesión en él. Desde ese momento cualquier tipo de ataque parecería haber sido lanzado desde ese ordenador. Desde luego, es una buena razón para no olvidar tener activado un firewall personal mientras dure la conexión a Internet. Otro de los delitos a castigar es la difusión de virus, lo que me sorprende, si cabe, aún más que en el caso anterior. Todos los usuarios de ordenadores son distribuidores de virus en potencia ya que, en cuanto un ordenador resulta infectado, el código malicioso de difunde por sí mismo. Evidentemente, a quien busca la Unión Europea es a la persona que pone en marcha el virus, es decir, al primer desalmado que, a propósito, ha empezado a distribuirlo y ha causado las primeras infecciones. Pero eso es algo tan fácil como lanzarlo desde un cibercafé o desde una página web gratuita, o incluso desde un grupo de noticias USENET. Pero hay que tener en cuenta que ese primer difusor de virus puede que no sea más que un niño de 14 años deseando experimentar. Esto nos lleva a la conclusión de que el verdadero culpable es la persona que ha desarrollado el código, es decir, el creador del virus. Sobre él debería caer todo el peso de la ley. El problema es que también tienen sus armas para defenderse con la legislación actual. Si yo soy chileno, creo un virus, lo pongo en una página web en un dominio ".TV" -que está alojado en un servidor japonés- y un chaval europeo lo utiliza para infectar, ¿quién es el culpable? ¿Qué dice la legislación chilena? ¿Y la de Tuvalu, que es a quien teóricamente pertenece el dominio? Y el gobierno japonés, ¿cómo contempla este problema? ¿Va a ser, al final, la Unión Europea la que haga que encarcelen a uno de sus ciudadanos? Y sin contar con que, en el mejor de los casos (cuando todo el proceso sea llevado a cabo en la Unión Europea), el creador del virus no haya puesto en su página web el mensaje: "Declino toda responsabilidad por el mal uso que los usuarios hagan de este código, colocado aquí únicamente para su estudio", que le eximirá de toda culpa. Aunque la ley castigue a los delincuentes, estos seguirán actuando, y son muchos. Por ello, lo mejor es proteger nuestro ordenador con un buen antivirus y con un firewall personal, y a seguir disfrutando de Internet. (*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - El Blaster tuvo parte de la culpa por el gran apagón _____________________________________________________________ http://www.vsantivirus.com/ev-blaster-apagon.htm El Blaster tuvo parte de la culpa por el gran apagón Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Después de todo, el Blaster (Lovsan), ayudó a provocar el efecto cascada que el pasado 14 de agosto dejó a oscuras durante varias horas, a varios estados norteamericanos y parte de Canadá, además de entorpecer las tareas para restaurar la electricidad en la región de Nueva York. El Blaster (o Lovsan), finalmente podría haber contribuido en aumentar el "efecto cascada" que provocó el gran apagón del pasado 14 de agosto en los Estados Unidos, según revelaron expertos gubernamentales y de la industria, esta semana. El día del apagón, el Blaster disminuyó el desempeño de varias líneas de comunicaciones, entorpeciendo el flujo de datos entre los centros claves utilizados por las compañías de servicio público para manejar la distribución de la energía, según confirmaron las fuentes. "No afectó el control de los sistemas internamente, pero si afectó el tiempo de transferencia de los datos que se reciben de otras redes", dijo Gary Seifert, un investigador del departamento de Energía del gobierno de los EE.UU, refiriéndose al flujo de los datos de control usados para equilibrar las cargas, los que se transmiten por las redes públicas de telecomunicaciones. "Ciertamente fue parte de los problemas", estando relacionado con la congestión de las conexiones claves utilizadas por los servicios para coordinar las acciones tomadas durante esta contingencia, agregó Seifert. La incapacidad de cambiar rápidamente ciertos datos de control considerados críticos a través de la red de distribución, podría haber obstaculizado la habilidad de los operadores para prevenir el efecto cascada, dijo Seifert, aclarando sin embargo, que se ignora aún que fue lo que ocasionó realmente el gran apagón. Un consejero de seguridad del gobierno de Bush, consultado anteriormente, dijo que el gusano Blaster, entorpeció también la habilidad para restaurar más rápidamente la energía en la región de Nueva York, porque muchas de esas compañías corrían sistemas de control basados en Windows, con el puerto 135 abierto, el puerto usado por el gusano para atacar a los sistemas. Algunas compañías de servicio comentaron en cambio, que no habían sido afectadas adversamente. Carol Murphy, vicepresidente de asuntos de gobierno en New York Independent System Operator, reconoció que el Blaster afectó el servicio, pero dijo que el problema se controló rápidamente, sin que tuviera mayor impacto sobre las operaciones de restauración de la energía. Joe Petta, un portavoz de la compañía Edison de Nueva York, dijo que no había existido problema alguno relacionado con las computadoras durante los trabajos de restauración. Los sistemas de control a los que se refiere Seifert al principio, son los que se utilizan para el control y adquisición de datos (SCADA), empleados en el manejo de grandes operaciones industriales, tales como las redes de distribución de gas natural y de energía eléctrica. Estos sistemas generalmente están basados en Windows 2000, o incluso XP, y se valen de las conexiones comerciales de transferencia de datos, incluyendo Internet y sistemas inalámbricos, para el intercambio de información. Para Scott Charney, estratega principal de la seguridad en Microsoft, el Blaster afectó la seguridad y el rendimiento de toda la red, y por lo tanto no habría ninguna diferencia en como pudo afectar a la industria de la energía eléctrica. Joe Weiss, un perito de sistemas de control de California, dijo que en el caso del Blaster, la distribución de la energía cayó como víctima de un gusano que atacó la infraestructura de las comunicaciones. Sin embargo, los sistemas de control en sí mismos, también están en riesgo. Hace unas semanas, se anunció que en el pasado mes de enero, el gusano Slammer afectó el control en tiempo real de "varias" compañías de servicios en todos los Estados Unidos. Una de esas compañías era Akron, de FirstEnergy, en Ohio. Aunque FirstEnergy haya dicho públicamente que el Slammer no infectó ninguno de los sistemas de control de su central nuclear en Oak Harbor, hay fuentes que afirman que el gusano causó interrupciones en el servicio de control. Por fortuna, en ese momento la planta estaba en un periodo de enfriamiento por mantenimiento. "Como el Slammer no causó ninguna interrupción en la distribución de energía, los servicios que se infectaron no informaron nada al respecto", dijo un ejecutivo de la industria. Un portavoz de la comisión NERC (North American Electric Reliability Council), que ayuda a encabezar un grupo de tareas para estudiar las causas del apagón del pasado mes, declinaron hacer comentarios sobre el papel que el Blaster pudo haber jugado. En cambio, un informe del NERC con fecha 20 de junio de 2003, expone que el gusano Slammer si tuvo un impacto significativo en algunos servicios públicos. En uno de esos casos, un servidor de una red de control que ejecuta SQL Server de Microsoft, se infectó por no estar parchado (como en el caso del Blaster, el parche para la vulnerabilidad que facilitó la distribución del Slammer, estaba disponible desde mucho tiempo antes). El gusano aparentemente se distribuyó por las redes corporativas, hasta alcanzar la crítica red de control y adquisición de datos (SCADA), desde una computadora remota conectada a través de una conexión VPN. VPN es una red privada que protege, mediante un proceso de encapsulación y en ocasiones de encriptación, los paquetes de datos enviados a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte. Las VPN pueden enlazar oficinas corporativas entre ellas, con usuarios móviles, etc. Cómo resultado, la propagación del gusano bloqueó el tráfico de control de SCADA. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=274 * Relacionados: Después de todo, es un simple gusano... http://www.vsantivirus.com/apagon14-08-03.htm Preguntas frecuentes sobre el Lovsan (Blaster) http://www.vsantivirus.com/faq-lovsan.htm Cuando un virus puso en peligro a la humanidad http://www.vsantivirus.com/lz-nuclear.htm W32/SQLSlammer. El culpable del mayor ataque a Internet http://www.vsantivirus.com/sqlslammer.htm Las preguntas que usted se hace sobre el W32/SQLSlammer http://www.vsantivirus.com/sqlslammer-faq.htm Estados Unidos Bajo Ataque D.D.O.S Masivo http://www.vsantivirus.com/ataque-puerto1434.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Neroma.A. Simula una imagen del 11/set _____________________________________________________________ http://www.vsantivirus.com/neroma-a.htm Nombre: W32/Neroma.A Tipo: Gusano de Internet Alias: W32.Neroma@mm, W32/Neroma@MM, Win32/Neroma.A, W32/Generic.a@MM, WORM_NEROMA.A, I-Worm.Nearby, Worm/Icebut.A2, W32.NEROMA@MM, Worm.Win32.Maro.5632 Fecha: 3/set/03 Plataforma: Windows 32-bit Tamaño: 5,632 bytes Este gusano de envío masivo, escrito en Microsoft Visual Basic 6, y comprimido con la utilidad UPX, se aprovecha de la conmemoración de un nuevo aniversario del 911 (11/set), y la caída de las torres gemelas del World Trade Center (11 de setiembre de 2001) como señuelo para propagarse. Se envía a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, en un mensaje con estas características: Asunto: It's Near 911! Datos adjuntos: 911.jpg (nerosys.exe) Texto: ice butt baby! En el texto faltaría una "N" (Nice butt baby!). El nombre mostrado como archivo adjunto es 911.JPG (en realidad es NEROSYS.EXE), y ello lo logra modificando la etiqueta del adjunto en las propiedades del mensaje (jamás abra adjuntos no solicitados, ni aún cuando parezca ser una inocente imagen). Cuando el usuario hace doble clic sobre el adjunto, el gusano se copia en la siguiente ubicación: c:\windows\nerosys.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Luego, intenta enviarse a toda la libreta de direcciones del Outlook y Outlook Express en un mensaje idéntico al ya visto. En Windows NT, 2000 y XP, crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon shell = Explorer.exe Nerosys.exe En Windows 95, 98 y Me, crea la siguiente entrada en el archivo SYSTEM.INI para ejecutarse cada vez que se reinicia Windows: [boot] shell = Explorer.exe nerosys.exe * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\nerosys.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro (Windows NT, 2000 y XP) 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 3. Pinche en la carpeta "Winlogon" y borre la siguiente entrada en la ventana de la derecha: shell = Explorer.exe Nerosys.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Editar el archivo SYSTEM.INI (Windows 95, 98 y Me) 1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 2. Busque lo siguiente: [boot] shell = Explorer.exe nerosys.exe y déjelo así: [boot] shell = Explorer.exe 3. Grabe los cambios y salga del bloc de notas 4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Raleka.C. Utiliza la vulnerabilidad RPC/DCOM _____________________________________________________________ http://www.vsantivirus.com/raleka-c.htm Nombre: W32/Raleka.C Tipo: Gusano de Internet Alias: Raleka.C, Worm.Win32.Raleka.C, W32/Raleka.C, W32/Raleka.C.worm, WORM_RALEKA.C, W32/Raleka.worm.C, Win32/Raleka.C Fecha: 1/set/03 Plataforma: Windows 32-bit Tamaño: 14,880 bytes Este gusano, de origen español, se vale de la vulnerabilidad RPC/DCOM que también hizo posible la propagación de gusanos como el Lovsan (Blaster). Es idéntico a la versión "A", salvo la dirección de actualización utilizada. Cuando el gusano se ejecuta, intenta descargar sus archivos de un determinado sitio de Internet. Los archivos son: ntrootkit.exe ntrootkit.reg svchost32.exe Son copiados en la siguiente ubicación: c:\windows\system32\ntrootkit.exe c:\windows\system32\ntrootkit.reg c:\windows\system32\svchost32.exe SVCHOST32.EXE es una copia del gusano propiamente dicho, y los demás, son parte de una herramienta identificada por algunos antivirus como NTRootkit o una variante. Más información: NTRootkit. Peligrosa herramienta de "ocultamiento" http://www.vsantivirus.com/ntrootkit.htm Luego ejecuta a NTROOTKIT.EXE y procede a crear la siguiente entrada del registro, copiándola de NTROOTKIT.REG: HKCU\Software\Microsoft\Windows NT\CurrentVersion \AppCompatFlags\Layers\%systemroot%\system32 \ntrootkit.exe = WIN2000 El gusano utiliza su propio cliente IRC incorporado como parte de su código, para conectarse a alguno de los siguientes servidores de chat por el puerto 6667: irc.aol.com irc.banetele.no irc.blessed.net irc.chung.li irc.csbnet.se irc.daxnet.no irc.desync.com irc.homelien.no irc.inet.tele.dk irc.inter.net.il irc.ipv6.homelien.no irc.ircsoulz.net irc.isdnet.fr irc.isprime.com irc.limelight.us irc.mindspring.com irc.mpls.ca irc.nac.net irc.prison.net irc.red-latina.org irc.secsup.org irc.servercentral.net linux.us.amiganet.org Si tiene éxito, se conecta a un canal determinado (#atolondra0). Una vez conectado, el gusano funciona como un IRC Bot (copia de un usuario en un canal de IRC, generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota). De ese modo es capaz de ejecutar cualquiera de los siguientes comandos: º Listar y matar procesos en memoria º Obtener información del sistema º Ejecutar un archivo º Descargar un parche para Windows XP en español El parche es para la versión en español únicamente (ese parece ser el origen del gusano). El gusano también emite la orden para descargar los archivos SVCHOST32.EXE, NTROOTKIT.EXE y NTROOTKIT.REG, desde la computadora "atacante", en lugar de la dirección IP mencionada antes. Finalmente, guarda la dirección IP de la víctima en el archivo RPCSS.INI de la máquina atacante: c:\windows\system32\rpcss.ini La carpeta "System32" se localiza en C:\Windows (Windows XP) o en C:\WinNT (Windows NT y 2000), por defecto. El gusano escanea por el puerto TCP/135, en busca de máquinas vulnerables al desbordamiento de búfer en el protocolo RPC (vulnerabilidad RPC/DCOM explicado en el boletín MS03-026 de Microsoft). Las direcciones IP para la búsqueda, son generadas automáticamente. Si encuentra máquinas vulnerables, ejecuta el exploit que le permite abrir un shell remoto (un SHELL es un intérprete de comandos que interpreta y activa los comandos o utilidades introducidos por el usuario). Desde el shell, construye y ejecuta un archivo llamado DOWN.COM, detectado como el troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A, Troj/RtKit-11, según cada fabricante de antivirus). Ver: Troj/Ntrtkit.A. Troyano liberado por W32/Raleka http://www.vsantivirus.com/ntrtkit-a.htm Aún cuando un antivirus detecte y elimine este gusano, mientras no se haya instalado el parche mencionado en dicho boletín, la computadora seguirá vulnerable al ataque de desbordamiento de búfer desde otras máquinas infectadas. Cuando estos paquetes son recibidos por cualquier sistema sin el parche, provocarán la caída del servicio RPC, sin necesidad de que el gusano esté presente o no en la máquina. Aplicando el parche, se previene la falla en este servicio. El sistema debe ser reiniciado luego de su instalación. * IMPORTANTE Además del procedimiento de limpieza referido a continuación, se deberá eliminar también el troyano creado por el gusano. Más información: Troj/Ntrtkit.A. Troyano liberado por W32/Raleka http://www.vsantivirus.com/ntrtkit-a.htm * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Detener el servicio 1. Desde Inicio, Ejecutar, escriba CMD y pulse Enter 2. En la línea de comandos, escriba lo siguiente más Enter: NET STOP "Remote_Procedure_Call" Un mensaje deberá indicarle que el servicio se ha detenido satisfactoriamente. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\ntrootkit.exe c:\windows\system32\ntrootkit.reg c:\windows\system32\rpcss.ini c:\windows\system32\svchost32.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSetServices \svchost 3. Pinche en la carpeta "svchost" y bórrela. 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Vulnerabilidad en RPC (Remote Procedure Call) Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP. Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC). Descargue y ejecute el parche correspondiente (MS03-026) desde el siguiente enlace: Vulnerabilidad RPC/DCOM: MS03-026 http://www.vsantivirus.com/vulms03-026-027-028.htm * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1155 Año 7, Viernes 5 de setiembre de 2003