Mostrando mensaje 237     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1188 Año 7, Miércoles 8 de octubre de 2003 Fecha: Miercoles, 8 de Octubre, 2003  04:00:47 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1188 Año 7, Miércoles 8 de octubre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Sistemas de firma y responsabilidad de los usuarios 2 - Microsoft deberá modificar IE drásticamente 3 - Troj/Backdoor.IRCBot.B. Acceso remoto vía IRC 4 - Troj/Backdoor.SDBot.Q. Troyano de acceso remoto 5 - W32/Spacemark.A. Gusano que se copia en todos los discos 6 - W32/Syney.B. Borra archivos de Norton _____________________________________________________________ 1 - Sistemas de firma y responsabilidad de los usuarios _____________________________________________________________ http://www.vsantivirus.com/fdc-firma-usuarios.htm Sistemas de firma y responsabilidad de los usuarios Por Fernando de la Cuadra (*) Fdelacuadra@pandasoftware.com En los últimos tiempos estamos asistiendo a la popularización de sistemas de cifrado de correo electrónico y de firma digital para el envío de información cuya autenticidad necesite verificarse. Y también sufrimos una oleada de ataques víricos de todo tipo, que pueden comprometer seriamente los mecanismos de verificación de la integridad de la información. En principio, un sistema de firma digital consiste en establecer un mecanismo mediante el cual se permita al receptor de los datos firmados comprobar que el mensaje ha llegado íntegro desde que el emisor generó el mensaje. Las consecuencias de este sistema son muchas, ya que permiten a los dos actores del proceso de la comunicación tener la certeza de que los datos son tal y como deben ser, sin que ningún intruso haya modificado ni un solo bit. Los gobiernos de muchos países están empezando a implantar sistemas de firma digital para acelerar procesos administrativos. Así, una gestión que podría exigir la presencia física del interesado en las oficinas para una comprobación de la identidad, puede quedar sustituido por el envío de un correo electrónico con una firma digital emitida por una entidad certificadora. Tanto el emisor como el receptor podrán operar con la misma confianza que ofrece la verificación de identidad física. Desde hace años, la Unión Europea se encuentra en un proceso de reglamentación y armonización de sistemas de firma digital entre sus miembros. Aunque haya países que ya tengan establecidos procesos y leyes para la creación de firmas digitales, otros no los tienen o los han establecido en direcciones diferentes. Es de esperar que, en poco tiempo, la firma digital de un ciudadano de alguno de los países de la Unión sea válida en el resto de los miembros. Pero por mucho que se haya establecido una firma digital paneuropea, o suponiendo que en el futuro (quizá no muy lejano) la firma digital sea válida en cualquier país del mundo, los usuarios que hagan uso de sistemas de verificación electrónicos deberán emplear sistemas que garanticen la seguridad de sus datos más allá de la certificación digital. Como principio básico de los sistemas de firma, cuando un mensaje es firmado, el usuario se vuelve responsable de la información que va dentro del mensaje. Está garantizando que él, y solamente él, ha generado el mensaje, y garantiza al receptor su integridad. Si ese mensaje, por cualquier causa, contiene cualquier tipo de código malicioso, el emisor está responsabilizándose de la difusión del código. Y, así mismo, el receptor puede tener la completa seguridad de que el usuario que ha generado la comunicación lo ha hecho con un virus o gusano. La utilización de la firma digital hace necesario que los usuarios tengan en cuenta que una mala protección antivirus puede dar al traste con el objetivo original de la firma: el conseguir una comunicación segura. Si el deseo de establecer canales de comunicación seguros no va acompañado de un interés mínimo en la lucha contra los virus, cualquier sistema de firma quedará reducido a un mero esfuerzo perdido por parte de los ciudadanos y de las entidades certificadoras, que verán como su trabajo es inútil por el mal uso de los ordenadores e Internet. Y a todos estos problemas podemos añadir otro más, que es el de la detección de los virus en sistemas ajenos a los empleados por el receptor y el emisor de la información. Cuando un usuario firma un mensaje que contiene un virus, también certifica la integridad del virus que contiene el mensaje. En el momento que algún servidor disponga de un antivirus y elimine el virus, la firma de ese mensaje quedará invalidada: el mensaje ha sido modificado en algún momento de su trayecto por Internet, con lo que el receptor podrá repudiar el mensaje. Y el repudio se producirá precisamente porque el mensaje es más seguro ahora que cuando fue emitido, la modificación se ha llevado a cabo para eliminar el virus, no para alterar en modo alguno el resto de la información que contenía. Evidentemente, este caso supone una alteración muy grande de los objetivos iniciales de los sistemas de firma. A este problema debemos añadir otro que también se está implantando cada vez más en los usuarios deseosos de comunicaciones seguras: los sistema de cifrado de la información. Estos sistemas se encargan de cifrar el contenido del mensaje emitido, de manera que ninguna persona o proceso ajeno al receptor y emisor puedan averiguar el contenido de la comunicación. Si nadie puede averiguar qué contiene la información, se asegura un grado muy elevado de intimidad en ella, por lo que su seguridad es muy, muy elevada (dependiendo de los sistemas de cifrado que se utilicen, la longitud de la clave, etc.). Pero, a la vez, este mismo sistema está volviendo el mensaje totalmente opaco a los antivirus. Si un antivirus fuera capaz de analizar ese mensaje cifrado, significaría que el sistema está violando el sistema de seguridad. Y si lo puede hacer un antivirus, ¿no podría un extraño hacerlo? Evidentemente, los antivirus no son capaces de detectar nada en un mensaje cifrado, aparte de la remota posibilidad de que, como resultado del proceso de cifra, se produzca una falsa detección. Sin embargo, se trata de una posibilidad muy remota debido a los avanzados sistemas de detección que incorporan hoy en día los sistemas de prevención de código malicioso, que han reducido a prácticamente cero las falsas alarmas. Con todo lo expuesto anteriormente queda claro que los usuarios responsables, los internautas deseosos de garantizar la integridad de sus mensajes no solamente deben preocuparse por la firma y el cifrado de sus comunicaciones. Además deben evitar por todos los medios la entrada de cualquier virus o código malicioso que pueda enturbiar el proceso. En definitiva, la instalación de un software antivirus no solamente debe concebirse como un sistema de prevención de la destrucción de los datos, sino como un complemento básico a la hora de firmar y / o cifrar los datos enviados, ya que es la única manera de poder disfrutar de los servicios de certificación electrónica con todas las garantías. (*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Microsoft deberá modificar IE drásticamente _____________________________________________________________ http://www.vsantivirus.com/dt08-10-03.htm Microsoft deberá modificar Internet Explorer drásticamente Fuente: diarioti.com (*) http://www.diarioti.com/ A comienzos de 2004, los usuarios de Internet serán recibidos por un cuadro de diálogo especial cada vez que visiten un sitio provisto de objetos de ActiveX. Tal es el resultado de la derrota de Microsoft en su litigio con Eolas. El pleito entre Microsoft y Eolas Technologies tendrá consecuencias concretas para los diseñadores profesionales de sitios web y los usuarios de Internet. La derrota sufrida por Microsoft en los tribunales ha obligado al gigante informático a realizar cambios en el navegador Internet Explorer. Los cambios implican que, a futuro, el usuario será recibido por un cuadro de diálogo cada vez que visite un sitio que use ActiveX. Esto hará necesario que el usuario haga clic en un botón de aceptación cada vez que desee ejecutar el objeto ActiveX en cuestión. Eolas Technologies tiene patentado un método de distribución de hipermedia, que automáticamente invoca a software externo que puede proporcionar interactividad y mostrar objetos incrustados en el documento de hipermedia. El propósito del botón de aceptación (ver ilustración en http://www.vsantivirus.com/dt08-10-03.htm) será que el procedimiento escape a la definición de "automático". En un extenso documento, Microsoft informa que es posible evitar el cuadro de diálogo modificando el código del sitio web. Sin embargo, tal posibilidad implicaría cambiar el código de millones de sitios web que usan funcionalidad de ActiveX. Esto se aplica, entre otros, a los sitios que usan populares aplicaciones como Macromedia Flash, Apple QuickTime, RealNetworks RealOne, Acrobat Reader o Windows Media Player. La nueva versión modificada de Internet Explorer ya puede ser descargada en versión beta desde el sitio de Microsoft. A comienzos de 2004, el programa será distribuido con nuevos PCs y con las versiones en caja de Windows XP. Posteriormente, Microsoft distribuirá una actualización que realizará los cambios necesarios en las instalaciones existentes de IE. * Artículo relacionado: Microsoft deberá modificar Internet Explorer http://www.diarioti.com/gate/n.php?id=4002 * Enlaces de interés: www.microsoft.com (*) Este artículo fue publicado originalmente en DiarioTI, y se reproduce en VSAntivirus respetando las condiciones legales exigidas por dicha publicación: http://www.diarioti.com/gate/legal.php (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Backdoor.IRCBot.B. Acceso remoto vía IRC _____________________________________________________________ http://www.vsantivirus.com/back-ircbot-b.htm Nombre: Troj/Backdoor.IRCBot.B Tipo: Caballo de Troya de acceso remoto Alias: IRCBot, Win32.SdBot.18976, Backdoor/SdBot.Server, Troj/Ircbot-M, W32.IRCBot.B, BDS/IRCBot.Gen, W32/Sdbot.worm.gen, Backdoor.IRCBot.gen, IRCBot.D, Bck/IRCBot.D Fecha: 7/oct/03 Plataforma: Windows 32-bit Tamaño: 18,976 bytes (UPX) Puerto: 31337 Troyano escrito en C++ y comprimido con la herramienta UPX. Se trata de una variante de la familia SDBot.gen, que ha sido distribuido vía correo electrónico, como spam, pero que no posee rutina propia de propagación vía e-mail. En cambio, si puede distribuirse por canales de IRC. El mensaje utilizado, tiene las siguientes características: De: updates@symantec.com Asunto: Last Update. Texto: October 06, 2003 Intruder Alert 4.1 W32_Webb_Worm Policy This policy detects the propagation of the W32.SobigF.Worm through changes in the registry. W32.Webb.F@mm is a mass-mailing, network-aware worm that sends itself to all the email addresses it finds in various files. The worm uses its own SMTP engine to propagate and attempts to create a copy of itself on accessible network shares, but fails due to bugs in the code. In attachment you can find program that update your Norton Antivirus to Norton Antivirus 2004. ---- Datos adjuntos: nav32.zip El adjunto contiene un archivo nav32.exe. La dirección del remitente, y el propio mensaje, son falsos. Ni Symantec ni ningún fabricante de antivirus, ni cualquier otra compañía responsable, le enviaría un adjunto no solicitado, y mucho menos con una actualización de sus productos. Cuando se ejecuta, examina si existe y luego crea en memoria el siguiente mutex (una especie de indicador o semáforo), que le sirve para no ejecutarse más de una vez en forma simultánea: sdafoij[oetr4fdgdf También crea una copia de si mismo en la siguiente ubicación: c:\windows\system\RPCX1sq23.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). También crea las siguientes entradas en el registro, para autoejecutarse cada vez que Windows se reinicia: HKLM\Software\Microsoft\Windows\CurrentVersion\Run windowsupdate = RPCX1sq23.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices windowsupdate = RPCX1sq23.exe Como otros troyanos de la familia SDBot, éste se conecta a un sitio específico (itc.ourmoney.pp.ruz), a través del puerto 31337 para anunciar su presencia. Si el anuncio es exitoso, queda a la espera de comandos de un usuario remoto, el cuál podrá realizar algunas de las siguientes acciones en la computadora infectada: º Administrar la instalación del propio troyano º Borrar archivos º Cambiar el puerto de escucha º Dar por finalizado un thread (hilo) º Descargar una versión actualizada º Distribuirse por canales de IRC º Ejecutar ataques de denegación de servicio º Ejecutar un programa º Enviar datos de la configuración de red º Enviar información del sistema º Escanear puertos º Finalizar un proceso º Listar procesos º Redireccionar paquetes de datos º Redireccionar puertos º Unirse a un canal de IRC específico º Visitar un sitio web * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados: c:\windows\system\RPCX1sq23.exe Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: windowsupdate = RPCX1sq23.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: windowsupdate = RPCX1sq23.exe 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Backdoor.SDBot.Q. Troyano de acceso remoto _____________________________________________________________ http://www.vsantivirus.com/back-sdbot-q.htm Nombre: Troj/Backdoor.SDBot.Q Tipo: Caballo de Troya de acceso remoto Alias: Backdoor.SDBot.Q Fecha: 7/oct/03 Plataforma: Windows 32-bit Tamaño: 20 Kb Caballo de Troya con puerta trasera (backdoor), que permite que un usuario remoto controle la computadora infectada, a través de un servidor de IRC. El ejecutable está comprimido con la utilidad Petite. La existencia de un archivo WINZ32.EXE puede ser la indicación de una posible infección. Cuando el troyano se ejecuta, intenta conectarse a un servidor de IRC (Internet Relay Chat), quedando a la espera de las instrucciones del intruso. También crea una copia de si mismo en la siguiente carpeta: c:\windows\system\winz32.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). También crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run INTERNET_SERVISES = winz32.exe Note que el nombre es "SERVISES" y no "SERVICES". Luego se conecta al siguiente servidor de IRC, para unirse a un determinado canal y aguardar las instrucciones remotas: greenz.dyn.nu Algunas de las posibles acciones: º Abrir o cerrar la bandeja del CD-Rom º Administrar el propio backdoor º Agregar archivos en las carpetas compartidas de las aplicaciones P2P como KaZaA, Grokster y Bearshare, utilizando una extensa lista de nombres º Controlar el cliente IRC en la máquina infectada º Descargar y ejecutar archivos º Enviar información del sistema y de la red º Iniciar o finalizar cualquier proceso, de una extensa lista de conocidos antivirus y otras aplicaciones de seguridad º Propagarse a través de varios clientes de mensajería instantánea, como MSN Messenger (Windows Messenger), Yahoo IM, y AOL IM º Realizar ataques de denegación de servicio (DoS), a determinados blancos º Robar archivos de FlashFXP (cliente de FTP) * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados: c:\windows\system\winz32.exe Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: INTERNET_SERVISES = winz32.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Spacemark.A. Gusano que se copia en todos los discos _____________________________________________________________ http://www.vsantivirus.com/spacemark-a.htm Nombre: W32/Spacemark.A Tipo: Gusano Alias: Spacemark, W32.Spacemark Fecha: 5/oct/03 Plataforma: Windows 32-bit Tamaño: 32,768 bytes Reportado por: Symantec Este gusano, escrito en Visual Basic, se copia a si mismo en los discos locales, y en todas las unidades de red mapeadas, utilizando diferentes nombres. Crea también la siguiente entrada en el registro de Windows: HKLM\Software\Microsoft\Windows \CurrentVersion\Anti Virus and Firewall MyApp = [nombre del ejecutable] Además intenta copiarse en las siguientes ubicaciones (las que existan de esta lista), con los siguientes nombres: a:\ntuser3.exe b:\ntuser3.exe c:\documents and settings\all users\start menu\programs\startup\1.exe c:\documents and settings\all users\start menu\programs\startup\2.exe c:\documents and settings\all users\start menu\programs\startup\3.exe c:\documents and settings\all users\start menu\programs\startup\4.exe c:\documents and settings\all users\start menu\programs\startup\5.exe c:\documents and settings\all users\start menu\programs\startup\networker.bat c:\documents and settings\all users\start menu\programs\startup\network.exe c:\documents and settings\all users\start menu\programs\startup\screen saver.scr c:\documents and settings\all users\start menu\programs\startup\windows.pif c:\documents and settings\all users\start menu\programs\system.pif c:\ntuser3.dat c:\windows\ntuser3.dat c:\windows\start menu\programs\startup\1.exe c:\windows\start menu\programs\startup\2.exe c:\windows\start menu\programs\startup\3.exe c:\windows\start menu\programs\startup\4.exe c:\windows\start menu\programs\startup\5.exe c:\windows\start menu\programs\startup\network.exe c:\windows\start menu\programs\startup\networker.bat c:\windows\start menu\programs\startup\screen saver.scr c:\windows\start menu\programs\startup\windows.pif c:\windows\start menu\programs\system.pif c:\windows\system32\324rfdgv.pif c:\windows\system32\345tte.pif c:\windows\system32\4354rfreg.pif c:\windows\system32\4364754ygh.pif c:\windows\system32\43rte453.pif c:\windows\system32\43tdrg.pif c:\windows\system32\45tgfgdfg.pif c:\windows\system32\543drt.pif c:\windows\system32\a.pif c:\windows\system32\defuly screensaver.scr c:\windows\system32\defuly.scr c:\windows\system32\dfgfhhhhh.pif c:\windows\system32\email me.pif c:\windows\system32\erte564t.pif c:\windows\system32\fddgfsdf.pif c:\windows\system32\fdgfd.pif c:\windows\system32\fdsfdsre.pif c:\windows\system32\firewall.pif c:\windows\system32\gj676t.pif c:\windows\system32\hhhhhhggg.pif c:\windows\system32\infected.exe c:\windows\system32\internet explorer support.exe c:\windows\system32\msblast blocker.pif c:\windows\system32\msn messenger.exe c:\windows\system32\net work.pif c:\windows\system32\net worker.exe c:\windows\system32\net worker.pif c:\windows\system32\net worker.scr c:\windows\system32\new games.pif c:\windows\system32\please email me.pif c:\windows\system32\ret5476yhg.pif c:\windows\system32\retr5436.pif c:\windows\system32\rsfdfsddfff.pif c:\windows\system32\sasad.pif c:\windows\system32\send this file.pif c:\windows\system32\send.pif c:\windows\system32\windows system file.pif c\ntuser3.exe d:\ntuser3.exe e:\ntuser3.exe f:\ntuser3.exe g:\ntuser3.exe h:\ntuser3.exe i:\ntuser3.exe j:\ntuser3.exe k:\ntuser3.exe l:\ntuser3.exe m:\ntuser3.exe n:\ntuser3.exe o:\ntuser3.exe p:\ntuser3.exe q:\ntuser3.exe r:\ntuser3.exe s:\ntuser3.exe t:\ntuser3.exe u:\ntuser3.exe v:\ntuser3.exe w:\ntuser3.exe x:\ntuser3.exe y:\ntuser3.exe z:\ntuser3.exe Además, se copia a si mismo en el directorio actual (donde se encuentra al ejecutarse) y en la siguiente carpeta, con uno o más de los nombres que se indican más abajo: c:\documents and settings\mark\my documents\shared\ Nombres: 1.exe 1.pif 1.scr chris me bom boy.exe data.pif die.exe happy screensaver.exe heavy k's advanced nick changer.exe homework.exe info.exe jim.exe lee is fat.exe msn plus v 4.exe my screensaver.scr new game.scr new program muse see.exe new project.exe new screensaver.scr oliver and chris.exe olivers gay pic.exe project1.exe No posee rutina de propagación por Internet, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargado de sitios maliciosos, o a través de redes P2P. * Reparación manual * Antivirus Para la limpieza de este gusano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Anti Virus and Firewall 3. Pinche en la carpeta "Anti Virus and Firewall" y bórrela. 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/Syney.B. Borra archivos de Norton _____________________________________________________________ http://www.vsantivirus.com/syney-b.htm Nombre: W32/Syney.B Tipo: Gusano de Internet Alias: W32.HLLW.Syney.B@mm Fecha: 4/oct/03 Plataforma: Windows 32-bit Tamaño: 1,130,496 bytes Reportado por: Symantec Este gusano se propaga en forma masiva por correo electrónico, y es capaz de borrar archivos del antivirus Norton de Symantec. Utiliza el Microsoft Outlook y Outlook Express para enviarse a si mismo a todos los contactos de la libreta de direcciones. El mensaje tiene estas características: Asunto: Fwd:None Texto: Do you want to suprise you wife or husband? Do you want to do something Romantic for them? Wanna find out how to get lucky Sydney has made this Awesome Document Attached. It tells men everything a Lady wants! And ladies you can add stuff onto it before forwarding it to all your freinds! Datos adjuntos: [uno de los siguientes] Me.exe Mes.exe Mess.exe Cuando se ejecuta, el gusano se copia a si mismo en la siguiente ubicación: c:\file12.exe Es capaz de borrar los siguientes archivos, de la carpeta "C:\Program Files\Common Files\Symantec Shared": \*.cat \*.dat \*.exp \*.inf \*.sys \*.txt \*.vxd \Livereg\*.cat \Livereg\*.dat \Livereg\*.exp \Livereg\*.inf \Livereg\*.sys \Livereg\*.txt \Livereg\*.vxd \Scriptblocking\*.cat \Scriptblocking\*.dat \Scriptblocking\*.exp \Scriptblocking\*.inf \Scriptblocking\*.sys \Scriptblocking\*.txt \Scriptblocking\*.vxd \Virusdefs\*.cat \Virusdefs\*.dat \Virusdefs\*.exp \Virusdefs\*.inf \Virusdefs\*.sys \Virusdefs\*.txt \Virusdefs\*.vxd \Virusdefs\20020227.005\*.cat \Virusdefs\20020227.005\*.dat \Virusdefs\20020227.005\*.exp \Virusdefs\20020227.005\*.inf \Virusdefs\20020227.005\*.sys \Virusdefs\20020227.005\*.txt \Virusdefs\20020227.005\*.vxd \Virusdefs\20030618.006\*.cat \Virusdefs\20030618.006\*.dat \Virusdefs\20030618.006\*.exp \Virusdefs\20030618.006\*.inf \Virusdefs\20030618.006\*.sys \Virusdefs\20030618.006\*.txt \Virusdefs\20030618.006\*.vxd * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1188 Año 7, Miércoles 8 de octubre de 2003