| Asunto: | VSantivirus No. 1189 Año 7, Jueves 9 de octubre de 2003 | | Fecha: | Jueves, 9 de Octubre, 2003 06:03:48 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1189 Año 7, Jueves 9 de octubre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Top 20 de Vulnerabilidades de Microsoft y Unix
2 - W32/Repsan.A. Se propaga por redes P2P
3 - Troj/Backdoor.Spigot.C. Troyano de acceso remoto
4 - W32/Gramos.A. Descarga al troyano "Ranck" (Proxy)
5 - Troj/Backdoor.Ranck.A. Convierte la PC en un proxy
_____________________________________________________________
1 - Top 20 de Vulnerabilidades de Microsoft y Unix
_____________________________________________________________
http://www.vsantivirus.com/sans20-oct03.htm
Top 20 de Vulnerabilidades de Microsoft y Unix
Fuente: www.GorilaX.com
El Top 20 de vulnerabilidades en sistemas operativos y
software de Microsoft y Linux publicado por SANS (SysAdmin
Audit Network Security), ha sido liberado el miércoles
pasado.
El Top 20 de vulnerabilidades en sistemas operativos y
software de Microsoft y Linux, del SANS, fue publicado por
primera vez hace tres años en colaboración con el Centro
Nacional de Infraestructura del FBI. Este Top 20 consiste en
dos tablas, una con las 10 vulnerabilidades más importantes
del SO y del software de Microsoft, y la otra con las 10
vulnerabilidades más importantes en los sistemas Unix.
"La lista definida por el SANS expone las 10 vulnerabilidades
más importantes de cada sistema utilizadas comúnmente por los
hackers para irrumpir en los sistemas", dijo Alan Paller,
director de investigación del instituto SANS, "... deben ser
tratados por los administradores de redes lo más rápidamente
posible." agregó.
La lista se piensa para dirigir a los administradores de
sistemas, en la comprobación de sus sistemas en busca de
software dañado. Cada descripción de las 20 vulnerabilidades
sugiere maneras de atenuar los riesgos que se asocian al
software inseguro particularmente.
SANS clasificó el Web Server de Microsoft, el software de
servicio informativo de Internet (IIS), como la causa
principal de vulnerabilidades en los sistemas de Windows.
Microsoft ha publicado las respectivas advertencias para más
de la mitad de los defectos en sus Web Server IIS el año
pasado. En mayo la compañía advirtió a los consumidores de 4
vulnerabilidades en el software. El pasado mes de noviembre
un grupo de investigadores de seguridad advirtió a la gran
compañía de software sobre otros errores en su Web Server. El
gusano Code Red, que se propagó extensamente entre julio y
agosto de 2001, utilizó un defecto en el servidor de
Microsoft para infectar miles de máquinas.
Por el lado de Unix, el Berkeley Internet Name Domain (BIND)
un software de domain name system (DNS), un programa
extensamente usado para hacer funcionar las bases de datos de
Internet que emparejan nombres de dominio con direcciones
numéricas, es el que más problemas ha presentado sobre esa
familia de sistemas operativos, que incluye las varias
versiones de Linux, Solaris de Sun Microsystems y AIX de IBM.
Varios defectos se le han encontrado al BIND en el transcurso
del año pasado. En marzo el Internet Software Consortium
liberó una nueva versión del software que corrigió los
agujeros de seguridad. Y en noviembre, los investigadores
establecieron claramente otro defecto en el software que tuvo
que ser remendado.
Otros defectos superiores en los sistemas de Microsoft
Windows, incluyeron los servicios del software de la base de
datos del SQL de Microsoft, que el gusano Slammer explotó, y
del acceso remoto de Windows tales como versión de Microsoft
del estándar Remote Procedure Call (RPC), un defecto que el
gusano MSBlast (Blaster o Lovsan), utilizó para propagarse
rápidamente a mediados de este año.
El Top de las vulnerabilidades del software basado en Unix,
incluye las fallas propias del servicio de RPC de los
sistemas así como de las instalaciones inseguras del Web
Server de Apache.
* El Top de las Vulnerabilidades de los Sistemas Microsoft
W1 Internet Information Services (IIS)
http://www.sans.org/top20/#w1
W2 Microsoft SQL Server (MSSQL)
http://www.sans.org/top20/#w2
W3 Windows Authentication
http://www.sans.org/top20/#w3
W4 Internet Explorer (IE)
http://www.sans.org/top20/#w4
W5 Windows Remote Access Services
http://www.sans.org/top20/#w5
W6 Microsoft Data Access Components (MDAC)
http://www.sans.org/top20/#w6
W7 Windows Scripting Host (WSH)
http://www.sans.org/top20/#w7
W8 Microsoft Outlook Outlook Express
http://www.sans.org/top20/#w8
W9 Windows Peer to Peer File Sharing (P2P)
http://www.sans.org/top20/#w9
W10 Simple Network Management Protocol (SNMP)
http://www.sans.org/top20/#w10
* Top de las Vulnerabilidades en sistemas Unix
U1 BIND Domain Name System
http://www.sans.org/top20/#u1
U2 Remote Procedure Calls (RPC)
http://www.sans.org/top20/#u2
U3 Apache Web Server
http://www.sans.org/top20/#u3
U4 General UNIX Authentication Accounts
with No Passwords or Weak Passwords
http://www.sans.org/top20/#u4
U5 Clear Text Services
http://www.sans.org/top20/#u5
U6 Sendmail
http://www.sans.org/top20/#u6
U7 Simple Network Management Protocol (SNMP)
http://www.sans.org/top20/#u7
U8 Secure Shell (SSH)
http://www.sans.org/top20/#u8
U9 Misconfiguration of Enterprise Services NIS/NFS
http://www.sans.org/top20/#u9
U10 Open Secure Sockets Layer (SSL)
http://www.sans.org/top20/#u10
By Zeus...
* Enlaces
Top 20 De Vulnerabilidades en Ingles
www.sans.org/top20/#threats
Articulo Original en Ingles...
zdnet.com.com/2100-1105_2-5088502.html
[Artículo publicado originalmente en
http://www.gorilax.com/articulo.php?sid=2830]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Repsan.A. Se propaga por redes P2P
_____________________________________________________________
http://www.vsantivirus.com/repsan-a.htm
Nombre: W32/Repsan.A
Tipo: Gusano de Internet (P2P)
Alias: W32.HLLW.Repsan
Fecha: 5/oct/03
Plataforma: Windows 32-bit
Tamaño: 105,364 bytes
Reportado por: Symantec
Este gusano se propaga a través de redes Peer-To-Peer (P2P),
tales como KaZaA, KaZaA Lite, KaZaA Lite K++, KMD, Morpheus,
eDonkey2000, Limewire, Bearshare, Overnet, Gnucleus,
Grokster, Shareaza, Tesla, Rapigator, WinMX, Xolox, y también
ICQ. No posee ninguna carga destructiva.
Cuando se ejecuta, se copia en las siguientes ubicaciones y
con los siguientes nombres:
c:\windows\Calc.exe
c:\windows\Freecell.exe
c:\windows\Ocx32.exe
c:\windows\Sol.exe
c:\windows\Svchost.exe
c:\windows\system\Windows_critical_update.exe
c:\windows\system\Windowsupdate.exe
c:\windows\Windll32.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system"
pueden variar de acuerdo al sistema operativo instalado (con
esos nombres por defecto en Windows 9x/ME, como "c:\winnt",
"c:\winnt\system32" en Windows NT/2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
También se copia a si mismo en una o más de las siguientes
carpetas:
Dentro de las carpetas "c:\program files" o "c:\archivos de
programa", las siguientes subcarpetas:
\bearshare\shared\
\edonkey2000\incoming\
\gnucleus\downloads\
\grokster\my grokster\
\icq\shared folder
\kazaa lite k++\my shared folder\
\kazaa lite\my shared folder\
\kazaa\my shared folder\
\kmd\my shared folder\
\limewire\shared\
\morpheus\my shared folder\
\overnet\incoming\
\rapigator\share\
\shareaza\downloads\
\tesla\files\
\winmx\my shared folder\
\winmx\shared\
\xolox\downloads\
En las siguientes carpetas:
c:\my downloads\
c:\my shared folder\
Utiliza en todos los casos, uno o más de los siguientes
nombres de archivos:
AdAware 6.0 pro Keygen.exe
AddWeb Website Promoter(Retail-FULL).exe
Adobe Premiere 7 'Bible' e-book.exe
American Idol game.exe
American Juniors game.exe
Bikini Playbabes-windows theme.exe
Britney spears stripping game.exe
Business Card Designer Pro.exe
DivX Video Bundle(Full_Retail).exe
eBook Karma Sutra.exe
eBook-2004 Blue Book and Search Guide.exe
eBook-9.11_probe(Full_Report-UnCensored).exe
eBook-9-11_probe_report.exe
eBook-Atkins Diet No and Low Carb Recipes.exe
eBook-AuctionHints_2(Full).exe
eBook-Card Games 2004.exe
eBook-Gambling Secrets of the Professionals.exe
eBook-How to make money in Real Estate.exe
eBook-Legal Forms (Contracts + More).exe
eBook-Real Estate Millionaires Secrets.exe
eBook-Robbin Tungett_eBay-Ecourse(Full).exe
eBook-Secrets of Winning at Gambling.exe
eBook-Sidney_Johnston-Make_Your_Net_Auctions_Sell.exe
Family Tree Maker v9.0.exe
FlashGet(Full_Retail).exe
Hoyles Card Games Deluxe 2004(FULL).exe
IBM Via voiceZIP.exe
Logo Creator - Corporate Set 1(FULL).exe
Matrix Reloaded 3D-Screensaver.exe
Microsoft_Windows_XP_SP1.exe
Nero Ultra Edition Package-KEYGEN.exe
SnagIt(Full_Retail).exe
SolSuite 2003: Solitaire Card Games Suite(FULL).exe
Sports-Illustrated-Babes.exe
Survivor Panama game.exe
Sygate Personal Firewall(FULL).exe
Vegas Video 3.0 FINAL (with Crack).exe
Visual Basic 6 Keygen.exe
Visual C++ Keygen.exe
Visual Studio Keygen.exe
ZoneAlarm Pro-KEYGEN(All Versions-08/01/2003).exe
También agrega algunas de las siguientes entradas en el
registro de Windows, bajo la siguiente clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
º microsoft = c:\windows\svchost.exe
º ocx32 = c:\windows\ocx32.exe
º windll = c:\windows\windll32.exe
º WindowsCriticalUpdate =
c:\windows\system\windows_critical_update.exe
º WindowsUpdate = c:\windows\svchost.exe
º WindowsUpdate = c:\windows\system\windowsupdate.exe
También agrega o modifica los siguientes valores:
HKCU\Software\Kazaa\LocalContent
DisableSharing = "1"
HKCU\Software\Grokster\LocalContent
DisableSharing = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\ZoneMap
ProxyBypass = "0"
IntranetName = "0"
UNCAsIntranet = "0"
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\Calc.exe
c:\windows\Freecell.exe
c:\windows\Ocx32.exe
c:\windows\Sol.exe
c:\windows\Svchost.exe
c:\windows\system\Windows_critical_update.exe
c:\windows\system\Windowsupdate.exe
c:\windows\Windll32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas (no todas aparecen):
microsoft
ocx32
windll
WindowsCriticalUpdate
WindowsUpdate
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
5. Pinche en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
DisableSharing
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Grokster
\LocalContent
7. Pinche en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
DisableSharing
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\ZoneMap
9. Pinche en la carpeta "ZoneMap" y en el panel de la
derecha, bajo la columna "Nombre", busque y modifique las
siguientes entradas por los siguientes valores:
ProxyBypass = "1"
IntranetName = "1"
UNCAsIntranet = "1"
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Troj/Backdoor.Spigot.C. Troyano de acceso remoto
_____________________________________________________________
http://www.vsantivirus.com/back-spigot-c.htm
Nombre: Troj/Backdoor.Spigot.C
Tipo: Caballo de Troya de acceso remoto
Alias: Spigot, Backdoor.Spigot.C, Backdoor.G_Spot.20,
BackDoor-AAG
Fecha: 8/oct/03
Tamaño: 24,928 bytes
Plataforma: Windows 32-bit
Reportado por: Symantec
Este caballo de Troya permite el acceso no autorizado de un
usuario remoto a la computadora infectada.
Utiliza un cliente y un servidor. El servidor se instala en
la computadora atacada, generalmente mediante engaños, al ser
ejecutado por el propio usuario, por lo tanto se recomienda
no abrir archivos enviados sin su consentimiento, ni ejecutar
nada descargado de Internet, o copiado de disquetes, CDs,
etc., sin revisarlo antes con uno o dos antivirus al día.
El nombre del ejecutable puede variar.
Por defecto, abre el puerto TCP/6667 para recibir las
instrucciones y comandos del atacante.
La existencia del archivo GSPOTBOT.EXE, puede ser indicador
de una posible infección.
Cuando el troyano se ejecuta, se copia a si mismo en la
siguiente ubicación:
c:\windows\system\gspotbot.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "c:\winnt\system32" en Windows NT/2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
También agrega la siguiente entrada en el registro, para
autoejecutarse cada vez que se reinicia Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
VideoDriver = c:\windows\system\gspotbot.exe
Luego envía información al posible atacante, vía IRC, y abre
el puerto TCP/6667 para esperar las instrucciones.
* IMPORTANTE:
Si el troyano ha sido instalado en el sistema, es posible que
su computadora pueda ser accedida en forma remota por un
intruso sin su autorización. Esto es más crítico en caso de
tenerla conectada a una red. Por esta razón es imposible
garantizar la integridad del sistema luego de la infección.
El usuario remoto puede haber realizado cambios a su sistema,
incluyendo las siguientes acciones (entre otras posibles):
- Robo o cambio de contraseñas o archivos de contraseñas.
- Instalación de cualquier software que habilite conexiones
remotas, a partir de puertas traseras.
- Instalación de programas que capturen todo lo tecleado por
la víctima.
- Modificación de las reglas de los cortafuegos instalados.
- Robo de números de las tarjetas de crédito, información
bancaria, datos personales.
- Borrado o modificación de archivos.
- Envío de material inapropiado o incriminatorio desde la
cuenta de correo de la víctima.
- Modificación de los derechos de acceso a las cuentas de
usuario o a los archivos.
- Borrado de información que pueda delatar las actividades
del atacante (logs, etc.).
Estas acciones solo se indican como ejemplo, pero de ningún
modo deben tomarse como las únicas posibles.
No posee rutina de propagación, pero un archivo infectado
podría ser enviado en forma premeditada o accidental, por
correo electrónico, o descargada de sitios maliciosos, o a
través de redes P2P.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados:
c:\windows\system\gspotbot.exe
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
VideoDriver
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(posee algunas limitaciones). Si instala ZA, no active ICF
(Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Gramos.A. Descarga al troyano "Ranck" (Proxy)
_____________________________________________________________
http://www.vsantivirus.com/gramos-a.htm
Nombre: W32/Gramos.A
Tipo: Gusano de Internet
Alias: W32.Gramos
Fecha: 7/oct/03
Plataforma: Windows 32-bit
Tamaño: 41,984 bytes
Reportado por: Symantec
Gusano escrito en Microsoft Visual Basic C++ y comprimido con
la utilidad ASPack, que afecta redes y recursos compartidos,
ya que descarga y ejecuta al troyano Backdoor.Ranck (Ver:
Troj/Backdoor.Ranck.A. Convierte la PC en un proxy,
http://www.vsantivirus.com/back-ranck-a.htm).
Cuando se ejecuta, el gusano agrega la siguiente entrada en
el registro, para ejecutarse cada vez que Windows se
reinicie:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Messenger start-up = msgran.exe
Luego, descarga al troyano "Backdoor.Ranck" desde un sitio de
Internet predeternminado en su código, y lo copia en la
siguiente ubicación para luego ejecutarlo:
c:\winnt\mh.exe
En Windows 95, 98 y Me, se registra a si mismo como un
servicio luego de ejecutarse, para ocultarse de la lista de
tareas activas al pulsarse CTRL+ALT+SUPR.
Calcula luego unas direcciones IP al azar, y enumera a los
usuarios de un servidor remoto, intentando conectarse
utilizando esos nombres de usuario con una contraseña vacía
(solo Enter).
Si accede al sistema, se copia a si mismo en la siguiente
ubicación:
\\[dirección IP]\c$\winnt\system32\Msgran.exe
Luego, crea en forma remota una tarea programada para que el
archivo con el gusano se ejecute en la nueva computadora
infectada.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Finalizar el proceso en memoria del virus
* Windows 95, 98 y Me
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Windows NT, 2000 y XP
1. Actualice sus antivirus con las últimas definiciones,
luego pulse CTRL+ALT+SUPR para abrir el Administrador de
tareas.
2. Pinche en la lengüeta Procesos.
3. En la lista de tareas, señale la siguiente y pulse el
botón de finalizar tarea.
Msgran.exe
* Antivirus
1. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros
2. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\winnt\mh.exe
c:\winnt\system32\Msgran.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Messenger start-up
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el gusano.
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Troj/Backdoor.Ranck.A. Convierte la PC en un proxy
_____________________________________________________________
http://www.vsantivirus.com/back-ranck-a.htm
Nombre: Troj/Backdoor.Ranck.A
Tipo: Caballo de Troya de acceso remoto
Alias: Ranck, Backdoor.Ranck.A
Fecha: 27/ago/03
Tamaño: 24,064 bytes
Plataforma: Windows 32-bit
Puerto: TCP/53201
Reportado por: Symantec
Este troyano, escrito en Microsoft Visual C++, y comprimido
con la utilidad ASPack, posee la habilidad de comportarse
como un servidor proxy.
Cuando este troyano se ejecuta, abre una puerta trasera en la
máquina infectada, a través del puerto TCP/53201.
No posee rutinas de propagación, y podría distribuirse
manualmente, simulando ser alguna inocente utilidad. Los
canales de distribución más usados son el correo electrónico,
listas de noticias (newsgroups), canales de IRC, y redes P2P
como KaZaa y otros.
Cuando el archivo del troyano (que puede tener cualquier
nombre), se ejecuta en la máquina de su víctima, un atacante
puede tomar el control de la misma.
El troyano se copia en la carpeta donde se descargó, y
modifica la siguiente clave del registro para autoejecutarse
en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Services = [camino y nombre del troyano]
El usuario puede utilizar la máquina infectada como proxy,
almacenando allí la información descargada de Internet, o
usándola para esconder su verdadero origen, lo que le permite
actuar impunemente en acciones maliciosas.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Services
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(posee algunas limitaciones). Si instala ZA, no active ICF
(Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1189 Año 7, Jueves 9 de octubre de 2003
|
VSantivirus No. 11
Responder a este mensaje
