Mostrando mensaje 264     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1215 Año 8, Martes 4 de noviembre de 2003 Fecha: Martes, 4 de Noviembre, 2003  02:09:51 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1215 Año 8, Martes 4 de noviembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Los Parches publicados por Microsoft en octubre 2003 2 - W32/Mimail.H. Se propaga con el adjunto "READNOW.ZIP" 3 - W32/Gaobot.BZ. Se copia como "explorex.exe" 4 - W32/Kwbot.Z. Se propaga vía KaZaa. Acceso remoto 5 - W32/Mafeg.B. Infecta archivos PE y se propaga por redes _____________________________________________________________ 1 - Los Parches publicados por Microsoft en octubre 2003 _____________________________________________________________ http://www.vsantivirus.com/lz-ms-resumen1003.htm Los Parches publicados por Microsoft en octubre 2003 Por Lissette Zapata liszapata@videosoft.net.uy MS03-047 Ataque XSS en Exchange Server 5.5 (828489) MS03-046 Ejecución de código en Exchange Server (829436) MS03-045 Falla en "ListBox" y "ComboBox" (824141) MS03-044 Falla en Centro de ayuda de Windows (825119) MS03-043 Ejecución de código con el Mensajero (828035) MS03-042 Ejecución de código (Tshoot.ocx) (826232) MS03-041 Falla comprobando Autenticación (823182) MS03-040 Actualización acumulativa para IE (828750) Este es un resumen de los parches publicados por Microsoft para sus productos, como una guía para localizarlos, y mantener actualizado nuestro sistema operativo. Debido a los problemas que se presentaron luego de la publicación de los parches del 15 de octubre, Microsoft ha revisado y actualizado esos parches. En las secciones donde se hablará sobre cada uno de ellos se agrega la última fecha en que ha sido actualizado dicho parche. Si usted aplicó el parche antes de esa fecha le recomendamos aplicarlo nuevamente, para su mayor seguridad y el correcto funcionamiento del sistema. * 15 de Octubre de 2003 * Boletín de Seguridad de Microsoft MS03-047 Un problema en Exchange Server 5.5 Outlook Web Access podría permitir un ataque de secuencia de comandos en sitios múltiples (828489) Expuesto originalmente: 15 de Octubre de 2003 Ultima Revisión: 22 de Octubre de 2003 http://www.microsoft.com/technet/security/bulletin/MS03-047.asp http://www.microsoft.com/security/security_bulletins/ms03-047.asp Para que este parche funcione correctamente, el servidor de Outlook Web Access (OWA) en donde se instale, ha de tener Internet Explorer 5.01 o una versión posterior instalada. Si se instala el parche en un sistema con versión de Internet Explorer anterior a la 5.01, pueden tener lugar consecuencias imprevisibles. La sección de "Caveats" se ha actualizado para incluir los requerimientos de versión de este parche. También incluye unas recomendaciones sobre versiones para los componentes relacionados a los que se pueden aplicar a la fecha de este documento. La sección de implantación se ha ampliado para analizar en detalle cómo descargar e instalar este parche de seguridad. Se ha producido una vulnerabilidad de secuencia de comandos en sitios múltiples (XSS, Cross-site Scripting) debido a la forma en que Outlook Web Access (OWA) realiza la codificación HTML en el formulario para redactar un nuevo mensaje. Nivel de Gravedad: Moderado Programas Afectados: Microsoft Exchange Server 5.5, Service Pack 4 Programas No Afectados: Microsoft Exchange 2000 Server Microsoft Exchange Server 2003 * Más información: MS03-047 Ataque XSS en Exchange Server 5.5 (828489) http://www.vsantivirus.com/vulms03-047.htm * Boletín de Seguridad de Microsoft MS03-046 Un defecto en Exchange Server podría permitir la ejecución de código arbitrario (829436) Expuesto originalmente: 15 de Octubre de 2003 Ultima Revisión: 22 de Octubre de 2003 http://www.microsoft.com/technet/security/bulletin/MS03-046.asp http://www.microsoft.com/security/security_bulletins/ms03-046.asp Existe una vulnerabilidad de seguridad en el servicio Internet Mail de Exchange Server 5.5 que podría permitir a un atacante sin autenticar, conectarse al puerto SMTP de un servidor Exchange y emitir una solicitud extensa especialmente diseñada que podría consumir una gran cantidad de memoria. Esto podría causar el cierre del servicio Internet Mail o provocar que el servidor dejase de responder debido a la falta de memoria. También existe una vulnerabilidad de seguridad en Exchange 2000 Server que podría permitir a un atacante conectarse al puerto SMTP en un servidor Exchange Server y emitir una solicitud extensa especialmente diseñada. Esta solicitud podría ocasionar una denegación de servicio similar a la que podría producirse en Exchange 5.5. Asimismo, si un atacante emite la solicitud con datos cuidadosamente elegidos, podría provocar una saturación del búfer que podría permitirle ejecutar sus propios programas dañinos en el contexto de seguridad del servicio SMTP. Nivel de Gravedad: Critico Programas Afectados: Microsoft Exchange Server 5.5, SP4 Microsoft Exchange 2000 Server, SP3 Programas No Afectados: Microsoft Exchange Server 2003 * Más información: MS03-046 Ejecución de código en Exchange Server (829436) http://www.vsantivirus.com/vulms03-046.htm * Boletín de Seguridad de Microsoft MS03-045 La saturación de un búfer en la ListBox y en la ComboBox podría permitir la ejecución de código (828035) Expuesto originalmente: 15 de Octubre de 2003 Ultima Revisión: 22 de Octubre de 2003 http://www.microsoft.com/technet/security/bulletin/MS03-045.asp http://www.microsoft.com/security/security_bulletins/ms03-045.asp La vulnerabilidad existente se debe a que los controles "ListBox" y "ComboBox", recurren a una función determinada, localizada en el archivo USER32.DLL, el cuál posee un búfer no chequeado que puede ser desbordado. La función no verifica correctamente los parámetros que se puedan enviar desde un mensaje maliciosamente modificado de Windows. Los mensajes de Windows permiten que los procesos interactivos reaccionen con los procesos del usuario (por ejemplo, pulsaciones de teclas o movimientos del ratón), además de comunicarse con otros procesos interactivos. La falla se produce porque la función que proporciona al usuario un listado de opciones de accesibilidad, no valida los mensajes que Windows envía de manera correcta. Cualquier programa que implemente los controles ListBox o ComboBox podría permitir la ejecución de código a un nivel elevado de privilegios de administración, siempre que el programa se estuviera ejecutando a ese nivel (por ejemplo, el "Administrador de utilidades" en Windows 2000). Esto podría afectar a aplicaciones de otros fabricantes. Nivel de Gravedad: Importante Programas afectados: Windows NT Workstation 4.0, Service Pack 6a Windows NT Server 4.0, Service Pack 6a Windows NT Server 4.0, Terminal Server Edition, SP6 Windows 2000, Service Pack 2 Windows 2000 Service Pack 3, Service Pack 4 Windows XP Gold, Service Pack 1 Windows XP 64 bit Edition Windows XP 64 bit Edition Version 2003 Windows Server 2003 Windows Server 2003 64 bit Edition Programa No afectado: Windows Millennium Edition * Más información: MS03-045 Falla en "ListBox" y "ComboBox" (824141) http://www.vsantivirus.com/vulms03-045.htm * Boletín de Seguridad de Microsoft MS03-044 Un problema en el Centro de ayuda y soporte técnico de Windows podría poner en peligro el sistema (825119) Expuesto originalmente: 15 de Octubre de 2003 Ultima Revisión: 22 de Octubre de 2003 http://www.microsoft.com/technet/security/bulletin/MS03-044.asp http://www.microsoft.com/security/security_bulletins/ms03-044.asp Una vulnerabilidad en los protocolos HCP (Help and Support Center), existente en el componente Centro de ayuda y Soporte técnico de Windows que funciona con Windows XP y Windows Server 2003, provoca un desbordamiento de búfer. El código afectado también está incluido en todos los demás sistemas operativos Windows soportados, aunque no se ha identificado ningún tipo de ataque porque el protocolo HCP no es compatible con estas plataformas. Esta vulnerabilidad proviene de un archivo asociado al protocolo HCP que contiene un búfer no comprobado. Nivel de Gravedad: Critico Programas Afectados: Windows Millennium Edition Windows NT Workstation 4.0, Service Pack 6a Windows NT Server 4.0, Service Pack 6a Windows NT Server 4.0, Terminal Server Edition, SP6 Windows 2000, Service Pack 2 Windows 2000, Service Pack 3, Service Pack 4 Windows XP Gold, Service Pack 1 Windows XP 64-bit Edition Windows XP 64-bit Edition Version 2003 Windows Server 2003 Windows Server 2003 64-bit Edition * Más información: MS03-044 Falla en Centro de ayuda de Windows (825119) http://www.vsantivirus.com/vulms03-044.htm * Boletín de Seguridad de Microsoft MS03-043 La saturación de un búfer en el servicio Mensajero podría permitir la ejecución de código (828035) Expuesto originalmente: 15 de Octubre de 2003 Ultima Revisión: 22 de Octubre de 2003 http://www.microsoft.com/technet/security/bulletin/MS03-043.asp http://www.microsoft.com/security/security_bulletins/ms03-043.asp Messenger Service (o Mensajero), es un servicio que permite mostrar una ventana (del tipo pop-up), con algún tipo de mensaje, por ejemplo de alerta, originalmente pensado para la comunicación y anuncios entre usuarios de una red y administradores del sistema. Existe una vulnerabilidad en el servicio Mensajero (Messenger), que puede permitir la ejecución arbitraria de código en el sistema afectado. La falla ocurre porque el Messenger Service no valida correctamente el largo de un mensaje antes de enviarlo a su búfer. Un atacante que explote satisfactoriamente esta falla, podría ejecutar código en el sistema local, con los privilegios del usuario involucrado, o causar que falle dicho servicio. El atacante podría tomar cualquier acción en el sistema, incluyendo la instalación de programas, visualizar archivos, cambiar o borrar datos, o crear nuevas cuentas con todos los privilegios. Nivel de Gravedad: Critico Programas Afectados: Windows NT Workstation 4.0, Service Pack 6a Windows NT Server 4.0, Service Pack 6a Windows NT Server 4.0, Terminal Server Edition, SP6 Windows 2000, Service Pack 2 Windows 2000, Service Pack 3, Service Pack 4 Windows XP Gold, Service Pack 1 Windows XP 64-bit Edition Windows XP 64-bit Edition Version 2003 Windows Server 2003 Windows Server 2003 64-bit Edition Programa No Afectado: Windows Millennium Edition * Más información: MS03-043 Ejecución de código con el Mensajero (828035) http://www.vsantivirus.com/vulms03-043.htm * Boletín de Seguridad de Microsoft MS03-042 La saturación de un búfer en un control ActiveX de Windows podría permitir la ejecución de código (826232) Expuesto originalmente: 15 de Octubre de 2003 Ultima Revisión: 21 de Octubre de 2003 http://www.microsoft.com/technet/security/bulletin/MS03-042.asp http://www.microsoft.com/security/security_bulletins/ms03-042.asp Una falla crítica provocada por el "Microsoft Local Troubleshooter ActiveX control", compromete la seguridad de Windows. La vulnerabilidad ocurre porque el control ActiveX del Solucionador de problemas local de Microsoft (Tshoot.ocx) contiene un desbordamiento de búfer que podría permitir a un atacante ejecutar el código que eligiese en el sistema del usuario. Como este control está marcado como "seguro para las secuencias de comandos", un atacante podría aprovechar este punto vulnerable convenciendo a un usuario para que abriese una página HTML especialmente diseñada que llamase a este control. El control ActiveX del Solucionador de problemas local de Microsoft se instala por defecto como parte del sistema operativo en Windows 2000. Nivel de Gravedad: Critico Programas Afectados: Windows 2000, Service Pack 2 Windows 2000, Service Pack 3, Service Pack 4 Programas No Afectados: Windows NT 4.0 Windows NT Server 4.0, Terminal Server Edition Windows Millennium Edition Windows XP Windows Server 2003 * Más información: MS03-042 Ejecución de código (Tshoot.ocx) (826232) http://www.vsantivirus.com/vulms03-042.htm * Boletín de Seguridad de Microsoft MS03-041 Un problema en la verificación de Authenticode podría permitir la ejecución remota de código (823182) Expuesto originalmente: 15 de Octubre de 2003 Ultima Revision: 22 de Octubre de 2003 http://www.microsoft.com/technet/security/bulletin/MS03-041.asp http://www.microsoft.com/security/security_bulletins/ms03-041.asp Existe una vulnerabilidad en el código de autenticación, que bajo ciertas condiciones de poca memoria, podría permitir que un control ActiveX, se descargue e instale, sin presentarle al usuario una ventana donde le pida su aprobación. Para aprovecharse de esta falla, un atacante tendría que crear un sitio Web, diseñándolo de manera maliciosa, y con ello ejecutar dicha vulnerabilidad. Además, debería convencer a su víctima para que visite dicha página, y al hacerlo, un control ActiveX podría instalarse y ejecutarse en su sistema. Otra forma de aprovecharse de tal vulnerabilidad, es creando un mensaje electrónico con formato HTML, especialmente diseñado para que al ser visualizado por la víctima que lo recibe, se ejecute el control ActiveX sin autorización. En ambas situaciones la vulnerabilidad en Authenticode, podría permitir la instalación y ejecución de un control ActiveX en el sistema del usuario, con los mismos permisos de éste, y sin solicitar en ningún momento su aprobación. Nivel de Gravedad: Critico Programas Afectados: Windows NT Workstation 4.0, Service Pack 6a Windows NT Server 4.0, Service Pack 6a Windows NT Server 4.0, Terminal Server Edition, SP6 Windows 2000, Service Pack 2 Windows 2000, Service Pack 3, Service Pack 4 Windows XP Gold, Service Pack 1 Windows XP 64-bit Edition Windows XP 64-bit Edition Version 2003 Windows Server 2003 Windows Server 2003 64-bit Edition Programa No Afectado: Windows Millennium Edition * Más información: MS03-041 Falla comprobando Autenticación (823182) http://www.vsantivirus.com/vulms03-041.htm * 3 de Octubre de 2003 * Boletín de Seguridad de Microsoft MS03-040 Revisión acumulativa para Internet Explorer (828750) Expuesto originalmente: 3 de Octubre de 2003 Revisado: 6 de Octubre de 2003 http://www.microsoft.com/security/security_bulletins/ms03-040.asp http://www.microsoft.com/technet/security/bulletin/MS03-040.asp Se trata de un parche acumulativo que incluye la funcionalidad de todos los parches emitidos anteriormente para Internet Explorer 5.01, 5.5 y 6.0. Además, elimina las vulnerabilidades recientemente descubiertas: º Una vulnerabilidad debida a que Internet Explorer no determina correctamente el tipo de un objeto retornado pro el servidor Web en una ventana pop-up. Podría permitir que un atacante, explotando esta posibilidad, pudiese ejecutar cualquier código en un sistema de usuario final. Si un usuario visita el sitio web de un atacante, ese atacante podría explotar esta vulnerabilidad sin necesidad de otras acciones por parte del usuario. Un atacante, además, podría montar un mensaje de correo basado en HTML que podría también explotar esta posibilidad. º Una vulnerabilidad debida a que Internet Explorer no determina correctamente el tipo de un objeto retornado por el servidor Web durante un enlace a origen de datos con XML. Podría permitir que un atacante, explotando esta posibilidad, pudiese ejecutar cualquier código en un sistema de usuario final. Si un usuario visita el sitio web de un atacante, ese atacante podría explotar esta vulnerabilidad sin necesidad de otras acciones por parte del usuario. Un atacante, además, podría montar un mensaje de correo basado en HTML que podría también explotar esta posibilidad. Aparte esto, se ha realizado un cambio en el método que emplea Internet Explorer para gestionar las conductas Dynamic HTML (DHTML) en la Zona Restringida de Internet Explorer. Para un atacante sería posible explotar una vulnerabilidad cualquiera (como alguna de las dos anteriores), para hacer que Internet Explorer ejecute un código en script en el contexto de seguridad de la Zona de Internet. Además, un atacante podría utilizar la capacidad de Windows Media Player (WMP) de abrir URLs para montar un ataque. Un atacante podría generar mensajes de correo basados en HTML que intentasen explotar este comportamiento. Para explotar estas debilidades, el atacante debería construir maliciosamente, un correo basado en HTML y enviarlo al usuario. O bien, el atacante podría disponer un sitio web malicioso que contuviera una página web diseñada para explotar esas vulnerabilidades. Nivel de Gravedad: Crítico Productos afectados por esta actualización: Internet Explorer 5.01 Internet Explorer 5.5 Internet Explorer 6.0 Internet Explorer 6.0 para Windows Server 2003 * Más información: MS03-040 Actualización acumulativa para IE (828750) http://www.vsantivirus.com/vulms03-040.htm * Parches Anteriores: Los Parches publicados por Microsoft en setiembre 2003 http://www.vsantivirus.com/lz-ms-resumen0903.htm Los Parches publicados por Microsoft en agosto 2003 http://www.vsantivirus.com/lz-ms-resumen0803.htm Los Parches publicados por Microsoft en julio 2003 http://www.vsantivirus.com/lz-ms-resumen0703.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Mimail.H. Se propaga con el adjunto "READNOW.ZIP" _____________________________________________________________ http://www.vsantivirus.com/mimail-h.htm Nombre: W32/Mimail.H Tipo: Gusano de Internet Alias: Mimail.H, W32/Mimail-H Plataforma: Windows 32-bit Tamaños: 10,912 bytes (ZIP), 10,784 (EXE) Fecha: 3/nov/03 Se trata de una variante de W32/Mimail.E y W32/Mimail.C que se propaga muy rápidamente. Se recibe en un mensaje marcado como de alta prioridad y con estas características: De: john@[dominio del destinatario] Para: [dirección del destinatario] Asunto: don't be late! [xxxxxxxx] Datos adjuntos: readnow.zip (10,9 Kb) Texto: Will meet tonight as we agreed, because on Wednesday I don't think I'll make it, so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you. [xxxxxxxx] Donde [xxxxxxxx] son caracteres al azar, por ejemplo: zdoziiai El adjunto (READNOW.ZIP) debe ser abierto por el usuario. Cuando lo hace aparece el siguiente ejecutable con doble extensión: readnow.doc.scr La segunda extensión queda oculta en una instalación por defecto de Windows (ver en las referencias "Mostrar las extensiones verdaderas de los archivos"). Si se hace doble clic sobre él, se ejecuta el archivo y se produce la infección. Se trata de un .EXE comprimido con la herramienta UPX. Cuando se ejecuta, copia los siguientes archivos en el directorio de Windows: c:\windows\cnfrm33.exe c:\windows\eml.tmp c:\windows\exe.tmp c:\windows\zip.tmp Donde CNFRM33.EXE es el gusano, y EML.TMP es la lista de direcciones electrónicas encontradas en la máquina infectada. EXE.TMP es el gusano en el archivo HTML y ZIP.TMP es el archivo ZIP conteniendo el gusano (utiliza el método de almacenamiento sin compresión). NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). También agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cn323 = c:\windows\cnfrm33.exe El gusano se registra a si mismo como un servicio en Windows 95, 98 y Me, quedando oculto en la lista de tareas (CTRL+ALT+SUPR). Busca las direcciones de correo a las que se enviará, en archivos de diferentes carpetas de la máquina infectada. Para ello examina todos los archivos que NO tengan las siguientes extensiones: .avi .bmp .cab .com .dll .exe .gif .jpg .mp3 .mpg .ocx .pdf .psd .rar .tif .vxd .wav .zip Para el envío de los mensajes, emplea su propio motor SMTP, por lo que no depende del programa de correo instalado. El gusano intenta realizar un ataque de denegación de servicio a los siguientes sitios: spamhaus.org www.spamhaus.org spews.org www.spews.org * Sugerencias para administradores Una forma de proteger a los usuarios con correo corporativo, es crear un filtro antispam tipo "john@dominio.com". Esto solo funciona con cada dominio registrado. Es decir, los usuarios con correo "usuario@dominio.com" ya no recibirían el gusano en dicho dominio. Si bien no es una solución definitiva (hay usuarios que pueden recibirlos redireccionados de otras direcciones), esto puede reducir significativamente la cantidad de mensajes infectados. * Herramienta para quitar el W32/Mimail de un sistema infectado [Ver: http://www.vsantivirus.com/mimail-h.htm] Nota: Symantec detecta como Mimail.D la versión H. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\cnfrm33.exe c:\windows\eml.tmp c:\windows\exe.tmp c:\windows\zip.tmp Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Cn323 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Gaobot.BZ. Se copia como "explorex.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-bz.htm Nombre: W32/Gaobot.BZ Tipo: Gusano de Internet y caballo de Troya Alias: W32.HLLW.Gaobot.BZ, W32/Gaobot.worm.gen Fecha: 1/nov/03 Plataforma: Windows 32-bit Tamaño: 89,516 bytes Puertos: TCP/135, TCP/445, TCP/1000 al 3000, TCP/10000, etc. Es una variante menor de W32/Gaobot.AO. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. Las principales diferencias con variantes anteriores son las siguientes: 1. Su tamaño es de 89,516 bytes, y está comprimida con ASPack y UPX 2. Se copia con el siguiente nombre: c:\windows\system\explorex.exe 3. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Configuration Loader = c:\windows\system\explorex.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Configuration Loader = c:\windows\system\explorex.exe HKLM\SYSTEM\CurrentControlSet\Services\4x Configuration Loader = c:\windows\system\explorex.exe -service Nota: Borre la entrada "x4" al hacer una limpieza manual. 4. Utiliza puertos calculados aleatoriamente, algunos en la gama entre 1000 y 3000, y uno superior al 10000. * Más información: Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción: W32/Gaobot.AO. Peligroso gusano y caballo de Troya http://www.vsantivirus.com/gaobot-ao.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Kwbot.Z. Se propaga vía KaZaa. Acceso remoto _____________________________________________________________ http://www.vsantivirus.com/kwbot-z.htm Nombre: W32/Kwbot.Z Tipo: Gusano de Internet y caballo de Troya de acceso remoto Alias: W32.Kwbot.Z.Worm, W32/Sdbot.worm.gen, Backdoor.SdBot.gen Variantes: W32.Kwbot.Worm Tamaño: 20,060 bytes Fecha: 3/nov/03 Plataforma: Windows 32-bit Este gusano, comprimido con la utilidad Petite, utiliza el popular programa de intercambio de archivos entre usuarios KaZaA, para propagarse. Posee características de caballo de Troya de acceso remoto por puerta trasera (backdoor), que le permite a un intruso tomar el control de la computadora infectada vía IRC. Cuando se ejecuta por primera vez, el virus se copia a si mismo en el directorio System de Windows: c:\windows\system\winz32.exe NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). También crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run INTERNET SERVISES = c:\windows\system\winz32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices INTERNET SERVISES = c:\windows\system\winz32.exe Busca la siguiente carpeta (la carpeta compartida por defecto del KaZaa): C:\Program~1\Kazaa\My Shared Folder\ Luego se copia a si mismo en dicha carpeta con numerosos nombres, por ejemplo: 2 fast 2 furious DvD rip.avi.exe 2 Fast.exe adobe photoshop.exe AIM admin ED.exe AIM hack.exe Anderson.exe Brood War.exe CD key.exe Hacking Guide.txt.exe Jenifer.exe Jenny.exe Jenny.jpg.exe KeyGen.exe MatrixReloaded.exe MOH.exe MSoffice.exe Napalm Guide.exe NortonAVsuit2003.exe NortonFirewall.exe Pamela.exe Partition Magic 8.exe SexyGirl.exe Starcraft Brood War.exe StarCraft.exe UltraEdit.exe Warcraft3.exe XxX_Porn_Game.exe Yahoo Hack.exe Agrega la siguiente entrada en el registro, para compartir dicha carpeta con otros usuarios del KaZaa, utilizándolo para propagarse: HKCU\Software\KAZAA\LocalContent DisableSharing = "0" El componente troyano del tipo backdoor del gusano, puede recibir instrucciones de un usuario remoto vía IRC, el cuál podrá realizar las siguientes acciones en la computadora infectada: º Administrar la instalación del gusano º Controlar el cliente IRC en la máquina infectada º Descargar y ejecutar archivos º Enviar el gusano a otros canales de IRC para infectarlos º Enviar información del sistema y de la red al atacante º Enviar nombres de usuario y contraseñas del caché al atacante º Interceptar información normalmente mostrada solo en pantalla º Modificar parámetros como resolución de pantalla, colores, etc. º Realizar ataques de denegación de servicio (DoS) a un blanco específico definido por el atacante. El gusano intenta robar las claves de registro (CD-Keys), de los siguientes juegos que estuvieran instalados en el equipo infectado: Battlefield 1942 Battlefield 1942 Road To Rome Command & Conquer Generals Counter-Strike FIFA 2003 Half-Life IGI 2 Need For Speed Hot Pursuit 2 NeverWinter Nights Rainbow Six III RavenShield Red Alert 2 Soldier of Fortune II The Gladiators Tiberian Sun Unreal Tournament 2003 También intenta finalizar los siguientes procesos activos (antivirus y cortafuegos): _avpcc.exe _avpm.exe ackwin32.exe anti-trojan.exe apvxdwin.exe autodown.exe avconsol.exe ave32.exe avgctrl.exe avkserv.exe avp.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avpmon.exe avpnt.exe avptc32.exe avpupd.exe avsched32.exe avwin95.exe avwupd32.exe blackd.exe blackice.exe cfiadmin.exe cfiaudit.exe cfind.exe claw95.exe claw95ct.exe cleaner.exe cleaner3.exe dv95.exe dv95_o.exe dvp95.exe ecengine.exe efinet32.exe esafe.exe espwatch.exe f-agnt95.exe findviru.exe f-prot.exe fprot.exe f-prot95.exe fp-win.exe frw.exe f-stopw.exe iamserv.exe ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmoon.exe icssuppnt.exe icsupp95.exe iface.exe iomon98.exe jed.exe kpf.exe kpfw32.exe lockdown2000.exe lookout.exe luall.exe moolive.exe mpftray.exe n32scan.exe navapw32.exe navlu32.exe navnt.exe navsched.exe navw.exe navw32.exe navwnt.exe nisum.exe nmain.exe normist.exe nupgrade.exe nvc95.exe outpost.exe padmin.exe pavcl.exe pccwin98.exe pcfwallicon.exe persfw.exe rav7.exe rav7win.exe rescue.exe safeweb.exe scan32.exe scan95.exe scanpm.exe scrscan.exe serv95.exe smc.exe sphinx.exe sweep95.exe tbscan.exe tca.exe tds2-98.exe tds2-nt.exe vet95.exe vettray.exe vsecomr.exe vshwin32.exe vsscan40.exe vsstat.exe webscan.exe webscanx.exe wfindv32.exe * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Finalizar el proceso en memoria del virus * Windows 95, 98, Me, 2000 y XP 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Revise todos sus discos con su antivirus al día 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\winz32.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: INTERNET SERVISES 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: INTERNET SERVISES 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \KAZAA \LocalContent 7. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DisableSharing = "0" 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Mafeg.B. Infecta archivos PE y se propaga por redes _____________________________________________________________ http://www.vsantivirus.com/mafeg-b.htm Nombre: W32/Mafeg.B Tipo: virus y gusano Alias: W32.Mafeg.B, Bloodhound.W32.1, W32/MGF Variante: W32/Mafeg.A Fecha: 1/nov/03 Plataforma: Windows 32-bit Tamaño: 4,768 bytes Reportado por: Symantec Se trata de un virus residente en memoria, que infecta archivos, y se propaga como gusano a través de recursos compartidos en redes. Cuando se ejecuta, crea el siguiente archivo en el sistema de su víctima: c:\windows\system\UnBlaster.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Agrega la siguiente entrada en el registro de Windows, cada vez que se ejecuta: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce UnBlaster.exe = UnBlaster.exe Si el sistema es Windows NT, 2000, XP o Server 2003, el virus intentará infectar el archivo C:\NTLDR. En equipos basados en Intel x86, el sector de booteo (inicio) de la partición activa del disco carga un archivo con los atributos de oculto, de sistema y de sólo lectura, llamado NTLDR, que se encuentra en el directorio raíz de la partición del sistema, y es el responsable de cargar el Sistema Operativo. También infectará todos los accesos directos disponibles en el escritorio de Windows. Infecta además, archivos en formato PE, cada vez que alguno es ejecutado, infectando rápidamente a todos los ejecutables de Windows y de las aplicaciones más utilizadas. Examina todos los recursos compartidos disponibles. Si los encuentra, intentará copiarse a si mismo en la carpeta de inicio de cada computadora remota de la red. El cuerpo del virus contiene un texto en chino, que solo será mostrado en las versiones chinas de Windows. Además, esto ocurre solo si el mes actual es 3, 6, 9 o 12 y el día de la semana es viernes o sábado. No posee rutina de propagación vía Internet, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargada de sitios maliciosos, o a través de redes P2P. * Reparación manual * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Runonce 3. Pinche en la carpeta "Runonce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: UnBlaster.exe = UnBlaster.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1215 Año 8, Martes 4 de noviembre de 2003