Mostrando mensaje 271     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1222 Año 8, Martes 11 de noviembre de 2003 Fecha: Martes, 11 de Noviembre, 2003  13:15:34 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1222 Año 8, Martes 11 de noviembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - W32/Sinala.A. Archivo adjunto: "Alanis.exe" 1 - Troj/Stash.A. Descarga software y roba información 1 - W32/Mimail.dam. La versión "dañada" del Mimail _____________________________________________________________ 1 - W32/Sinala.A. Archivo adjunto: "Alanis.exe" _____________________________________________________________ http://www.vsantivirus.com/sinala-a.htm Nombre: W32/Sinala.A Tipo: Gusano de Internet Alias: Alanis, W32/Alanis.A, W32/Alanis@mm, I.worm.alanis@mm Reportado por: Per Antivirus Plataforma: Windows 32-bit Fecha: 11/nov/03 Este gusano, escrito en Visual Basic 6 y comprimido con la herramienta UPX, se propaga a través del correo electrónico, redes de intercambio de archivos P2P, ICQ y MSN Messenger, y también disquetes. Los mensajes enviados por correo electrónico, tienen estas características: De: [cualquier dirección] Las direcciones no corresponden a las de las personas infectadas, sino que son extraídas aleatoriamente de la libreta de direcciones de Windows y del MSN Messenger, (técnica denominada "mail spoofing", ya que no muestra al verdadero remitente). En ocasiones, utiliza la siguiente dirección: demionklaz@hotmail.com Asunto: [Uno de los siguientes] - Baile paso a paso aprendera a bailar rapido - el grupo esta buenazo muy buen video - espero que te guste a mi me gsuto :p - espero que te guste los nuevos pasos - este es el video verdad espero que sea de tu agrado - hay te envio el video que me pediste ta buenazo - Nuevos pasos viva la musica - trancebaile Texto: [vacío] Datos adjuntos: Alanis.exe El archivo adjunto (ALANIS.EXE), muestra el icono de una película: [ver imagen: http://www.vsantivirus.com/sinala-a.htm] Cuando se ejecuta este archivo, el mismo se copia a si mismo en las siguientes ubicaciones: c:\alanis morri.mcg c:\avril lavig.mcg c:\cleanmgr.mcg c:\destino2.mcg c:\evange.mcg c:\freesoft.avi.scr c:\kerneldll32.api c:\metalica.mcg c:\molani.scr c:\mope.scr c:\ova13.mcg c:\pamxx.mcg c:\picsxxx.mcg c:\piratas.mcg c:\saint.mcg c:\seaevil.mcg c:\termi.mcg c:\windows\alanis morri.mcg c:\windows\avril lavig.mcg c:\windows\cleanmgr.mcg c:\windows\destino2.mcg c:\windows\evange.mcg c:\windows\freesoft.avi.scr c:\windows\kerneldll32.api c:\windows\metalica.mcg c:\windows\molani.scr c:\windows\mope.scr c:\windows\ova13.mcg c:\windows\pamxx.mcg c:\windows\picsxxx.mcg c:\windows\piratas.mcg c:\windows\saint.mcg c:\windows\seaevil.mcg c:\windows\termi.mcg c:\windows\system\alanis morri.mcg c:\windows\system\avril lavig.mcg c:\windows\system\cleanmgr.mcg c:\windows\system\destino2.mcg c:\windows\system\evange.mcg c:\windows\system\freesoft.avi.scr c:\windows\system\kerneldll32.api c:\windows\system\metalica.mcg c:\windows\system\molani.scr c:\windows\system\mope.scr c:\windows\system\ova13.mcg c:\windows\system\pamxx.mcg c:\windows\system\picsxxx.mcg c:\windows\system\piratas.mcg c:\windows\system\saint.mcg c:\windows\system\seaevil.mcg c:\windows\system\termi.mcg NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", etc.). También crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run w32alanis = c:\windows\system\mope.scr Crea o modifica la siguiente clave del registro, para deshabilitar el editor del mismo (REGEDIT.EXE): HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\System DisableRegistryTools = dword:00000001 Esto produce el mensaje "El administrador ha deshabilitado la edición del registro" cuando se intenta ejecutar REGEDIT. En Windows 95, 98 y Me, el gusano modifica el archivo SYSTEM.INI para autoejecutarse en cada reinicio: [windows] shell = explorer.exe c:\windows\system\cleanmgr.mcg El gusano intenta copiarse cada 3 minutos en cualquier disquete insertado en la unidad A, que no esté protegido contra escritura, con cualquiera de los siguientes nombres: a:\axebah.exe a:\badboys!!.scr a:\piratas.scr a:\ring.exe También crea los siguientes archivos: c:\alanis.html c:\avril.html c:\evan.html c:\nemo.html c:\pamelaxxx.html c:\mis documentos\alanis.html c:\mis documentos\avril.html c:\mis documentos\evan.html c:\mis documentos\nemo.html c:\mis documentos\pamelaxxx.html El código HTML contiene una rutina en JavaScript, que se ejecuta cuando es abierto con el Internet Explorer, aprovechándose de una vulnerabilidad conocida en el manipulador MHTML de Outlook Express, descripto en el boletín MS03-014 (ver http://www.vsantivirus.com/vulms03-014.htm), por medio de la cual un intruso puede ejecutar un archivo en un sistema remoto. Cuando ello ocurre, se crea una copia de ALANIS.EXE (embebido en el HTML), en una carpeta temporal y luego se ejecuta, todo sin ningún tipo de aviso que le permita al usuario sospechar. El gusano puede propagarse por las siguientes redes P2P (además del ICQ): Edonkey2000 Grokster ICQ KaZaA Lite KaZaA Morpheus WinMX Para ello se copia en las siguientes carpetas, con los nombres que se muestran más abajo: c:\archivos de programa\edonkey2000\incoming\ c:\archivos de programa\grokster\my grokster\ c:\archivos de programa\icq\shared files\ c:\archivos de programa\kazaa lite\my shared folder\ c:\archivos de programa\kazaa\my shared folder\ c:\archivos de programa\morpheus\my shared folder\ c:\archivos de programa\winmx\my shared folder\ Nombres de archivos: axebah.exe badboys!!.scr freesoft.avi.scr molani.scr mope.scr piratas.scr ring.exe El gusano también crea el siguiente archivo de texto, con la figura de un conocido personaje, en caracteres ASCII: C:\tazmania.txt El contenido de ese archivo es el siguiente (si se visualiza con caracteres proporcionales, como "Courier" por ejemplo): demionklaz@hotmail.com , .-'"'=;_ , |\.'-~`-.`-`;/| \.` '.'~-.` './ (\`,__=-'__,'/) _.-'-.( d\_/b ).-'-._ /'.-' ' .---. ' '-.`\ /' .' (= (_) =) '. `\ /' .', `-.__.-.__.-' ,'. `\ ( .'. V V ; '. ) ( |:: `-,__.-.__,-' ::| ) | /|`:. .:'|\ | | / | `:. :' |`\ | | | ( :. .: ) | | | | ( `:. :' ) | | | | \ :. .: / | | | | \`:. .:'/ | | ) ( `\`:. .:'/' ) ( ( `)_ ) `:._.:' ( _(` ) \ ' _) .' `. (_ ` / \ '_) / .'"```"'. \ (_` / `'"` \ ( ) / `"'` ___ `.`. .'.' ___ .` ``"""'''--`_) (_'--'''"""`` `. (_(_(___...--'"'` `'"'--...___)_)_) [DemionKlaz]..................[DK] El código del gusano, contiene también el siguiente texto: por que te quiero tanto fiorela * Reparación manual * Editar el registro 1. Descargue el siguiente archivo (Restore.reg): http://www.videosoft.net.uy/restore.reg 2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro. 3. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: w32alanis 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Modificar SYSTEM.INI 1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 2. Busque lo siguiente: [boot] shell = explorer.exe c:\windows\system\cleanmgr.mcg y déjelo así: [boot] shell = explorer.exe 3. Grabe los cambios y salga del bloc de notas * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados 4. Reinicie su computadora * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 1 - Troj/Stash.A. Descarga software y roba información _____________________________________________________________ http://www.vsantivirus.com/troj-stash-a.htm Nombre: Troj/Stash.A Tipo: Caballo de Troya Alias: Stash, Win32/Stash.A Fecha: 7/nov/03 Plataforma: Windows 32-bit Reportado por: F-secure Troyano capaz de descargar otro software y robar información del equipo infectado. El componente de descarga (downloader) se propagó en forma de spam, en múltiples mensajes enviados el 7 de noviembre de 2003. Una vez activo, el mismo descarga y ejecuta el componente capaz de robar información. El nombre del adjunto enviado por correo electrónico (downloader), era el siguiente: photo0001.asp.scr Cuando este archivo es ejecutado con un doble clic por el usuario (la segunda extensión queda oculta en una instalación por defecto de Windows, vea en las referencias "Mostrar las extensiones verdaderas de los archivos"), el mismo descarga de una cuenta en phpwebhosting.com, un archivo ejecutable cuyo código está basado en parte, en el de Mimail.C, al que luego ejecuta. Cuando ello sucede, este archivo se copia a si mismo en la siguiente ubicación: c:\windows\netspace32.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea la siguiente entrada en el registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run NetSpace32 = c:\windows\netspace32.exe El troyano permanece luego en memoria, monitoreando las aplicaciones de Windows que son abiertas. Cuando detecta ciertas ventanas, obtiene determinada información de ellas y almacena ésta en el siguiente archivo: c:\tmp2993.tmp Este archivo es enviado también a dos direcciones de correo almacenadas en el código del troyano. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Remoción del gusano utilizando "Process Explorer" Cómo este gusano finaliza la ejecución de varias utilidades propias de Windows, para quitarlo manualmente es necesario utilizar herramientas de terceros. Se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), los siguientes procesos (o los que aparezcan de esta lista): netspace32.exe * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\netspace32.exe c:\tmp2993.tmp Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre las entradas que contengan el siguiente nombre de archivo: c:\windows\netspace32.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 1 - W32/Mimail.dam. La versión "dañada" del Mimail _____________________________________________________________ http://www.vsantivirus.com/mimail-dam.htm Nombre: W32/Mimail.dam Alias: W32/Mimail-Dam, I-Worm.Mimail.dam, Win32/Mimail.dam, Mimail.corrupted Fecha: 10/nov/03 Debido a la cantidad de reportes recibidos, la mayoría de los fabricantes de antivirus identifican a esta variante del Mimail, que por errores en el código del mismo, no puede ejecutarse al ser abierto por el usuario. Su tamaño (el archivo ZIP que el gusano envía como adjunto), suele ser de 128 bytes. La versión operativa del gusano en cambio mide de 10Kb a 18Kb. Esta variante (no prevista seguramente por el autor), es totalmente inofensiva y no puede infectar al equipo, ya que tampoco es posible abrir el .ZIP. Simplemente borre ese archivo y el mensaje recibido. La descripción completa de las diferentes versiones del Mimail las podrá encontrar en nuestro sitio, usando "Mimail" como palabra clave en el buscador. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1222 Año 8, Martes 11 de noviembre de 2003