Mostrando mensaje 272     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1223 Año 8, Miércoles 12 de noviembre de 2003 Fecha: Miercoles, 12 de Noviembre, 2003  05:14:22 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1223 Año 8, Miércoles 12 de noviembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Sistema que detiene a los virus antes que lleguen al PC 2 - Sumario Boletines de Seguridad Microsoft, Noviembre 2003 3 - Falla crítica en servicio Estación de Trabajo (XP, 2000) 4 - W32/Xabot.A. Destructivo gusano. Se propaga por P2P, IRC 5 - Troj/Backdoor.Webber.C. La PC infectada puede enviar spam _____________________________________________________________ 1 - Sistema que detiene los virus antes que lleguen al PC _____________________________________________________________ http://www.vsantivirus.com/12-11-03.htm Sistema que detiene los virus antes que lleguen al PC * Examina toda la obra de Shakespeare en 1/60 de segundo Traducción: Angela Ruiz angela@videosoft.net.uy Un científico de computadoras de la Washington University en St. Louis, ha desarrollado una tecnología capaz de detener el software malicioso (malware), como virus y gusanos, antes que estos tengan oportunidad de alcanzar las computadoras de la oficina o el hogar. John Lockwood (Ph.D.), profesor asistente en ciencias de la computación de la Washington University, y los estudiantes graduados que trabajan en su laboratorio de investigación han desarrollado una plataforma de hardware llamada "Field- programmable Port Extender" (FPX), algo así como campo programable de extensión de puerto, que examina el malware transmitido por una red, filtrando y dejando fuera, los datos no deseados o potencialmente peligrosos. "El FPX utiliza varias tecnologías patentadas para examinar las firmas de malware rápidamente," dice Lockwood. "A diferencia de otros sistemas ya existentes de intrusión de red, el FPX utiliza hardware, no software, para escanear rápidamente los datos. El FPX puede examinar todos y cada uno de los bytes de cada paquete de datos transmitido por una red, con una tasa de 2,4 mil millones de bits por segundo. En otras palabras, el FPX podría escanear cada palabra de todos los trabajos completos de Shakespeare en la sesentava parte de un segundo". Lockwood publicó sus resultados en el siguiente documento (en inglés), descargable en formato PDF: Military and Aerospace Programmable Logic Device (MALPD), Sept.,2003. http://www.arl.wustl.edu/~lockwood/publications/MAPLD_2003_e10_lockwood_p.pdf Los virus de computadoras y los ataques de gusanos de Internet, agravan, cuestan, y son una amenaza a la seguridad de un país. Recientes gusanos como Nimda, CodeRed, Slammer, SoBig y Blaster, han infectado computadoras de todo el mundo, atascando el tráfico de grandes redes y degradando la productividad corporativa. Puede tomar semanas o meses al personal informático, limpiar todas las computadoras conectadas a través de una red después de un ataque. El costo directo por la recuperación de sistemas atacados por la segunda versión del CodeRed por ejemplo, significó 2,6 mil millones de dólares. Los cortafuegos existentes hacen poco para proteger contra tales ataques. Una vez que unos pocos sistemas ceden, los gusanos avanzan para infectar otras máquinas, y se extienden rápidamente a través de una red. "El caso es similar al de la extensión de una enfermedad contagiosa como el SARS; el número de computadoras infectadas crecerá exponencialmente a menos que sea contenida", dice Lockwood. "La velocidad de las computadoras actuales y el vasto alcance de Internet, hacen que un virus de computadora o un gusano de Internet, se propague mucho más rápidamente que las enfermedades humanas. En el caso del SoBig, más de un millón de computadoras fueron infectadas dentro de las primeras 24 horas y más de 200 millones la primera semana". Hoy, la mayoría de los gusanos de Internet y los virus, no se propagan hasta que primero alcancen la computadora personal de un usuario final. Es difícil que las compañías, las universidades, y las agencias del gobierno mantengan la seguridad de toda la red mundial. * Injusta carga para usuarios finales "Colocar toda la carga de la detección en el usuario final, no es eficiente ni confiable, porque las personas comunes, tienden a ignorar las advertencias acerca de instalar un nuevo software de protección y la última actualización de seguridad", indica Lockwood. "Nuevas vulnerabilidades son descubiertas a diario, pero no todos los usuarios se toman el tiempo para descargar los nuevos parches en el momento en que estos son anunciados. Puede tomar semanas para un departamento técnico, erradicar las versiones antiguas de un software vulnerable que se está ejecutando en las computadoras de un sistema final". La alta velocidad del FPX es posible, gracias a la lógica utilizada, denominada "Field Programmable Gate Array" (FPGA), explica Lockwood. Estos circuitos FPGA, se utilizan en forma paralela para escudriñar y filtrar el tráfico de Internet, de gusanos y virus. El grupo de Lockwood ha desarrollado y ha aplicado circuitos que procesan los paquetes de protocolos de Internet (IP), directamente en el hardware. También han desarrollado varios circuitos que escanean rápidamente el flujo de los datos, en busca de cadenas o expresiones regulares, para encontrar las firmas que el malware lleva, dentro de la carga útil de los paquetes de Internet. "En el FPX, el hardware se puede reconfigurar dinámicamente para buscar nuevas pautas de ataque desde la propia red", dice Lockwood. "Cuando un nuevo gusano de Internet o un virus es detectado, múltiples dispositivos de FPX se pueden programar inmediatamente, para buscar sus firmas. Cada dispositivo de FPX filtra entonces todo el tráfico que fluye por la red, de modo que inmediatamente es puesto en cuarentena cualquier gusano o virus, dentro de cada subred. Con solo unos pocos de tales dispositivos instalados entre subredes, se puede proteger a millares de usuarios. Instalando múltiples dispositivos en ubicaciones claves, se protegen grandes redes." Una compañía de St. Louis, llamada Global Velocity, está construyendo sistemas comerciales que utilizan la tecnología FPX. Esta compañía trabaja con empresas locales, corporaciones internacionales, universidades, y con el propio gobierno norteamericano, para crear planes que permitan instalar estos sistemas, tanto en redes locales como en las grandes redes. El dispositivo se auto integra fácilmente dentro de redes existentes del tipo Gigabit Ethernet o Asynchronous Transfer Mode (ATM). El FPX propiamente dicho, queda dentro de un chasis que se puede montar en cualquier rack de la red. Cuándo un virus o gusano es descubierto, el sistema puede detener silenciosamente todo el tráfico malicioso, o generar un mensaje emergente en la computadora del usuario final. Un administrador utiliza una simple interface basada en la Web, para controlar y configurar el sistema. [Traducción libre del artículo original publicado en el web de la Washington University de St. Louis, de acuerdo a su declaración de Copyright, http://news-info.wustl.edu/privacy/] * Artículo original: System halts computer viruses, worms, before end-user stage Scanning all of Shakespeare in 1/60th of a second http://news-info.wustl.edu/tips/page/normal/477.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Sumario Boletines de Seguridad Microsoft, Noviembre 2003 _____________________________________________________________ http://www.vsantivirus.com/ms-sumario1103.htm Sumario Boletines de Seguridad Microsoft, Noviembre 2003 Por Lissette Zapata liszapata@videosoft.net.uy Microsoft ha publicado cuatro nuevos parches para sus productos, en su nuevo método de publicación mensual y unificada, parte de su nueva estrategia en seguridad informática. Tres de estos corresponden a diversos productos de Microsoft Windows, incluido un parche acumulativo para Internet Explorer que suplanta los anteriores para ese software. También se incluye un parche para los productos Word y Excel del paquete Microsoft Office. Tres de los cuatro parches son considerados críticos. Este es un resumen de todos ellos (las descripciones de los mismos serán ampliadas en nuestros próximos boletines). * Boletín de seguridad MS03-048 Parche acumulativo para Internet Explorer (824145) Algunas de las vulnerabilidades cubiertas por este parche, podrían ejecutar un código arbitrario en el sistema del usuario, en el contexto de seguridad que posea éste en el sistema atacado. Nivel de gravedad: Crítico Impacto: Ejecución remota de código Fecha revisión: 11 de noviembre de 2003 Afecta a los siguientes productos: Microsoft Windows Millennium Edition Microsoft Windows NT Workstation 4.0, Service Pack 6a Microsoft Windows NT Server 4.0, Service Pack 6a Microsoft Windows NT Server 4.0, Terminal Server Edition, SP6 Microsoft Windows 2000 Service Pack 2, 3 y 4 Microsoft Windows XP, Microsoft Windows XP SP1 Microsoft Windows XP 64-Bit Edition Microsoft Windows XP 64-Bit Edition Version 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 64-Bit Edition Más información y descarga de los parches: http://www.microsoft.com/technet/security/bulletin/MS03-048.asp * Boletín de seguridad MS03-049 Desbordamiento de búfer en el servicio de Estación de Trabajo (Workstation Service), puede permitir la ejecución de código (828749) Nivel de gravedad: Crítico Impacto: Ejecución remota de código Fecha revisión: 11 de noviembre de 2003 Afecta a los siguientes productos: Microsoft Windows 2000 Service Pack 2, 3 y 4 Microsoft Windows XP, Microsoft Windows XP Service Pack 1 Microsoft Windows XP 64-Bit Edition Nota: Las actualizaciones de seguridad para Windows XP publicadas el 15 de octubre, que forman parte del boletín MS03-043 (828035), ya incluyen el archivo de actualización que ayuda a proteger esta vulnerabilidad. Si usted aplicó dicho parche, no tiene que volver aplicar esta actualización. En cambio, la actualización de seguridad de Windows 2000 que formaba parte del boletín MS03-043 (828035), no ayuda a proteger ésta vulnerabilidad, motivo por el cuál, los usuarios de Windows 2000 deberían aplicar de todos modos la presente actualización. Más información y descarga de los parches: http://www.microsoft.com/technet/security/bulletin/MS03-049.asp * Boletín de seguridad MS03-050 Vulnerabilidades en Microsoft Word y Microsoft Excel pueden permitir la ejecución de código (831527) Nivel de gravedad: Importante Impacto: Ejecución remota de código Fecha revisión: 11 de noviembre de 2003 Productos afectados: Microsoft Excel 97 Microsoft Excel 2000 Microsoft Excel 2002 Microsoft Word 97 Microsoft Word 98(J) Microsoft Word 2000 Microsoft Works Suite 2001 Microsoft Word 2002 Microsoft Works Suite 2002 Microsoft Works Suite 2003 Microsoft Works Suite 2004 Más información y descarga de los parches: http://www.microsoft.com/technet/security/bulletin/MS03-050.asp * Boletín de seguridad MS03-051 Desbordamiento de búfer en las extensiones de servidor de Microsoft FrontPage, pueden permitir la ejecución de código (813360) Nivel de gravedad: Crítico Impacto: Ejecución remota de código Fecha revisión: 11 de noviembre de 2003 Afecta a los siguientes productos: Microsoft Windows 2000 Service Pack 2, Service Pack 3 Microsoft Windows XP, Microsoft Windows XP Service Pack 1 Microsoft Office XP, Microsoft Office XP Service Release 1 Más información y descarga de los parches: http://www.microsoft.com/technet/security/bulletin/MS03-051.asp * Relacionados: Microsoft da a conocer nuevo plan de seguridad http://www.vsantivirus.com/lz10-10-03.htm MS03-043 Ejecución de código con el Mensajero (828035) http://www.vsantivirus.com/vulms03-043.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Falla crítica en servicio Estación de Trabajo (XP, 2000) _____________________________________________________________ http://www.vsantivirus.com/cert-ca-2003-28.htm Falla crítica en servicio Estación de Trabajo (XP, 2000) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy El CERT advierte sobre un desbordamiento de búfer en el Servicio de Estación de Trabajo de Windows (Workstation Service). La falla se produce en el archivo WKSSVC.DLL. Un atacante puede explotar esta falla de forma remota, pudiendo ejecutar código en forma arbitraria en el equipo vulnerable, o provocar un cuelgue del mismo (denegación de servicio). La falla afecta a Windows 2000 SP2, SP3 y SP4, Windows XP, y Windows XP SP1, además de Windows XP Edición de 64-Bits. Microsoft publicó el boletín MS03-049 con el parche para esta falla. Básicamente se trata de un desbordamiento de búfer en el elemento WKSSVC.DLL, que puede ser explotado a través de un mensaje de red creado maliciosamente. La falla fue reportada por eEye Digital. La vulnerabilidad es causada en las funciones de administración de red del servicio DCE/RPC y en una función de inicio de sesión implementada en el Servicio de Estación de Trabajo. Varias funciones RPC permitirán el pasaje de cadenas excesivamente largas, a la rutina utilizada para crear entradas en el registro. Esta rutina no comprueba los límites para los parámetros definidos, provocándose el desbordamiento del búfer asignado si la cadena recibida es muy extensa. Un atacante podría ejecutar código en forma arbitraria, con privilegios de sistema, o causar una denegación de servicio. Esto podría ser utilizado por algún gusano de Internet, por lo que su actualización es catalogada como crítica. El parche correspondiente está disponible en el boletín MS03- 049 de Microsoft: http://www.microsoft.com/technet/security/bulletin/MS03-049.asp El CERT aconseja bloquear el acceso a los puertos 138, 139, y 445 (TCP y UDP), para limitar la exposición a los ataques. Sin embargo, este bloqueo no impedirá que un intruso desde el interior de la red pueda explotar esta vulnerabilidad. También el uso de un cortafuegos impedirá el acceso desde el exterior. Se puede utilizar cortafuegos de terceros o habilitar en Windows XP el ICF (Internet Connection Firewall). Para ello, siga estos pasos: Desde Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. Pinche en "Aceptar". * Deshabilitar el Servicio de Estación de Trabajo Dependiendo de los requisitos del sitio, se puede deshabilitar el servicio Estación de Trabajo de acuerdo a lo descripto en el boletín MS03-049. En Windows XP: Inicio, Panel de control, Herramientas administrativas (o Rendimiento y mantenimiento, Herramientas administrativas), Servicios. Buscar en nombre, "Estación de trabajo" y hacer doble clic. En General, en "Estado del servicio", pinchar en "Detener". Seleccionar en "Tipo de inicio", "Deshabilitado". Pinchar en "Aceptar". En Windows 2000: Inicio, Configuración, Panel de control. Doble clic en "Herramientas administrativas", luego en "Servicios", y finalmente en "Estación de trabajo". En General, en "Estado del servicio", pinchar en "Detener". Seleccionar en "Tipo de inicio", "Deshabilitado". Pinchar en "Aceptar". Esto ayudará a proteger el sistema contra ataques que intenten explotar esta vulnerabilidad, aunque también puede ocasionar otros efectos no deseados. Según Microsoft, si el servicio de Estación de Trabajo es deshabilitado, el sistema no podrá conectarse a ningún recurso compartido de archivo, ni compartir recursos de impresión en una red. Se deberá utilizar esta solución temporal, únicamente en sistemas independientes (equipo doméstico), que no se conectan a ninguna red. Si el servicio de Estación de Trabajo es deshabilitado, ningún servicio que dependa explícitamente del mismo se iniciará, y un mensaje de error será enviado por el registro de sucesos del sistema. Los siguientes servicios dependen del servicio de Estación de Trabajo: º Alerta (Alerter) º Examinador de Equipos (Browser) º Messenger (Mensajero) º Net Logon º RPC Locator (Localizador RPC) Dichos servicios son necesarios para acceder a los recursos de una red y para realizar autenticación de dominio. Por otra parte, la conectividad de Internet y la navegación en sistemas independientes, por ejemplo usuarios con conexiones telefónicas (dial-up), DSL, o cable módem, no deberían ser afectadas si estos servicios son deshabilitados. Tampoco la herramienta Microsoft Baseline Security Analyzer funcionará si el servicio de Estación de Trabajo es deshabilitado. Si una aplicación requiere este servicio, simplemente se deberá restablecer el mismo. Esto puede hacerse repitiendo los pasos indicados antes, y cambiando el "Tipo de Inicio" del servicio de Estación de Trabajo a "Automático" en lugar de "Deshabilitado", y luego reiniciando el equipo. Nota: Las actualizaciones de seguridad para Windows XP publicadas el 15 de octubre, que forman parte del boletín MS03-043 (828035), ya incluyen el archivo de actualización que ayuda a proteger esta vulnerabilidad. Si usted aplicó dicho parche, no tiene que volver aplicar esta actualización. En cambio, la actualización de seguridad de Windows 2000 que formaba parte del boletín MS03-043 (828035), no ayuda a proteger ésta vulnerabilidad, motivo por el cuál, los usuarios de Windows 2000 deberían aplicar de todos modos la presente actualización. Más información y descarga de los parches: http://www.microsoft.com/technet/security/bulletin/MS03-049.asp * Más información: CERT Advisory CA-2003-28 Buffer Overflow in Windows Workstation Service http://www.cert.org/advisories/CA-2003-28.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Xabot.A. Destructivo gusano. Se propaga por P2P, IRC _____________________________________________________________ http://www.vsantivirus.com/xabot-a.htm Nombre: W32/Xabot.A Tipo: Gusano de Internet Alias: Xabot, W32.Xabot.Worm Fecha: 9/nov/03 Plataforma: Windows 32-bit Tamaño: 220,634 bytes Reportado por: Symantec Este gusano se propaga por canales de IRC (Internet Relay Chat) y redes de intercambio de archivos entre usuarios (P2P). Posee capacidades de caballo de Troya de acceso remoto, que le permite a un atacante tomar el control de la computadora infectada. También realiza modificaciones en el registro, que comprometen la estabilidad y seguridad del sistema. La existencia del archivo WININIT32.EXE podría indicar una posible infección. Cuando se ejecuta, el gusano se copia con ese nombre en la siguiente ubicación: c:\windows\system\wininit32.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). También se copia en las carpetas compartidas con otros usuarios, de las utilidades KaZaa, Morpheus, iMesh, eDonkey2000, LimWire, y en la carpeta de Windows "My Music folder", con los siguientes nombres: Doom 3 NO CD Crack.exe Half-Life 2 Keygen.exe Half-Life 2 NO CD Crack.exe Jedi Academy NO CD Crack.exe Max Payne 2 NO CD Crack.exe Medal Of Honor - Pacific Assault NO CD Crack.exe Crea los siguientes valores en el registro: HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporing AllOrNone = "1" IncludeKernelFaults = "1" IncludeMicrosoftApps = "1" IncludeWIndowsApps = "1" ShowUI = "0" DoReport = "0" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce SysInit = wininit32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SysInit = wininit32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices SysInit = wininit32.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce SysInit = wininit32.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SysInit = wininit32.exe HKLM\SOFTWARE\Microsoft\Windows\Active Setup \Installed Components\SysInit StubPath = wininit32.exe HKLM\SOFTWARE\Microsoft\Windows\Connect LastMonth = [mes actual] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\System DisableRegistryTools = "1" HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\Explorer DisallowRun = "1" HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\DisallowRun 1 = lockdown.exe 2 = vsmain.exe 3 = msconfig.exe 4 = zonealarm.exe 5 = zapro.exe 6 = blackd.exe 7 = blackice.exe 8 = processmonitor.exe 9 = pmon.exe 10 = smc.exe 11 = generics.exe 12 = netstat.exe 13 = ethereal.exe 14 = sniffem.exe 15 = monitor.exe 16 = lockdown2000.exe 17 = webtrap.exe 18 = programauditor.exe 19 = sniffem.exe 20 = jammer.exe 21 = ldnetmon.exe 22 = safeweb.exe 23 = realmon.exe 24 = guw32.exe 25 = regmon.exe 26 = netmon.exe 27 = portmon.exe 28 = filemon.exe 29 = scan32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- Borra de las entradas siguientes, los valores que se detallan más abajo: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valores borrados: 3Dfx Acc ABsr Absr AdobeA adp Adservice Advapi AIM reminder Alevir Alogserv Amon AnVir Aornum Api Apvxd Apvxdwin Arupld32 Atrack ausvc Avast32 AvconsoleEXE Avgserv9.exe AvMaiSrv avpcc avx communicator avxlni awhost32 Backwork bargains bitdefenderlive BlackIce Utility BMail Installation Bnexe BOCleanautostart Bonzi Buddy boot Bymer.Scanner cAgOu CC2KUI Ccapp Ccevtmgr Ccpxysvc Ccregvfy Cd_load Choke CLICKTHEBUTTON cmd CMD CmeSYS Cmesys CMESys CmeUPD Cmgrdian ColdLife - icmp ColdLife ?icmp Com+Services Comsocks config32.exe Configuration Loader Configuration Manager Configuration Wizard CoreSrv Cpd Cpdclnt CriticalUpdate CyDoor Debug Default distributed.net client dlder DownloadWare Dvp95 Eac_Cnry eixfi Element explore Explorer explorer Explorer de la dc Explorer32 ExplorerTask F-StopW fSys FuckCop fuckyou Gator Generic Host Process for Win32 Services... GForce4DR Gforce4DRv GForce4DRv GhostStartTrayApp I386 Internat32.exe InternetConfigure Kernel32 Kernell32 LangSupportEx LoadBlackD LoadDBackUp Loader LoadFonts LoadOrderVerification LoadWinConf LoadWinConf LTM2 McAfee Firewall McAfeeVirusScanService messnger Microsoft Configuration Microsoft Diagnostic Microsoft Netview Microsoft System Monitor mnsvc MPFExe MprHTML Ms Spool32 MSAdmin msconfigurator MSKernel32 msn msnb Msrc MSREGIT Mswincfg murphy shield MxHLp32 Myapp NAV Agent NAV Configuration Wizard NAV DefAlert NAV Live Update navapw32 NeroCheck Netapi Network Connections Nod32CC Norton Auto-Protect NT Guard NTFix NTsocket ogrc PAV.EXE PCStart PersFw poeto. Pop3trap.exe PPMemCheck print sharing PrinTray procmon Program In Windows ps2 RapApp rdvs Registry Remote Procedure Call Locator Run_cd rundll rundll32 Rundllsystem32 RunProg rvds ScanInicio ScrSvr server serverex Shellapi32 sistrai.exe sistray ssdpsrv.exe ssdpsvr.exe Supernova Sustem SVHOST Svhost Loader Svhost Loader SymTray - Norton SystemWorks SyncAgent SysProtect SysScan System Configuration System Monitor System Service System Service SystemBoot SystemFTP SystemMD SystemReg System-Service systemtray systemtray32 SystemTray32 SystemUpdate systray SysTray SysTray32 Task Bar Task Manager TaskMan TaskMonitor TaskReg Taskschd Tau monitor tcactive tcmonitor Tiny Personal Firewall TrackPointSrv TrojanScanner tskdbg UMXLDRW Update updatek updateWin VAGuard Vet Alert Vet Start UpHookSys vhostl vptray vscanner Vshwin32EXE vsmon vsmon.exe VsStatEXE webiss WebScan WebScanX Webtrap WebTrapNT.exe Whvlxd Win Server Win Server Updt WIN32 DEBUG Win32 Rundll Loader win32app Win32BaseServiceMOD Win32DLL Win386 Winahlp.exe winapidr WinApp32 WIN-BUGSFIX WinConfig Windows Windows API Structure windows auto update Windows Explorer Windows Registry Checker Windows Subsys windows update WindowsFix32 WindowsMGM WindowsUpdate WindowsUpdate WinDSNX WinDSNX WinFix32.exe WinGate initialize WinHelp Wininit WinLoader WinProfile WinProxy wins winserver Winsock2 driverSysCmd Winsock32 driver Winsvc32 Winsys WinSystem WINTASK winupd32.exe WinUpdate WinUpdatermsdos423 WQK Zonavirus ZoneAlarm ZoneAlarm Pro zzgshp También intentará borrar los siguientes archivos de la carpeta System (o System32) de la computadora infectada: cnfgldr.exe iexplore.exe msgsrv.exe msnb.exe nav32_loader.exe ravmond.exe syscfg32.exe syslog.exe sysmon16.exe taskmrg.exe tcpsvs32.exe tskman.exe tskmgr32.exe win.exe winhelp.exe winservices.exe winsys.exe También intentará borrar los siguientes archivos de la carpeta Windows (o WinNT): auth.ini bigmac.exe direcx.dll dwn.dat explore.exe fdrive.dat fonts\explorer.exe fonts\rundll32.exelitmus\winup.exe gates.txt hello-kitty.exe iiscache.dll litmus\killer.exe litmus\msgorv32.exe litmus\msgsrv32.exe litmus\msgsrv320.exe mirc.exe mirc.ini mirc2.ini mirc3.ini mirc32.exe pr.ini psexec.exe rconnect.exe remote.ini script.ini settings.ini sntmls.dat sntmls.dat temp.exe temp.scr temp\r.bat temp2.exe vbrun7.dll whvlxd.dat whvlxd.exe winmgm32.exe winnt32.nfo Utiliza su propio cliente de IRC para conectarse a un canal específico, donde aguarda los comandos enviados por un atacante. * Reparación manual Debido a la naturaleza destructiva del gusano, luego de una infección, probablemente deba reinstalar Windows y todos los programas que dejen de funcionar. Una opción, es reintegrar el registro desde una fecha anterior a la infección, utilizando la herramienta "Restaurar sistema" en Windows Me o XP (desde Inicio, Ejecutar, escriba RSTRUI.EXE más Enter). * Editar el registro 1. Descargue el siguiente archivo (Restore.reg): http://www.videosoft.net.uy/restore.reg 2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro. 3. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir cada una de las siguientes ramas: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\SOFTWARE\Microsoft \Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft \Windows\CurrentVersion\RunOnce 5. Pinche en la carpeta "Run", "RunOnce" o "RunService" según corresponda, y en el panel de la derecha busque y borre la siguiente entrada: SysInit = wininit32.exe 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \PCHealth\ErrorReporing 7. En la ventana de la derecha, borre los siguientes valores: AllOrNone = "1" IncludeKernelFaults = "1" IncludeMicrosoftApps = "1" IncludeWIndowsApps = "1" ShowUI = "0" DoReport = "0" 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \Active Setup\Installed Components\SysInit 9. Pinche en la carpeta "SysInit" y en el panel de la derecha busque y borre la siguiente entrada: StubPath = wininit32.exe 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Connect 11. Pinche en la carpeta "Connect" y en el panel de la derecha busque y borre la siguiente entrada: LastMonth = [mes] 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER\SOFTWARE\Microsoft \Windows\CurrentVersion\Policies\Explorer 13. Pinche en la carpeta "Explorer" y en el panel de la derecha busque y borre la siguiente entrada: DisallowRun = "1" 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\Explorer\DisallowRun 15. Pinche en la carpeta "DisallowRun" y en el panel de la derecha busque y borre las siguientes entradas: 1 = lockdown.exe 2 = vsmain.exe 3 = msconfig.exe 4 = zonealarm.exe 5 = zapro.exe 6 = blackd.exe 7 = blackice.exe 8 = processmonitor.exe 9 = pmon.exe 10 = smc.exe 11 = generics.exe 12 = netstat.exe 13 = ethereal.exe 14 = sniffem.exe 15 = monitor.exe 16 = lockdown2000.exe 17 = webtrap.exe 18 = programauditor.exe 19 = sniffem.exe 20 = jammer.exe 21 = ldnetmon.exe 22 = safeweb.exe 23 = realmon.exe 24 = guw32.exe 25 = regmon.exe 26 = netmon.exe 27 = portmon.exe 28 = filemon.exe 29 = scan32.exe 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados 4. Reinicie su computadora * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Troj/Backdoor.Webber.C. La PC infectada puede enviar spam _____________________________________________________________ http://www.vsantivirus.com/back-webber-c.htm Nombre: Troj/Backdoor.Webber.C Tipo: Caballo de Troya Alias: Webbber, Troj/Webber-C, TrojanProxy.Win32.Webber.a, TrojanDownloader.Win32.Small.bu, BackDoor-AXJ Fecha: 10/nov/03 Puertos: 7714 y 8546 (pueden modificarse) Tamaños: 39,140 bytes, 5,633 bytes Plataforma: Windows 32-bit Troyano que roba información confidencial de la computadora infectada, así como datos de cuentas bancarias, capturando todo lo tecleado por el usuario al acceder a bancos on-line. También puede descargar otros componentes de Internet, además de enviar la dirección IP de la máquina infectada a otros equipos, actuando como Proxy de hasta 100 conexiones simultáneas. Esto puede ser usado para que un usuario remoto utilice la máquina infectada como "lanzadera" de cualquier clase de datos, por ejemplo SPAM. Fue distribuido a través de un mensaje como el siguiente, enviado como SPAM, el 10 de noviembre de 2003, con un adjunto con extensión .PIF: De: Account Manager <accounts_manager@citibank.com> Asunto: Re: Your credit application Datos adjuntos: www.citybankhomeloan.htm.pif Texto: Dear sir, Thank you for your online application for a Citibank Home Equity Loan. In order to be approved for any loan application we pull your Credit Profile and Chexsystems information, which didn't satisfy our minimum needs. Consequently, we regret to say that we cannot approve you for Citibank Home Equity Loan at this time. *Attached are copy of your Credit Profile and Your Application that you submitted with us. Please take a close look at it, you will receive hard copy by mail withing next few days. El mensaje afirma ser la devolución de cierta información sobre créditos solicitados a una institución bancaria, simulando que los mismos fueron rechazados. Cuando se ejecuta el adjunto (que por su nombre pretende engañar al usuario haciéndose pasar por una dirección de Internet), se descarga e instala clandestinamente un servidor proxy (un .EXE de 39,140 bytes), que consta, además de un archivo .DLL (5,633 bytes). Crea también un mutex llamado "Webber10_" para indicar su ejecución a otros procesos y a él mismo. También descarga y ejecuta desde una dirección de Internet, un archivo llamado NEHER.GIF que en realidad es un ejecutable, y es copiado como tal en el sistema. Este componente es un robador de contraseñas, que intenta extraer información de la máquina infectada y enviarla a un script de CGI en una dirección determinada. El troyano busca toda la información almacenada en el caché de contraseñas de Windows, lo que incluye contraseñas de accesos telefónicos, etc. Para registrar la información obtenida, utiliza los siguientes archivos en la carpeta System: c:\windows\system\[xxxxxxx].dat c:\windows\system\[xxxxxxx].vxd c:\windows\system\[xxxxxxx].sys Donde [xxxxxxx] son 7 caracteres al azar. NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Luego, registra todas las ventanas abiertas e intercepta cualquier clase de datos ingresados a ellas, así como el contenido del portapapeles (lo que se guarda al seleccionar Cortar o Copiar). También puede interceptar accesos a cuentas bancarias on- line, y robar la información ingresada. Para que el usuario ingrese los datos desde el teclado, modifica el registro para que los mismos no queden guardados por defecto (la opción "Recordar datos"). Para ello cambia estos valores: HKCU\Software\Microsoft\Internet Explorer\Main FormSuggest Passwords = Yes FormSuggest PW Ask = Yes Use FormSuggest = Yes El componente principal, se copia a si mismo en el directorio System de Windows, y luego crea el DLL correspondiente. Todos los archivos copiados utilizan nombres creados al azar, de 8 o 6 caracteres. El troyano no crea ni modifica ninguna entrada conocida en el registro o archivos de inicio de Windows para autoejecutarse. En lugar de ello, emplea un mecanismo diferente, modificando la siguiente clave del registro: HKCR\CLSID\{79FA9088-19CE-715D-D85A-216290C5B738} InProcServer32 = [nombre del componente DLL] ThreadingModel = Apartment HKLM\Software\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad Web Event Logger = {79FA9088-19CE-715D-D85A-216290C5B738} Básicamente, la librería .DLL del troyano se identifica como clase con un valor específico, de 128 bits, el denominado Class ID (la clave CLSID en el registro de Windows). Luego, se apunta la subclave "InprocServer32" a dicha librería para ponerla en funcionamiento cuando se ejecuta un evento determinado. El valor "ThreadingModel" con el dato "Apartment", indica que el objeto solo puede ejecutar un solo hilo. Finalmente se suplanta el valor correspondiente al "Monitor de sitios Web" del Internet Explorer (que entre otras cosas carga la página de Inicio del Explorer), por una llamada a la Class ID creada por el troyano. Como resultado, de acuerdo a ciertos eventos, el troyano será activado. El componente principal es un proxy que queda "escuchando" hasta 100 conexiones informando la dirección IP de la máquina infectada. Además envía la información capturada antes por el robador de contraseñas, a una dirección específica de Internet, especificada en su código: http:/ /www.valenok.red-host.com También puede descargar y ejecutar otros archivos desde Internet. El troyano contiene el siguiente texto en su código: Neher(HEXEP) coded by HangUP Team (commercial version). Greetz to: Hunk,Ares,Z0mbie,FreeHunt,SBVC,TSRH,Vecna';) A zdes mogla bi bit vasha reklama ;) * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \ShellServiceObjectDelayLoad 3. Pinche en la carpeta "ShellServiceObjectDelayLoad" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Web Event Logger 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID 5. Pinche en la carpeta "CLSID" y borre la siguiente entrada: {79FA9088-19CE-715D-D85A-216290C5B738} 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1223 Año 8, Miércoles 12 de noviembre de 2003