Mostrando mensaje 276     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1227 Año 8, Domingo 16 de noviembre de 2003 Fecha: Domingo, 16 de Noviembre, 2003  02:25:19 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1227 Año 8, Domingo 16 de noviembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Fallos en "software" de voto electrónico en EE.UU 2 - W32/Yaha.AF. Modifica archivos, elimina antivirus 3 - Troj/Naldem.A. Archivo ejecutable: DIVX.EXE 4 - Troj/SysCenter.A. Se instala en forma furtiva _____________________________________________________________ 1 - Fallos en "software" de voto electrónico en EE.UU _____________________________________________________________ http://www.vsantivirus.com/mm-fallos-voto.htm Fallos en "software" de voto electrónico en EE.UU Por Mercè Molist (*) colaboradores@videosoft.net.uy * Fallos en "Software" de voto electrónico ponen en duda las victorias republicanas en EE.UU. La Electronic Frontier Foundation y la mayoría de universidades de los Estados Unidos se han unido para denunciar las prácticas fraudulentas de una importante empresa de votación electrónica, Diebold Elections Systems. Un hacker entró en el sistema de la compañía y copió 15.000 documentos confidenciales, que puso a disposición del público. En ellos se demuestra que el "software" de Diebold, usado en las elecciones que dieron la victoria a Bush y Schwazeneger, tenía agujeros que permitían cambiar los votos. En marzo, alguien se introdujo en los servidores de la compañía norteamericana de sistemas de votación electrónica, Diebold Elections Systems, y copió 1,8 gigabits de datos, la mayoría correo electrónico desde 1999 y documentos internos. Diebold suministra máquinas de votación electrónica a 37 estados y tiene repartidas más de 50.000 terminales por el país. Los documentos demostraban que la empresa conocía los graves errores de seguridad en sus programas, que podían provocar fraude, como la posibilidad de cambiar votos sin dejar rastro o la instalación de programas no certificados por las autoridades electorales. En agosto, el hacker envió los documentos a diversos activistas, que los publicaron en sus "weblogs". Pronto, otras webs replicaron el contenido, la mayoría en universidades estadounidenses, desde Hardvard hasta el Bronx, pero también Australia, Canadá o Italia. Diebold les mandó avisos legales para que retirasen los documentos, amparándose en la ley de derechos de autor Digital Millenium Copyright Act (DMCA). Capitaneados por el grupo de estudiantes "Why War?", del Swarthmore College de Pennsylvania, los activistas iniciaron entonces una campaña de desobediencia civil electrónica, negándose a retirar el material. Según los estudiantes, "no podemos permitir la supresión de evidencias que prueban que una máquina Diebold registró 16.022 votos negativos para Al Gore en Florida, durante las elecciones presidenciales del 2000. Tampoco que el CEO de esta compañía ha dado 9.965 dólares a Bush y el partido republicano desde el 2001. Ni que Diebold se esté preparando para contar los votos de las presidenciales del próximo año. Están usando la ley del "copyright" para suprimir una información que necesita ser hecha pública". Diebold envió también un aviso legal al proveedor Online Policy Group, para que uno de sus usuarios, el San Francisco Indymedia, retirase enlaces hacia los documentos. Este ISP, sin ánimo de lucro, está ligado a la Electronic Frontier Foundation (EFF), que salió en su defensa. La EFF y la Stanford Law School han pedido una orden judicial para que Diebold deje de enviar amenazas. Según los abogados de la EFF, "las exigencias abusivas del "copyright" no pueden silenciar el debate público sobre la seguridad del voto electrónico. Estos documentos son del dominio público, por su importancia en este debate. Además, defendemos el derecho de los usuarios a enlazar con información que es crítica". Diebold ha hecho pocas declaraciones sobre el tema: que sus amenazas no significan que los documentos sean auténticos y que algunos pueden haber sido alterados, después de robados. Un ex-trabajador de la compañía ha desvelado, por su parte, que Diebold instaló, el año pasado, tres programas no certificados en 22.000 máquinas, vendidas al estado de Georgia por 56 millones. Las consecuencias no se han hecho esperar: Marc Carrel, de la secretaría de estado de California, ha anunciado que retrasará la certificación de los productos de Diebold para las elecciones de 2004, hasta que no se haga una investigación. Según Carrel, Diebold instaló programas sin certificar en 4.000 máquinas de voto electrónico del condado de Alameda, usadas en las elecciones que dieron la victoria a Arnold Schwazeneger. Otro condado californiano, San Diego, se encuentra en estos momentos negociando la compra de 10.000 máquinas Diebold. En Maryland, los demócratas han pedido una auditoría independiente a las máquinas Diebold que su estado acaba de comprar. Los demócratas no se fían de los informes de la auditora Science Application International Corp (SAIC): en julio, un estudio de dos universidades avisaba a las autoridades de Maryland de serias debilidades en el sistema de voto de Diebold. Se pidieron explicaciones a SAIC, quien replicó que los científicos no entendían el sistema. En Europa, se ha creado una plataforma para exigir la fiabilidad del voto electrónico. * Relacionados Why war? http://why-war.com/features/2003/10/diebold.html Diebold Met with 'Electronic Civil Disobedience' http://www.kuro5hin.org/story/2003/10/21/2367/2543 E-voting vendor sued for DMCA takedown http://www.theregister.co.uk/content/6/33750.html ISP Rejects Diebold Copyright Claims Against News Website http://www.eff.org/Legal/ISP_liability/20031016_eff_pr.php Electronic Frontier Foundation and Stanford Law Clinic Sue Electronic Voting Company http://www.eff.org/Legal/ISP_liability/OPG_v_Diebold/20031103_eff_pr.php Maryland Legislators Question Voting Machine Report http://www.epic.org/alert/EPIC_Alert_10.22.html Suspect Code Used in State Votes http://www.wired.com/news/evote/0,2645,61092,00.html?tw=wn_tophead_2 Resolution on voter verifiable e-voting http://www.free-project.org/resolution (*) Copyright (C) 2003 Mercè Molist. Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Yaha.AF. Modifica archivos, elimina antivirus _____________________________________________________________ http://www.vsantivirus.com/yaha-af.htm Nombre: W32/Yaha.AF Tipo: Gusano de Internet Alias: W32.Yaha.AF@mm, W32/Yaha.y@MM Fecha: 12/nov/03 Plataforma: Windows 32-bit Tamaño: 58,880 bytes Debido a la cantidad de variantes de este gusano, y al hecho de que cada antivirus ha examinado muestras en un orden diferente a como lo han hecho otras compañías, la denominación del virus varía entre fabricantes, por lo que esta descripción debe ser tomada solo como referencia. Esta versión está basada en la W32/Yaha.U. Cuando se ejecuta, crea los siguientes archivos: c:\windows\system\exe32.exe c:\windows\system\msmgr32.exe También se copia como MSMGR32.EXE en las siguientes carpetas de inicio: * Windows XP, 2000 (español e inglés) C:\Documents and Settings \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \[nombre usuario]\Menú Inicio\Programas\Inicio \[nombre usuario]\Start Menu\Programs\Startup * Windows 95, 98, Me (español e inglés) C:\WINDOWS \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \Menú Inicio\Programas\Inicio \Start Menu\Programs\Startup \Profiles\[nombre usuario]\Menú Inicio\Programas\Inicio \Profiles\[nombre usuario]\Start Menu\Programs\Startup NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", etc.). Crea el siguiente archivo, que es un troyano capaz de robar todo lo ingresado por teclado: \Cookies\anyuser@yahoo.com.txt La carpeta COOKIES puede estar en cualquiera de estas ubicaciones, según el sistema: C:\WINDOWS\Cookies C:\WINDOWS\Profiles\[nombre de usuario]\Cookies C:\Documents and Settings\Default User\Cookies C:\Documents and Settings\LocalService\Cookies C:\Documents and Settings\NetworkService\Cookies C:\Documents and Settings\[nombre de usuario]\Cookies Crea el archivo siguiente para almacenar las direcciones electrónicas obtenidas del sistema, para luego propagarse: c:\windows\system\mss32.dll Crea las siguientes ramas en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MsManager = c:\windows\system\msmgr32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService MsManager = c:\windows\system\msmgr32.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MsManager = c:\windows\system\msmgr32.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService MsManager = c:\windows\system\msmgr32.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RedWorm HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Winver HKEY_LOCAL_MACHINE\Winver Modifica las siguientes ramas en el registro: HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\System DisableRegistryTools = "1" HKCR\batfile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* HKCR\comfile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* HKCR\exefile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* HKCR\piffile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* HKCR\scrfile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* Borra las siguientes entradas del registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run syshelp WinGate initialize Module Call initialize WinServices WindowsMGM HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices WinServices HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices WindowsMGM Borra los siguientes archivos si existen: c:\windows\system\winservices.exe c:\windows\system\nav32_loader.exe c:\windows\system\tcpsvs32.exe c:\windows\system\syshelp.exe c:\windows\system\wingate.exe c:\windows\system\winrpcsrv.exe c:\windows\system\winmgm32.exe c:\windows\sntmls.dat Agrega un archivo HOSTS o LMHOSTS para bloquear el acceso a los siguientes sitios pertenecientes a conocidos antivirus: www.avp.ch www.ca.com www.mcafee.com www.microsoft.com www.pandasoftware.com www.sophos.com www.symantec.com www.trendmicro.com www3.ca.com Impide se ejecuten las siguientes aplicaciones: Winservices TCPSVS32 NAV32_LOADER WINGATE.EXE SYSHELP.EXE WINMGM32.EXE WINK Enumera todas las ventanas activas, y si alguna tiene cualquiera de los siguientes nombres, el gusano intenta terminar el proceso relacionado: Windows Task Manager System Configuration Utility Registry Editor Process Viewer Enumera todas los procesos activos, y si alguno tiene cualquiera de los siguientes nombres, el gusano intenta terminarlo: _AVP32 _AVP32.EXE _AVPCC _AVPCC _AVPCC.EXE _AVPM _AVPM.EXE AckWin32 AckWin32 ACKWIN32 AckWin32.exe AckWin32.exe ACKWIN32.EXE ADVXDWIN ADVXDWIN.EXE agentw.exe ALERTSVC ALERTSVC.EXE ALOGSERV alogserv ALOGSERV alogserv.exe ALOGSERV.EXE AMON9X AMON9X.EXE ANTI-TROJAN ANTI-TROJAN.EXE ANTS ANTS.EXE APVXDWIN apvxdwin APVXDWIN.EXE apvxdwin.exe ATCON ATCON.EXE ATUPDATER ATUPDATER.EXE ATWATCH ATWATCH.EXE AUTODOWN AutoDown AUTODOWN AUTODOWN.exe AutoDown.exe AUTODOWN.EXE AutoTrace AutoTrace.exe AVCONSOL AVCONSOL.EXE AVGCC32 AVGCC32 AVGCC32.EXE AVGCC32.EXE AVGCTRL Avgctrl AVGCTRL.EXE Avgctrl.exe AvgServ AVGSERV AvgServ AVGSERV AVGSERV.EXE AVGSERV.EXE AVGSERV9 AVGSERV9.EXE AVGW AVGW.EXE avkpop avkpop.exe AvkServ AvkServ.exe avkservice avkservice.exe avkwctl9 avkwctl9.exe AVP AVP.EXE AVP32 AVP32.EXE AVPCC avpm avpm AVPM avpm.exe AVPM.EXE Avsched32 Avsched32.exe AvSynMgr AVSYNMGR AVSYNMGR AvSynMgr AVSYNMGR AVSYNMGR.exe AVWINNT AVWINNT.EXE AVXMONITOR9X AVXMONITOR9X AVXMONITOR9X.EXE AVXMONITOR9X.EXE AVXMONITORNT AVXMONITORNT AVXMONITORNT.EXE AVXMONITORNT.EXE AVXQUAR AVXQUAR AVXQUAR.EXE AVXQUAR.EXE.EXE AVXW AVXW.EXE blackd BLACKD blackd.exe BLACKD.EXE BlackICE BlackICE.exe CDP.EXE cfgWiz cfgWiz.exe Claw95 Claw95 CLAW95 Claw95.exe Claw95.exe CLAW95.EXE Claw95cf CLAW95CF Claw95cf.exe CLAW95CF.EXE cleaner cleaner.EXE cleaner3 cleaner3.EXE CMGRDIAN CMGrdian CMGRDIAN CMGRDIAN.EXE CONNECTIONMONITOR CONNECTIONMONITOR.EXE CPD cpd.exe cpd.exe CPDClnt CPDCLNT.EXE CPDClnt.exe CTRL CTRL.EXE defalert defalert.exe defscangui defscangui.exe DEFWATCH DEFWATCH.EXE DOORS DOORS DOORS.EXE DOORS.EXE DVP95 DVP95.EXE DVP95_0 DVP95_0.EXE EFPEADM EFPEADM EFPEADM.exe EFPEADM.EXE ETRUSTCIPE ETRUSTCIPE ETRUSTCIPE.exe ETRUSTCIPE.EXE EVPN EVPN EVPN.exe EVPN.EXE EXPERT EXPERT.EXE F-AGNT95 F-AGNT95.EXE fameh32 fameh32.exe fch32 fch32.exe fih32 fih32.exe fnrb32 fnrb32.exe F-PROT F-PROT.EXE F-PROT95 F-PROT95.EXE FP-WIN FP-WIN.EXE FRW FRW FRW.EXE FRW.EXE fsaa fsaa.exe fsav32 fsav32.exe fsgk32 fsgk32.exe fsm32 fsm32.exe fsma32 fsma32.exe fsmb32 fsmb32.exe f-stopw F-STOPW f-stopw.exe F-STOPW.EXE gbmenu gbmenu.exe GBPOLL gbpoll GBPOLL.EXE gbpoll.exe GENERICS GENERICS.EXE GUARD GUARD GUARD.EXE GUARD.EXE GUARDDOG GUARDDOG.EXE iamapp IAMAPP IAMAPP iamapp.exe IAMAPP.EXE IAMAPP.EXE iamserv IAMSERV iamserv.exe IAMSERV.EXE IAMSTATS IAMSTATS.EXE ICLOAD95 ICLOAD95.EXE ICLOADNT ICLOADNT ICLOADNT.EXE ICLOADNT.EXE ICMON ICMON.EXE ICSUPP95 ICSUPP95 ICSUPP95.EXE ICSUPP95.EXE ICSUPPNT ICSUPPNT.EXE IFACE IFACE.EXE IOMON98 IOMON98 IOMON98.EXE IOMON98.EXE ISRV95 ISRV95.EXE JEDI JEDI.EXE LDNETMON LDNETMON.EXE LDPROMENU LDPROMENU.EXE LDSCAN LDSCAN.EXE LOCKDOWN LOCKDOWN.EXE lockdown2000 LOCKDOWN2000 lockdown2000.exe LOCKDOWN2000.EXE LUALL LUALL.EXE LUCOMSERVER LUCOMSERVER.EXE LUSPT LUSPT.exe MCAGENT MCAGENT.EXE MCMNHDLR MCMNHDLR.EXE Mcshield.exe MCTOOL MCTOOL.EXE MCUPDATE MCUPDATE.EXE MCVSRTE MCVSRTE.EXE MCVSSHLD MCVSSHLD.EXE MGAVRTCL MGAVRTCL.EXE MGAVRTE MGAVRTE.EXE MGHTML MGHTML.EXE MINILOG MINILOG.EXE Monitor MONITOR Monitor.exe MONITOR.EXE MOOLIVE MOOLIVE.EXE MPFAGENT.EXE MPFSERVICE MPFSERVICE.exe MPFTRAY.EXE MWATCH MWATCH MWATCH.exe MWATCH.EXE NAV Auto-Protect NAV Auto-Protect NAVAP NAVAP navapsvc navapsvc NAVAPSVC.EXE navapsvc.exe navapw32 NAVAPW32 NAVAPW32.EXE NAVENGNAVEX15 NAVENGNAVEX15 NAVLU32 NAVLU32.EXE Navw32 NAVW32 Navw32.exe NAVWNT NAVWNT.EXE NDD32 NDD32.EXE NeoWatchLog NeoWatchLog.exe NETUTILS NETUTILS.EXE NISSERV NISSERV NISSERV.EXE NISSERV.EXE NISSERV.EXE NISUM NISUM NISUM.EXE NISUM.EXE NMAIN NMAIN.EXE NORMIST NORMIST NORMIST.EXE NORMIST.EXE notstart notstart.exe NPROTECT NPROTECT.EXE npscheck npscheck.exe NPSSVC NPSSVC.EXE NSCHED32 NSCHED32.EXE ntrtscan ntrtscan.EXE NTVDM NTVDM.EXE NTXconfig NTXconfig.exe Nui.EXE Nupgrade Nupgrade.exe NVC95 NVC95 NVC95.EXE NVC95.EXE NVSVC32 NVSVC32 NWService NWService.exe NWTOOL16 NWTOOL16.EXE PADMIN PADMIN.EXE PAVPROXY pavproxy PAVPROXY.EXE pavproxy.exe PCCIOMON PCCIOMON PCCIOMON.EXE PCCIOMON.EXE pccntmon pccntmon.EXE pccwin97 pccwin97.EXE PCCWIN98 PCCWIN98.EXE pcscan pcscan.EXE PERSFW PERSFW.EXE PERSWF PERSWF.EXE POP3TRAP POP3TRAP.EXE POPROXY POPROXY.EXE PORTMONITOR PORTMONITOR.EXE PROCESSMONITOR PROCESSMONITOR.EXE PROGRAMAUDITOR PROGRAMAUDITOR.EXE PVIEW95 PVIEW95.EXE rapapp.exe RAV7 RAV7.EXE RAV7WIN RAV7WIN.EXE REALMON REALMON.EXE Rescue RESCUE Rescue.exe RESCUE.EXE RTVSCN95 RTVSCN95.EXE RULAUNCH RULAUNCH.EXE sbserv sbserv.exe SCAN32 SCAN32.EXE SCRSCAN SCRSCAN.EXE Smc SMC.EXE Sphinx SPHINX Sphinx.exe SPHINX.EXE SPYXX SPYXX.EXE SS3EDIT SS3EDIT.EXE SWEEP95 SWEEP95.EXE SweepNet SweepNet SWEEPSRV.SYS SWEEPSRV.SYS SWNETSUP SWNETSUP.EXE SymProxySvc SymProxySvc.exe SYMTRAY SYMTRAY.EXE TAUMON TAUMON.EXE TC.EXE TCA TCA.EXE TCM TCM.EXE TDS-3 TDS-3.EXE TFAK TFAK.EXE vbcmserv vbcmserv vbcmserv.exe vbcmserv.exe VbCons VbCons VbCons.exe VbCons.exe VET32 VET32 VET32.exe VET32.EXE Vet95 VET95 Vet95.exe VET95.EXE VetTray VETTRAY VetTray.exe VETTRAY.EXE VIR-HELP VIR-HELP.EXE VPC32 VPC32.EXE VPTRAY VPTRAY.EXE VSCHED VSCHED.EXE VSECOMR VSECOMR VSECOMR.EXE VSECOMR.EXE vshwin32 VSHWIN32 VSHWIN32 VSHWIN32.EXE VSMAIN VSMAIN.EXE vsmon vsmon.exe VSMON.EXE VSSTAT VSSTAT VSSTAT.EXE WATCHDOG WATCHDOG.EXE WEBSCANX WEBSCANX WEBSCANX.EXE WEBTRAP WEBTRAP.EXE WGFE95 WGFE95.EXE WIMMUN32 WIMMUN32.EXE WrAdmin WRADMIN WRADMIN WrAdmin.exe WRADMIN.EXE WRADMIN.EXE WrCtrl WRCTRL WRCTRL WrCtrl.exe WRCTRL.EXE zapro zapro.exe zonealarm zonealarm.exe WINSERVICES TCPSVS32 NAV32_LOADER WINGATE.EXE SYSHELP.EXE WINMGM32.EXE WINK AAAA Examina la carpeta C:\WINDOWS\INETPUB\WWWROOT (si existe un servidor instalado en la máquina), y sobrescribe todos los archivos con extensión .HTM o .HTML con el siguiente contenido: <BR><BR><BR><CENTER><B><U> Ha..Ha..Haaa...</CENTER></U></B> Examina todos los discos fijos y remotos, y todas las carpetas compartidas, e intenta en todos los casos las siguientes acciones: 1. Se copia en las siguientes carpetas: \windows\mccp32.exe \win98\mccp32.exe \win95\mccp32.exe \winnt\mccp32.exe \winme\mccp32.exe \winxp\mccp32.exe 2. Agrega la siguiente línea al archivo \WINDOWS\WIN.INI, bajo la entrada [WINDOWS]: [windows] run=mccp32.exe Obtiene del registro la ubicación de la carpeta compartida del KaZaa, y si la encuentra, renombra con extensión .MP3, todos los archivos .COM, .EXE o .SCR, cuyos tamaños sean mayores o iguales al del gusano (58,880 bytes). Luego, se copia el mismo con el nombre del archivo original .COM, .EXE o .SCR. El gusano agrega algunos bytes (ceros), al final de su copia, para quedar del mismo tamaño del archivo original. Por ejemplo, si existe un archivo NOMBRE.EXE, lo copia como NOMBRE.MP3 y luego se copia él mismo como NOMBRE.EXE. El gusano utiliza su propia rutina SMTP para enviarse a si mismo a todos los contactos de la libreta de direcciones, MSN Messenger, Yahoo Pager, ICQ Pager, así como a las direcciones encontradas en todos los archivos con extensiones .HT, .HTA, .HTM y .HTML. Los mensajes poseen las siguientes características: Versión 1: Asunto: Fw: Critical Patches Datos adjuntos: MS-Q3946.EXE Texto: Hi, I got this mail from Microsot support. Atlast Microsoft has got a comprehensive patch for all the vulnerabilities. Once this patch is applied, it takes care of all the recent virus problems in Microsoft products. Later.... Microsoft support wrote: >Thanks for using Microsoft products. Recent viruses have prompted micrsoft to issue patches >to all its customers worldwide. > >We are including a comprehensive patch for all windows platforms. This patch gives you >comprehensive protection against all recent viruses. > >Yours sincerely, >Kelly >Team Support >Microsoft Inc Versión 2: Asunto: Hi check your computer with this!!! Datos adjuntos: FixBlast.com Texto: Hi, I am cutting and pasting the message i got from symantec antivirus I think the last mail you sent me was infected with W32.Blaster. Rgds Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request. Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms: 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in indows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Neil Thomas Symantec Support Versión 3: Asunto: Your previous message is infected Datos adjuntos: FixBlast.com Texto: Hi, Your previous mail to me is infected with Blaster. I am attaching the tool i got from symantec site please clean your machine with the same. Best Rgds, Versión 4: Asunto: Fix for New Worm Threat Datos adjuntos: FixBlastz.com Texto: Hi, I got this mail from Mcafee Antivirus Support. There is a new variant of W32.Blaster worm. I got a special fix today in the early hours, please check your machine with the attached tool. I have also cut and pasted the steps for cleaning. Rgds Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request. Step by Step Instructions for Cleaning W32.Blaster.Z 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Jerry Nelson McAfee Support Versión 5: De: Microsoft Support <support@microsoft.com> Asunto: Critical Updates Datos adjuntos: MS-Q3526.com Texto: Dear Customer, Thanks for using Microsoft products. Recent viruses have prompted micrsoft to issue patches to all its customers worldwide. We are including a comprehensive patch for all windows platforms. This patch gives you comprehensive protection against all recent viruses. Yours sincerely, JimThompson Team Support Microsoft Inc person who registers with us through your account, we will pay you $1.5.Once your account reaches the limit of $50, your payment will be send to your registration address by check or draft. Please note that the registration process is completely free which means by participating in this program you will only gain without loosing anything. Best Regards, Admin, Versión 6: De: Symantec Support <support@symantec.com> Asunto: Fix for W32.Blaster/Welcha Datos adjuntos: FixBlast.com Texto: Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request. Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms: 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible). 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Neil Thomas Symantec Support Versión 7: De: Mcafee Support <support@nai.com> Asunto: Fix for the latest W32/Blaster.Z Datos adjuntos: Fixblastz.com Texto: Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request. Step by Step Instructions for Cleaning W32.Blaster.Z 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible). 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Jerry Nelson McAfee Support Versión 8: De: Microsoft Support <support@microsoft.com> Asunto: Critical Patches Datos adjuntos: MS-Q31338.ZIP Texto: Dear Customer, Thanks for using Microsoft products. Recent viruses have prompted micrsoft to issue patches to all its customers worldwide. We are including a comprehensive patch for all windows platforms. This patch gives you comprehensive protection against all recent viruses. Yours sincerely,. JimThompson Team Support Microsoft Inc Versión 9: De: System Administrator <admin@kpmg.com.com> Asunto: Fix for recent viruses Datos adjuntos: FIXES.ZIP Texto: Hi All, I am sending these fixes to the recent viruses which have been making rounds in the IT world. I request you to install the same in your systems and pass it to others. Yours sincerely, James System Administrator KPMG Versión 10: De: HRD Consultants <hr@consultants.com> Asunto: Your details Datos adjuntos: Requirement.zip Texto: Hi, We have your email id in our database. We have enclosed our requirements. Expecting your reply at the earliest. Kind Rgds, James Martin Versión 11: De: Symantec Support <support@symantec.com> Asunto: Fix for W32.Blaster/W32.Welcha Datos adjuntos: FixBlast.zip Texto: Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request. Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms: 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible). Extract from the zip file. 2. To check the authenticity of the digital signature, refer to the section, "Digital signature" 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Keith Johnson Symantec Support Versión 12: De: McAfee Support <support@mcafee.com> Asunto: Fix for latest W32.Blaster.Zworm Datos adjuntos: FixBlastz.zip Texto: Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request. Step by Step Instructions for Cleaning W32.Blaster.Z 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible). 2. To check the authenticity of the digital signature, refer to the section, "Digital signature" 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in indows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Richard McAfee Support Versión 13: De: Support eEye <support@eeye.com> Asunto: Microsoft RPC still vulnerable - Latest worm Datos adjuntos: RPCDCOM.ZIP Texto: Microsoft RPC Heap Corruption Vulnerability - Part II Severity: High (Remote Code Execution). Description: eEye Digital Security has discovered a critical remote vulnerability in the way Microsoft Windows handles certain RPC requests.The RPC (Remote Procedure Call) protocol provides an inter-process communication mechanism allowing a program running on one computer to execute code on a remote system. ' The vulnerability exists within the DCOM (Distributed Component Object Model) RPC interface. This interface handles DCOM object activation requests sent by client machines to the server. By sending a malformed request packet it is possible to overwrite various heap structures and allow the execution of arbitrary code. Please install the attached patch immediately. Versión 14: Asunto: Details. Datos adjuntos: details.pif Texto: Hi, See the attached file for details. Rgds Versión 15: Asunto: Thank you Datos adjuntos: thankyou.zip Texto: Please see the attached file for details Rgds Versión 16: Asunto: Your document Datos adjuntos: your_documents.zip Texto: See the attached file for your documents Rgds Versión 17: Asunto: Your application Datos adjuntos: application.zip Texto: Please see the attached file for applicaion details. Rgds Versión 18: Asunto: Wicked Screen Saver Datos adjuntos: wickedsaver.zip Texto: Hi, This is the most wicked screen saver i have ever seen.Enjoy!!!' Rgds Versión 19: Asunto: Naughty Movie Clip Datos adjuntos: movie3498.zip Texto: Hi, This is an interesting movie clip. You will enjoy it. Rgds Versión 20: Asunto: Hi check your computer with this!!! Datos adjuntos: FixBlast.zip Texto: Hi, I am cutting and pasting the message i got from symantec antivirus I think the last mail you sent me was infected with W32.Blaster. Bye Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request. Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms: 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. In case of any clarifications please do not hesitate to contact us. Best Regards, Neil Thomas Symantec Support Versión 21: Asunto: I got an infected mail from you Datos adjuntos: FixBlast.zip Texto: Hi, Your previous mail to me is infected with Blaster. I am attaching the tool i got from symantec site please clean your machine with the same. Best Rgds, Versión 22: Asunto: Fix for New Worm Threat. Datos adjuntos: FixBlastz.zip Texto: Hi, I got this mail from Mcafee Antivirus Support. There is a new variant of W32.Blaster worm. I got a special fix today in the early hours, please check your machine with the attached tool. I have also cut and pasted the steps for cleaning. Rgds El gusano puede realizar ataques de denegación de servicio (DoS) a sitios al azar y también predeterminados, en los puertos 135, 139, y 445. * Reparación manual Debido a la naturaleza destructiva del gusano, probablemente deberá recuperar archivos borrados de un respaldo anterior, o reinstalar Windows, si la infección se produce. Esta información debe tomarse solo como referencia: * Preparación previa Descargue el siguiente archivo (repara2.reg): http://www.videosoft.net.uy/repara2.reg * Finalizar el proceso en memoria del virus * Windows 95, 98, Me, XP 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Editar el registro, en todos sus discos duros o computadoras en red Haga doble clic sobre el archivo REPARA2.REG descargado antes (ver "Preparación previa"), para agregar su contenido al registro. * Editar el archivo WIN.INI, en todos sus discos duros o computadoras en red 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [windows] run=mccp32.exe Debe quedar como: [windows] run= 3. Grabe los cambios y salga del bloc de notas. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano 1. Desde el Explorador de Windows, localice y borre los siguientes archivos, en todos sus discos duros o computadoras en red: c:\windows\system\exe32.exe c:\windows\system\msmgr32.exe c:\windows\system\mss32.dll 2. Desde el Explorador de Windows, localice y borre el archivo MSMGR32.EXE de las siguientes posibles carpetas, en todos sus discos duros o computadoras en red (según el sistema): * Windows XP, 2000 (español e inglés) C:\Documents and Settings \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \[nombre usuario]\Menú Inicio\Programas\Inicio \[nombre usuario]\Start Menu\Programs\Startup * Windows 95, 98, Me (español e inglés) C:\WINDOWS \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \Menú Inicio\Programas\Inicio \Start Menu\Programs\Startup \Profiles\[nombre usuario]\Menú Inicio\Programas\Inicio \Profiles\[nombre usuario]\Start Menu\Programs\Startup 3. Desde el Explorador de Windows, localice y borre el archivo ANYUSER@YAHOO.COM.TXT de las siguientes posibles carpetas, en todos sus discos duros o computadoras en red (según el sistema): C:\WINDOWS\Cookies C:\WINDOWS\Profiles\[nombre de usuario]\Cookies C:\Documents and Settings\Default User\Cookies C:\Documents and Settings\LocalService\Cookies C:\Documents and Settings\NetworkService\Cookies C:\Documents and Settings\[nombre de usuario]\Cookies 4. Desde el Explorador de Windows, localice y borre los siguientes archivos, donde [XX] representa todos los discos fijos y remotos, y todas las carpetas compartidas: [XX]\windows\mccp32.exe [XX]\win98\mccp32.exe [XX]\win95\mccp32.exe [XX]\winnt\mccp32.exe [XX]\winme\mccp32.exe [XX]\winxp\mccp32.exe 5. Borre el archivo HOSTS y LMHOST, en todos sus discos duros o computadoras en red: c:\windows\hosts c:\windows\lmhosts c:\windows\system32\drivers\etc\hosts c:\windows\system32\drivers\etc\lmhosts HOSTS y LMHOSTS son archivos en formato texto, sin extensión, ubicados en windows o windows\system32\drivers\etc, dependiendo de la versión de Windows. Dichos archivos son usados por el sistema operativo para asociar nombres de dominio con direcciones IP (LMHOST para nombres NetBIOS). Si estos archivos existen, el sistema los examina antes de hacer una consulta a un servidor DNS. Estos archivos normalmente no son utilizados en una instalación doméstica. En caso contrario, confirme con el administrador de su red si los mismos son necesarios, y de lo contrario bórrelos. 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". 7. Borre también los mensajes electrónicos similares a los descriptos antes. Si no se realiza cuidadosamente este procedimiento de limpieza, el gusano puede volver a modificar ciertos archivos, o incluso el registro. Si es necesario, reitere los mismos pasos luego de completar la primera limpieza. * Información adicional * Reinstalar páginas servidor Web Si tiene instalado un servidor Web en C:\INETPUB\WWWROOT\, (o C:\WINDOWS\INETPUB\WWWROOT\), deberá reinstalar o recuperar de un respaldo limpio las páginas sobrescritas por el troyano. * Actualizar Internet Explorer Actualice su Internet Explorer según se explica en el siguiente artículo: http://www.vsantivirus.com/vulms03-048.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Naldem.A. Archivo ejecutable: DIVX.EXE _____________________________________________________________ http://www.vsantivirus.com/troj-naldem-a.htm Nombre: Troj/Naldem.A Tipo: Caballo de Troya Alias: Naldem, Win32/Naldem.A, Trojan.Naldem, Troj/Muly-A, Win32.Naldem, Backdoor.Divux.d, W32/Naldem.A, Win32.Naldem.B, Win32.Naldem.C, Win32/DuvxUpd.A.Trojan, Divxupd, Divxupd.dldr, Naldem.eml, W32/Naldem-eml, W32/Naldem-tr Relacionados: Exploit-ByteVerify, Java/ClassLoader.E, JAVA_BYTVERIFY.A, JS/Petch.A.dropper, JS_PETCH.A, Naldem.eml, Troj/Muly-A, TROJ_NALDEM.A, Trojan.Java.ClassLoader.Dummy.e, Trojan.Muly.A, Trojan.Naldem, VBS.Iwill.B, VBS.ObjectDataHTA dropper, VBS/Aproxd.A.dropper, VBS.Naldem, JS.Petch.Trojan Fecha: 11/set/03 Plataforma: Windows 32-bit Tamaño: 6,656 bytes (UPX) Caballo de Troya capaz de proporcionar acceso remoto al equipo infectado, además de funcionar para reenviar correo basura (spam). Fue reportado enviándose en la forma de un mensaje desde un sitio de tarjetas de saludos (123greetings.com). Los responsables de dicho sitio explican en el siguiente enlace, que dicho mensaje no fue enviado por ellos: http://www40.123greetings.com/card/11/09/15/09/BS111091509381 72.html Dichos mensajes falsos se propagaron en forma de spam. Un enlace en los mismos permitía la descarga del troyano en el equipo del usuario, mientras éste suponía estaba descargando una tarjeta de saludo enviada por un admirador. Características de dicho mensaje: De: E-card <e-card@ 123Greetings.com> Asunto: I love you from An Admirer Texto: TO: My sweet hart, An Admirer [ sweet_dreams@yahoo.com ] has sent you an e-card from 123Greetings.com. 123Greetings.com is all about touching lives, bridging distances, healing rifts and building bonds. We have a gallery of e-cards for almost every occasion of life. Express yourself to your friends and family by sending Free e-cards from our site with your choice of colors, words and music. Your e-card will be available with us for the next 30 days. If you wish to keep the e-card longer, you may save it on your computer or take a print. To view your e-card, choose from any of the following options: -------- OPTION 1 -------- Click on the following Internet address or copy & paste it into your browser's address box. http://www.123greetings.com/view/BS11109150938172 -------- OPTION 2 -------- Copy & paste the e-card number in the "View Your Card" box at http://www.123greetings.com Your e-card number is BS11109150938172 If you need help in viewing your card or any other assistance, please visit our Help / FAQ section located at http://www.123greetings.com/help/ If you need further help, feel free to write to us at support@123greetings.com Best wishes, Postmaster, 123Greetings.com *If you would like to send someone an e-card, you can do so at http://www.123greetings.com"; El enlace apunta a una página en el sitio www.idownline.com. Un archivo INDEX.HTML de dicho sitio, contiene un código de JavaScript, con el cuál se abre otra página en una ventana oculta por medio de un IFRAME. La página está localizada en "adversting.co.uk". A su vez, esta página apunta a otros dos archivos que contienen el código malicioso. Las páginas se llaman "p", "spy", "in" y "s". La página "spy" registra la cantidad de visitas al sitio que la hospeda, y la página "in" contiene una rutina en JavaScript con instrucciones para descargar, copiar y ejecutar el archivo DIVX.EXE desde la página web. Esta página utiliza un exploit conocido (Adodb.Stream), a los efectos de sobrescribir el reproductor Windows Media Player: c:\program files\windows media player\wmplayer.exe La página "s" contiene un código en Visual Basic Script que utiliza el mismo exploit para sobrescribir el bloc de notas (notepad.exe), con una variante del propio troyano. El mismo script ejecuta al troyano. El archivo NOTEPAD.EXE, es buscado en las siguientes ubicaciones (este código está escrito literalmente en el gusano): c:\winnt\notepad.exe c:\windows\notepad.exe c:\winnt\system32\notepad.exe c:\windows\system32\notepad.exe Cuando el gusano se ejecuta, el mismo se copia en la carpeta Windows o Windows\System: c:\windows\divx.exe c:\windows\system\divx.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", etc.). Luego, queda en memoria, como un servicio, escuchando en un puerto seleccionado al azar (superior al 1024, por defecto 6000), a la espera de una conexión con un usuario remoto. A esa dirección envía información del equipo infectado. La información incluye entre otras cosas, el sistema operativo instalado, un número de identificación del usuario, hora del equipo infectado. Crea además, una de las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema: HKCU\Software\Microsoft\Windows\CurrentVersion\Run DivX Updater = divx.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run DivX Updater = divx.exe También crea una de las siguientes entradas: HKCU\Software\DivX LastUpd = [un valor hexadecimal] UniqueID = [un valor hexadecimal] HKLM\Software\DivX LastUpd = [un valor hexadecimal] UniqueID = [un valor hexadecimal] El troyano posee la capacidad de auto actualizarse en forma periódica, a través de Internet. Para ello se conecta a la siguiente dirección Web, desde donde descarga otras variantes: 69.56.204.206/cgi-bin/get.cgi Existe también un archivo llamado "ouch.php" en uno de los sitios web, que contiene el código para copiar el siguiente archivo y luego ejecutarlo: divxupdater.exe * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\divx.exe c:\windows\system\divx.exe c:\windows\divxupdater.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DivX Updater 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DivX Updater 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \DivX 7. Pinche en la carpeta "DivX" y bórrela. 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/SysCenter.A. Se instala en forma furtiva _____________________________________________________________ http://www.vsantivirus.com/troj-syscenter-a.htm Nombre: Troj/SysCenter.A Tipo: Caballo de Troya Alias: Syscenter, Trojan.Win32.SysCenter Fecha: 14/nov/03 Plataforma: Windows 32-bit Reportado por: F-Secure Aunque este troyano no posee carga maliciosa alguna, se instala a si mismo en el sistema de un usuario, sin solicitar autorización ni advertir de algún modo el hecho. Además, su código presenta varias cadenas encriptadas. La mayor parte de los textos contenidos en su código, están cifrados por medio de criptografía API proporcionada por Windows. El Cryptographic Service Provider utilizado es "Microsoft Base Cryptographic Provider v1.0", y el algoritmo de codificación utilizado es RSA. Cuando se ejecuta, se copia a si mismo en las siguientes ubicaciones: c:\windows\system\audioinf.exe c:\windows\system\enhance32.exe c:\windows\system\helpex32.exe c:\windows\system\kbddrv32.exe c:\windows\system\main32.exe c:\windows\system\msurl32.exe c:\windows\system\mswave.exe c:\windows\system\p4mx4.exe c:\windows\system\svcinfo.exe c:\windows\system\vidcntl.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). También agrega la siguiente entrada en el registro, para autoejecutarse en cada reinicio del equipo: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre del archivo recibido] = [ubicación del troyano] El troyano se activa siempre por la ejecución directa del usuario, y no tiene ninguna capacidad de propagación a través de la red. Sin embargo, tenga en cuenta que podría ser enviado en forma premeditada o por accidente, en un correo electrónico, o descargado desde un sitio en Internet. * Reparación manual Para borrar manualmente el troyano, primero asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 2. Borre los archivos detectados como infectados (entre ellos, los siguientes): c:\windows\system\audioinf.exe c:\windows\system\enhance32.exe c:\windows\system\helpex32.exe c:\windows\system\kbddrv32.exe c:\windows\system\main32.exe c:\windows\system\msurl32.exe c:\windows\system\mswave.exe c:\windows\system\p4mx4.exe c:\windows\system\svcinfo.exe c:\windows\system\vidcntl.exe 3. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la entrada que corresponda: [nombre del archivo recibido] = [ubicación del troyano] Donde "[nombre del archivo recibido]" es el nombre sin extensión del ejecutable del troyano, y "[ubicación del troyano]" contiene el camino completo y el mismo nombre, con extensión. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1227 Año 8, Domingo 16 de noviembre de 2003