| Asunto: | VSantivirus No. 1228 Año 8, Lunes 17 de noviembre de 2003 | | Fecha: | Lunes, 17 de Noviembre, 2003 11:54:45 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1228 Año 8, Lunes 17 de noviembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Ya circula un exploit para peligrosa falla de Windows
2 - Entrevista a Richard Marko, de ESET
3 - W32/Lamin.B. Peligroso virus, gusano y caballo de Troya
4 - W32/Opasoft.Z. Se propaga vía recursos compartidos
_____________________________________________________________
1 - Ya circula un exploit para peligrosa falla de Windows
_____________________________________________________________
http://www.vsantivirus.com/17-11-03.htm
Ya circula un exploit para peligrosa falla de Windows
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Apenas 48 horas después de publicado el parche para una falla
crítica en el servicio Estación de Trabajo de Windows XP y
Windows 2000, está disponible en Internet un exploit que se
aprovecha de la misma.
Existe una evidente desproporción entre el tiempo que lleva a
los administradores de redes y responsables de las áreas
informáticas de las empresas, ponerse al día con cada parche
o actualización de productos críticos, y el intervalo
transcurrido entre la liberación del parche y la creación de
algún código maligno basado en la correspondiente falla.
Y eso sin contar con el hecho de que en más de una ocasión,
los propios parches han provocado fallas que motivaron la
aparición de "un parche para el parche". Razones más que
justificables para que cualquier administrador responsable,
suela esperar, o al menos probar estas actualizaciones en
otros equipos, antes de aplicarlos a toda su red.
Hay que tener en cuenta que a cualquier encargado del área
tecnológica, probar cada parche o llevar a cabo su propia
instalación local, le puede insumir la mayor parte de su hora
laborable; y que todo ello también puede repercutir en la
productividad de la propia empresa debido a la probable
interrupción del servicio para estas tareas.
Mientras tanto, la diferencia entre los tiempos mencionados,
se acortan notoriamente, si nos atenemos a las estadísticas.
El gusano CodeRed apareció varios meses después que el parche
respectivo fuera publicado. Al Lovsan (o Blaster), le llevó
cerca de un mes hacerse público, luego de la fecha de la
publicación de la actualización para prevenir la falla que lo
hizo posible.
Si ya existe un exploit para el fallo en el servicio Estación
de Trabajo, puede ser cuestión de horas la aparición de un
gusano que se aproveche de ésta.
Aunque el exploit mencionado funciona en las versiones en
inglés de Windows 2000 SP4 (user32.dll 5.0.2195.6688) y SP1
(user32.dll 5.0.2195.1600), posiblemente pueda ser adaptado
para Windows XP y para otros idiomas.
Los expertos vaticinan que los usuarios de banda ancha, serán
los que más sufrirán ante cualquier posible proliferación de
gusanos que se basen en esta vulnerabilidad.
Los usuarios domésticos, en cambio, no deberían tener excusa
para actualizar sus productos (salvo claro está, el
desconocimiento).
La falla permite que se pueda ejecutar código en forma
arbitraria en el equipo vulnerable, o provocar un cuelgue del
mismo (denegación de servicio). El exploit mencionado, por el
momento, solo provoca el cuelgue de "services.exe" (la
aplicación de servicios y controlador de los mismos en
Windows 2000 y XP).
El problema afecta a Windows 2000 SP2, SP3 y SP4, Windows XP,
y Windows XP SP1, además de Windows XP Edición de 64-Bits.
Microsoft publicó el boletín MS03-049 con el parche para
solucionar el problema el pasado 12 de noviembre. La falla es
provocada en las funciones de administración de red del
servicio DCE/RPC y en una función de inicio de sesión
implementada en el Servicio de Estación de Trabajo.
* Más información
Falla crítica en servicio Estación de Trabajo (XP, 2000)
http://www.vsantivirus.com/cert-ca-2003-28.htm
MS03-049 Falla en servicio Estación de Trabajo (828749)
http://www.vsantivirus.com/vulms03-049.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Entrevista a Richard Marko, de ESET
_____________________________________________________________
http://www.vsantivirus.com/ev-entr-marko.htm
Entrevista a Richard Marko, de ESET
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
El antivirus NOD32, de la empresa ESET, es uno de los más
premiados y reconocidos de la actualidad. Una de sus
principales fortalezas es su módulo heurístico, el cual fue
mejorado notablemente para la nueva versión del antivirus. En
ocasión del SIMO 2003, Richard Marko, Jefe de Programación
Estratégica de ESET, y responsable directo de la heurística
de NOD32, estuvo en el Stand de Ontinet.com, y tuvimos la
oportunidad de entrevistarlo para que nuestros lectores sepan
más acerca de lo que es la heurística y cómo se encuentra
aplicada en este notable antivirus.
[EnciclopediaVirus.com]: ¿Por qué empezaste a trabajar para
una compañía antivirus? ¿Son los virus lo que te parece más
interesante dentro del mundo de la informática?
[Richard Marko]: La primera vez que escuché sobre virus de
ordenadores yo era bastante joven, y fue algo que me hizo
preguntarme qué eran los virus de ordenadores, cómo
funcionaban y demás. Algunos años después, cuando estaba
estudiando en la Universidad, escuché acerca de una empresa
eslovaca, ESET, que estaba desarrollando su propia solución
antivirus. Esto, de alguna manera, me atrajo, y decidí ver
qué hacer, y comencé a estudiar sobre virus de ordenadores,
realizando análisis de virus, aprendiendo todo aquello a lo
que podía tener alcance, y así fue como todo comenzó.
[EV]: ¿Cuándo comenzaste a trabajar en ESET?
[RM]: Al final de 1994, comencé a trabajar allí medio tiempo,
como pasante. Pero ya estaba siguiendo este tema de los virus
de ordenadores desde un tiempo atrás, ya que había un gran
distribuidor del antivirus Dr. Solomon en mi ciudad, y yo
tenía muy buena relación con ellos.
[EV]: Parece ser que una de las mayores fortalezas de NOD32
es su módulo heurístico. ¿Podrías decirnos cuál es tu opinión
acerca del por qué el módulo heurístico de NOD32 es uno de
los más reconocidos? Además, si puedes, cuéntanos a grandes
rasgos como funciona este módulo.
[RM]: En el principio, la detección heurística fue algo que
realmente me atrajo, ya que es muy diferente de la
programación normal. Es como un tipo de ciencia, quizás.
Intentas crear un programa que sea capaz de estudiar, de
realizar algún tipo de análisis. De alguna manera, es una
forma de inteligencia artificial.
Al momento que comenzamos a programar el módulo heurístico de
NOD32, no había demasiados de ese tipo, apenas unos pocos. Y
los que había, no eran demasiado sofisticados. Debido a que
no había demasiada información sobre el tema, tuve que
inventar mi propio acercamiento a la revisión heurística.
Básicamente, traté de crear un algoritmo que siguiera el
proceso normal de análisis de código de un experto antivirus.
Sabía que básicamente había dos formas de hacer esto en el
mundo real: una de ellas era usar un ordenador especial en el
que ejecutar el archivo sospechosos y analizar los cambios
que éste lleva a cabo en el ordenador y demás. La otra forma
es tomar el programa sospechoso, desensamblarlo y estudiar el
código por uno mismo.
Ambos procesos tienen sus ventajas porque, básicamente,
ejecutar un código malicioso en un ordenador de pruebas es lo
mejor dado que uno puede ver todo lo hace. Pero, quizás el
virus no trabaja en ese ordenador en particular porque no
contiene todos los requerimientos de software que necesita o
el estado no es el correcto, por lo que no representa una
garantía. No siempre es la mejor manera de averiguar algo
sobre un virus.
La otra forma, estudiando el código del programa sospechoso,
es algo que consume mucho más tiempo y es mucho más difícil
de realizar, debido a que existen muchas trucos que los
creadores de virus pueden utilizar para dificultar este
análisis, como encriptando el código, añadiendo rutinas anti-
debug, etc.
Básicamente, usando ambas formas de estudio, uno puede
obtener los mejores resultados. Y, esto es lo que intenté
programar en nuestro módulo heurístico. Por supuesto, no
tienes un ordenador especial para ejecutar el programa, por
lo que debes crear una máquina virtual dentro del ordenador
donde se encuentra el código a analizar, para ver qué intenta
modificar en este ambiente virtual cuando es ejecutado. Esto
es llamado simulación del código. Además, necesitamos
desensamblar el código, contar con una base de datos para
reconocer partes del código y toda una serie de herramientas
como las que usa un experto antivirus, para descubrir lo que
el programa intenta hacer.
Con todo esto es con lo que cuenta nuestro módulo heurístico
y lo que, de alguna manera, lo hace diferente al resto.
[EV]: O sea que, podríamos considerar al módulo heurístico de
NOD32 como un experto antivirus virtual.
[RM]: Sí, podríamos considerarlo así
[EV]: ¿Tienes estadísticas aproximadas sobre las tasas de
detección de la heurística de NOD32?
[RM]: Recientemente realicé ciertas pruebas relacionadas.
Básicamente, lleve a cabo dos tipos de pruebas. Uno de ellos
fue evaluar el funcionamiento del módulo heurístico contra
los virus que son reportados como activos (in the Wild),
porque hay muchos de ellos que sólo son capaces de copiarse a
un disquete, algo que básicamente no sirve para mucho y es
tan sólo diversión para quien creó el virus.
Por eso, hice una prueba contra virus reales, realmente en
actividad. Los resultados fueron muy buenos, ya que la
heurística detectó un 90 % de ellos por si misma, sin contar
con la base de firmas del antivirus.
Por supuesto, este número es muy alto, pero también se debe a
la forma en que nuestro módulo heurístico funciona. Ya que
aprendemos de los virus que ya conocemos, y utilizando esta
información para crear algoritmos que sean capaces de
detectar los comportamientos de estos y los nuevos virus que
van siendo detectados.
Creo que el número es un poco mayor de lo que podemos esperar
en la realidad, pero también realicé otra prueba.
Tomé una lista de virus antiguos en actividad, y una versión
antigua de nuestro módulo heurístico, y realicé una nueva
prueba. Básicamente, cada mes, The WildList Organization
publica una lista de los virus activos. Tomé dos de esas
listas, con dos meses de diferencia para evaluarlas contra
una versión de dos meses atrás de nuestro módulo heurístico.
El módulo detectó el 80 % de los virus en ambas listas. Para
ser honesto, quedé muy sorprendido, dado que es un número muy
alto, más de lo que esperaba.
[EV]: Podríamos entonces decir que el módulo heurístico de
NOD32 es capaz de detectar entre un 75 % y 90 % de los virus
activos?
[RM]: Bueno... Si, parece ser así. No podemos decir que
pasará en el futuro, pero en este momento, las tasas de
detección que estamos teniendo en estas pruebas contra virus
activos son esas.
[EV]: Es una tasa sorprendente. La última pregunta: ¿Cuáles
son las mejores incluidas en este nuevo módulo heurístico de
NOD32 respecto de la versión anterior?
[RM]: Actualmente, los virus más difundidos son los gusanos
de Win32. Entonces, necesitábamos realizar algunos cambios en
nuestro módulo, porque existe una gran diferencia entre los
gusanos y los virus estándares, ya que los primeros no son
parásitos, por lo que, por ejemplo, no podemos utilizar un
análisis estructural para detectarlos. Debido a esto, se
mejoró el módulo heurístico para adaptarlo a este nuevo tipo
de gusanos.
Otra de las mejoras, fue dividir este nuevo módulo
heurístico, capaz de detectar gusanos de Win32, para que sólo
funcionara en forma más especifica, revisando los archivos
adjuntos a correos electrónicos o los archivos que son
descargados de internet, ya que es una rutina que requiere
más tiempo que el módulo heurístico normal.
Los archivos que llegan de esta manera al ordenador son mucho
menos que los que se tienen almacenados en el disco duro, por
lo que revisarlos con un módulo que requiere más recursos del
sistema no afecta el rendimiento general del equipo, cómo si
lo haría si todo el disco duro fuera analizado con él.
Básicamente, esta es la principal mejora entre la versión
anterior de nuestra heurística y la que se ha incluido junto
a NOD32 v2.0.
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/enciclopedia/articulo.php?id=343
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Lamin.B. Peligroso virus, gusano y caballo de Troya
_____________________________________________________________
http://www.vsantivirus.com/lamin-b.htm
Nombre: W32/Lamin.B
Tipo: Virus, gusano y caballo de Troya
Alias: W32.Lamin.B, Win32.LazyMin.31, PE_LAMIN.B
Fecha: 5/nov/03
Tamaño: 32,768 bytes (EXE), 31,964 bytes (DLL)
Plataforma: Windows 32-bit
Puertos: 6667, 14400
Este virus infecta archivos ejecutables en formato PE
(Portable Executable). Este formato de archivos ejecutables
de Windows, recibe el nombre de "portátil" porque puede ser
compartido por todos los sistemas operativos de 32 bits. El
mismo archivo puede ejecutarse en cualquier versión de
Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de
formato PE son ejecutables (las extensiones más conocidas son
.EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables
son portátiles.
Se trata además de un virus polimórfico, lo que significa que
el virus está encriptado y cambia su encriptación con cada
infección.
El virus puede replicarse a través de unidades de disco
locales y compartidas en red.
También contiene un capturador de teclado (keystroke logger),
y posee características de troyano controlable vía IRC. Las
posibilidades de causar daño en el equipo infectado son
muchas, y este es solo un resumen de las mismas:
º Captura todo lo ingresado por el teclado de la víctima
º Captura lo que muestra el monitor de la víctima
º Roba el contenido del portapapeles
º Obtiene información del sistema, incluidas contraseñas
º Envía información actual del sistema como dirección IP,
etc.
º Instala un servidor FTP en la máquina infectada (puerto
14400 por defecto, pero puede ser cambiado por el atacante)
º Puede abrir o cerrar cualquier puerto seleccionado por el
atacante
º Puede cerrar cualquier aplicación en ejecución
º Puede formatear el disco duro
º Puede reiniciar en cualquier momento el sistema
º Puede borrar la información almacenada en la CMOS (del
inglés Complementary Metal-Oxide Semiconductor,
semiconductor de óxido de metal complementario. Es una
memoria RAM de 64 bytes encargada de almacenar los valores
y ajustes de configuración de la BIOS, como discos duros,
secuencia de inicio, puertos, hora y fecha, etc.).
º Puede descargar archivos desde una dirección de Internet al
equipo infectado
º Puede ejecutar archivos seleccionados por el atacante en
forma remota
º Lista todos los procesos activos
Cuando se ejecuta un archivo infectado, el virus crea un
archivo DLL con nombre al azar en la carpeta de archivos
temporales de Windows. Este DLL está encriptado en el cuerpo
del virus, hasta que es liberado.
Luego utiliza a RUNDLL32.EXE (utilidad legítima de Windows
que permite ejecutar un archivo DLL como una aplicación),
para ejecutar dicho DLL. Al mismo tiempo continúa la
ejecución normal del archivo infectado.
El virus registra el proceso de ejecución de dicho DLL como
un servicio, creando la siguiente entrada en el registro de
Windows:
HKEY_CLASSES_ROOT\CLSID
\{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}\InProcServer32
(Predeterminado) = "[nombre].dll"
ThreadingModel = "Apartment"
También agrega las siguientes entradas, donde almacena toda
la información del servidor FTP instalado (puerto, tiempo de
ejecución, etc.):
HKEY_LOCAL_MACHINE\Software\Microsoft\MSDN
"IDT"
"PSBAHMBS"
"Fprt"
"KSE"
"EkeyID"
Cuando se ejecuta el DLL mencionado, éste busca en todos los
discos duros (locales y mapeados en red), en busca de
archivos .EXE para infectar. Esta acción la reitera cada 5
minutos, aumentando en cada intento, la unidad examinada (de
la C a la Z).
La infección se produce agregando su propio código encriptado
al final del ejecutable. Luego modifica el header de dicho
ejecutable, para que el punto de entrada (la dirección de
ejecución), apunte al código del virus.
Cuando el virus se está ejecutando, el componente troyano con
características backdoor (puerta trasera), intenta conectarse
a un canal de IRC predeterminado, a través del puerto 6667.
Utiliza para ello los siguientes servidores:
irc.dal.net
irc.arkhnet.com
irc.rtdptrx.es
powertech.no.eu.dal.net
Luego, queda a la espera de los comandos de un usuario
remoto, quién podrá tomar el control del equipo infectado,
llevando a cabo la lista de acciones ya descriptas (entre
otras posibles).
Cuando intenta conectarse a los servidores de IRC, también
intenta eludir la detección de algunos cortafuegos personales
para no ser descubierto.
El virus puede funcionar en múltiples procesos en forma
simultánea (multi-threaded). Esto puede disminuir el
rendimiento del equipo infectado.
Mientras se está ejecutando, el virus intenta finalizar los
siguientes procesos si estuvieran activos:
Regmon
Filemon
Ambas son utilidades de uso gratuito proporcionadas por
SysInternals.com. Filemon monitorea y despliega la actividad
de todos los archivos del sistema en tiempo real. Regmon hace
lo mismo con el registro de Windows, mostrando cuando y como
las aplicaciones acceden al mismo, que claves son leídas o
modificadas, etc.
El virus también intenta borrar (una vez por segundo), los
siguientes archivos, creados por algunas utilidades antivirus
al intentar hacer una limpieza del propio virus (esto
complica la correcta desinfección del equipo):
C:\avp_cure.bat
C:\Rar$DI01.903
Una característica de este virus, es que continúa activo aún
cuando se inicie el equipo en modo seguro o a prueba de
fallas. Incluso en Windows 95, 98 o Me, no es posible
terminar su ejecución sin el uso de herramientas de terceros.
* Reparación manual
* Preparación
Debido a la naturaleza de este gusano, el procedimiento de
limpieza requiere acciones especiales, y la ejecución de
ciertos comandos desde una ventana MS-DOS. Para ello siga
detalladamente los pasos siguientes.
* Descarga de PROCEXP.EXE (en una computadora limpia)
Antes de eliminar este troyano, es necesario detener su
ejecución en memoria. Puede usarse el administrador de tareas
de Windows, pero en Windows 95, 98 y Me, no todas las tareas
en ejecución son visibles. Por ello se sugiere la herramienta
de uso gratuito "Process Explorer" (100 Kb), que puede ser
descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta,
copie allí el contenido del archivo .ZIP descargado y ejecute
el archivo PROCEXP.EXE. Nota: Se recomienda descargar este
archivo en una computadora limpia, copiar PROCEXP.EXE en un
disquete, proteger el mismo contra escritura, y luego
ejecutarlo desde dicho disquete en la máquina infectada.
* Iniciar ventana MS-DOS (en máquina infectada)
IMPORTANTE: Antes de continuar con los procedimientos
siguientes, es muy importante que abra una sesión de MS-DOS.
Para ello, en Windows 95, 98 o Me, seleccione Inicio,
Ejecutar, escriba COMMAND y pulse Enter. En Windows NT, 2000
y XP, seleccione Inicio, Ejecutar, escriba CMD y pulse Enter.
MANTENGA ESTA VENTANA ABIERTA EN LAS SIGUIENTES FASES DEL
PROCEDIMIENTO DE LIMPIEZA, YA QUE NO PODRA ACCEDER A LAS
OPCIONES NORMALES DE WINDOWS LUEGO DE FINALIZAR EL PROCESO
"EXPLORER.EXE".
* Remoción del troyano utilizando "Process Explorer"
Desde disquete, ejecute en la máquina infectada la
herramienta PROCEXP.EXE descargada antes, tecleando desde la
ventana MS-DOS abierta, lo siguiente:
A:\PROCEXP.EXE
Bajo la columna "Process" de la ventana superior de la
utilidad "Process Explorer", localice y "mate" (Kill
Process), el/los siguientes procesos:
RunDLL32.exe
Explorer.exe
NOTA: Usuarios Windows 2000, XP, NT, se puede obviar lo
anterior, y pulsar CTRL+SHIFT+ESC para abrir el Administrador
de tareas de Windows. En la lengüeta "Procesos", señale los
mencionados (RUNDLL32.EXE y EXPLORER.EXE), y seleccione el
botón de finalizar tarea.
* Editar el registro
1. Ejecute el editor de registro desde la ventana MS-DOS.
Para ello escriba allí REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}
3. Pinche en la carpeta "{52F7FFDF-D0CF-5CC3-5F4F-
C6D8F7D65F0D}" y bórrela.
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\CLASSES
\CLSID
\{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}
5. Pinche en la carpeta "{52F7FFDF-D0CF-5CC3-5F4F-
C6D8F7D65F0D}" y bórrela.
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\MSDN
7. Pinche en la carpeta "MSDN" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Reinicie EXPLORER.EXE
Para ello, escriba EXPLORER en la ventana MS-DOS abierta
antes y pulse Enter
NO REINICIE SU COMPUTADORA
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Opasoft.Z. Se propaga vía recursos compartidos
_____________________________________________________________
http://www.vsantivirus.com/opasoft-z.htm
Nombre: W32/Opasoft.Z
Tipo: Gusano de Internet
Alias: Opaserv.Z, W32/Opaserv.Z.worm, W32/Opaserv-V,
Win32/Opaserv.AM
Plataforma: Windows 32-bit
Fecha: 16/nov/03
Tamaño: 24,064 bytes (UPX)
Existen muchas variantes del Opasoft (u Opaserv), esta es la
identificada como "Z", "V" o "AM" por algunos fabricantes de
antivirus.
Esta versión no provoca daños en los archivos de la máquina
infectada, a diferencia de otras anteriores, y solo se
propaga a través de los recursos compartidos en una red local
y a través de Internet, utilizando la vulnerabilidad "Share
Level Password".
Utiliza para ello el puerto 139 (Netbios, NETBeui). Si su
computadora tiene activa la opción "Compartir impresoras y
archivos para redes Microsoft", podría ser accedida a través
de Internet, y por lo tanto ser infectada con este gusano.
Netbios utiliza además el puerto 137 para la búsqueda del
"nombre de Windows" correspondientes a los recursos
compartidos.
Para estas acciones, el gusano hace uso del protocolo de
comunicación llamado SMB (Server Message Block Protocol), el
cuál es empleado por los sistemas operativos basados en MS-
Windows para acceder a los recursos compartidos de una red, a
través del puerto 139 (NetBeui en sistemas Microsoft
Windows).
La vulnerabilidad mencionada, está relacionada con la forma
en que Windows (95, 98, 98 SE y Me) verifica las contraseñas
en una red compartida, de modo que puede llegar a aceptar un
solo carácter (letra o número), sin importar lo larga que sea
la contraseña.
La corrección para esta falla en esos sistemas operativos,
está disponible desde octubre de 2000
(http://www.microsoft.com/technet/security/bulletin/ms00-
072.asp).
Todos los usuarios que utilicen la opción de compartir
archivos e impresoras con Windows 95, 98, 98 SE y Me, deben
descargar e instalar el parche desde dicho enlace.
Cuando se ejecuta, el gusano crea los siguientes archivos:
c:\windows\speedy.pif
c:\windows\banda!
c:\windows\podre!!
El primero es una copia del gusano. Los demás son textos
encriptados, que contienen una lista de las máquinas
escaneadas e infectadas.
NOTA: "c:\windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "c:\windows" en Windows
9x/ME/XP o "c:\winnt" en Windows NT/2000).
El gusano también crea o modifica la siguiente entrada del
registro para ejecutarse en próximos reinicios:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Spees3 = c:\windows\speedy.pif
Para propagarse a través de unidades de red y recursos
compartidos, el gusano busca direcciones IP con el puerto 137
abierto (protocolo NetBIOS).
Si obtiene respuesta, se trasmite por el puerto 139,
copiándose en el directorio raíz y en el de WINDOWS de la
víctima seleccionada, con el nombre de SPEEDY.PIF.
Primero, establece una conexión con el recurso \\hostname\C
si la computadora remota le responde. Si el recurso está
protegido con contraseña, prueba todas las posibilidades en
las que la contraseña sea un sólo carácter (A, B, C, etc.).
Si la contraseña tiene más de un carácter, prueba varias
combinaciones en un ataque "de fuerza bruta", aprovechando la
vulnerabilidad mencionada al comienzo.
La búsqueda de direcciones IP sigue un orden. Primero, busca
en la subred del equipo actual. Después, las dos subredes más
próximas. Finalmente, escoge direcciones IP al azar.
Crea un "mutex" (un semáforo) para saber si ya se está
ejecutando en memoria, y no volver a hacerlo.
También modifica el archivo WINDOWS\WIN.INI para
autoejecutarse al iniciarse Windows en las máquinas remotas:
[windows]
run = c:\windows\speedy.pif
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\speedy.pif
c:\windows\speedy.pif
c:\windows\banda!
c:\windows\podre!!
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Spees3
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Editar el archivo WIN.INI y SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run = c:\windows\speedy.pif
Debe quedar como:
[windows]
run =
3. Grabe los cambios y salga del bloc de notas.
* Información adicional
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Instalar parche para vulnerabilidad "Share Level Password"
(Windows 95, Windows 98, Windows Me).
Descargar el parche necesario según se explica en el
siguiente artículo (inglés):
http://www.microsoft.com/technet/security/bulletin/ms00-
072.asp
* Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el
siguiente artículo:
http://www.vsantivirus.com/vulms03-048.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1228 Año 8, Lunes 17 de noviembre de 2003
|
VSantivirus No. 12
Responder a este mensaje
