| Asunto: | VSantivirus No. 1229 Año 8, Martes 18 de noviembre de 2003 | | Fecha: | Martes, 18 de Noviembre, 2003 12:53:07 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1229 Año 8, Martes 18 de noviembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Bill Gates inaugura Comdex con nuevo filtro anti-spam
2 - W32/Noala.C. Falsa alerta de virus y ataque a la LSSICE
3 - W32/Mimail.J. Asunto: "IMPORTANT"
_____________________________________________________________
1 - Bill Gates inaugura Comdex con nuevo filtro anti-spam
_____________________________________________________________
http://www.vsantivirus.com/dt18-11-03.htm
Fuente: diarioti.com (*)
http://www.diarioti.com/
Bill Gates inaugura Comdex con nuevo filtro anti-spam
Por vigésimo año consecutivo, Bill Gates fue el orador
principal en la inauguración de la prestigiosa feria
estadounidense Comdex, que en esta oportunidad se presenta en
una versión fuertemente reducida. Gates aprovechó la
oportunidad para presentar el nuevo filtro anti-spam de
Microsoft.
SANTIAGO: Anteriormente, Comdex era el mayor evento
informático del año en Estados Unidos, y era la ocasión
preferida para numerosos lanzamientos de nuevos productos.
Sin embargo, desde el colapso del sector punto-com, Comdex se
ha visto cada vez más reducida e incluso en un momento se vio
en riesgo de quebrar.
En septiembre de 2002, la gerencia de Comdex anunció que
suspendería 4 de las versiones estadounidenses y canadienses
del evento. En su período de mayor auge, en los años 90,
Comdex atraía a miles de expositores y más de 200.000
visitantes. En 2002, la feria tuvo 900 expositores y recibió
70.000 visitantes. Las previsiones para este año son de 500
expositores y 40.000 visitantes.
Durante su discurso, Gates presentó una serie de nuevos
productos de Microsoft, informan diversos medios
estadounidenses. El más importante de todos es, sin duda
alguna, SmartScreen, una herramienta anexa al servidor de
correo electrónico Exchange, que según Gates detendrá con
eficacia el enorme flujo de spam. SmartScreen, que ya está
parcialmente incorporado a Office 2003, será distribuido a
partir de los próximos meses.
Gates también presentó la nueva tecnología de búsqueda que
Microsoft desarrolla, aunque no especificó una fecha de
lanzamiento. Anteriormente, Microsoft ha confirmado que
trabaja con un motor de búsquedas en Internet.
El fundador de Microsoft presentó además la próxima versión
de ISA (Internet Security and Acceleration) Server 2004. El
producto brindará una mayor seguridad, administración más
fácil y cache más rápido en servidores. La primera versión
beta está anunciada para enero, lo que hace suponer que el
lanzamiento será durante el verano boreal.
(*) Este artículo fue publicado originalmente en DiarioTI, y
se reproduce en VSAntivirus respetando las condiciones
legales exigidas por dicha publicación:
http://www.diarioti.com/gate/legal.php
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Noala.C. Falsa alerta de virus y ataque a la LSSICE
_____________________________________________________________
http://www.vsantivirus.com/noala-c.htm
Nombre: W32/Noala.C
Tipo: Gusano de Internet
Alias: Win32/Noala.C, W32/Tici@MM, Worm.P2P.gen,
W32.Lofni.Worm, Worm.P2P.Abuva, W32/Lohack.E.worm
Plataforma: Windows 32-bit
Fecha: 17/nov/03
Tamaño: 62,464 bytes
Este gusano se propaga en mensajes con diferentes asuntos,
textos y archivos adjuntos, todos en español.
Escrito en Microsoft Visual Basic 6.0, y comprimido con la
herramienta UPX, utiliza un conocido exploit que permite la
ejecución automática del adjunto, en aquellos sistemas no
actualizados (Internet Explorer 5 y 5.01). Exploit se basa en
el uso erróneo de las etiquetas MIME para ejecutar el código
(Ej. Content-Type: audio / x-wav; nombre del ejecutable).
Todos los remitentes de los mensajes son falsos. Además de
remitentes al azar, también invoca a los siguientes:
Ministerio de Ciencia y Tecnología (info@myct.es)
Panda Antivirus (OXYGEN@pandasoftware.es)
Cuando se ejecuta (por leer el mensaje, debido al exploit, o
por abrir el adjunto), el gusano se copia a si mismo en el
directorio de Windows, con el siguiente nombre:
c:\windows\wucrtupd.exe
También copia los siguientes archivos de texto:
c:\windows\i-worm_info.txt
c:\windows\lssice_info.txt
c:\windows\no_a_la_LSSICE.txt
NOTA: "c:\windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "c:\windows" en Windows
9x/ME/XP o "c:\winnt" en Windows NT/2000).
Muestra una ventana con el título "Informacion sobre la
LSSICE" (Ley de Servicios de la Sociedad de la Información y
del Correo Electrónico vigente en España), y el siguiente
texto contrario a dicha ley (está almacenado en los archivos
de texto descriptos antes):
--- Comienzo texto ---
-------------------------------------------------
NO A LA LSSI
Esta es una llamada de socorro desesperada, porque el 12 de
octubre de 2002 ha entrado en vigor la Ley de Servicios de la
Sociedad de la Información y del Comercio Electrónico (LSSI).
Esta ley española vulnera claramente la libertad de expresión
de los españoles, y por tanto debe ser retirada
inmediatamente. Este monstruo censurador nunca debió llegar
tan lejos, pero el desconocimiento generalizado sobre las
nuevas tecnologías y la falta de un debate social sobre el
tema han permitido que lleguemos a esta patética situación.
Internet es un medio de comunicación muy valioso, un punto de
encuentro de millones de personas (cada vez más) que se ha
diseñado para compartir información; no para censurarla, ni
para espiar su contenido, ni para vigilar a sus usuarios. Por
mucho que nuestros gobernantes quieran controlarnos y
mantenernos calladitos, por mucho que las empresas quieran
sacar tajada a nuestra costa, por mucho que los políticos
traten de engañarnos con su retórica estéril, les vamos a
parar los pies. Internet es demasiado importante como para
dejarla morir de forma tan estúpida.
PUNTOS CRITICOS
A continuación se explican los grandes puntos negros de la
LSSI:
* Se supone que la LSSI tiene como objetivo simplemente
regular el comercio electrónico y el correo basura (spam),
pero en realidad pretende controlar todo Internet. Por tanto,
es ENGAÑOSA, empezando desde su propio nombre. Además,
diversos juristas especializados en ciberderechos, de la
talla del abogado Carlos Sánchez Almeida, afirman que las
leyes existentes deberían contemplar Internet como un medio
más, y deberían ser modificadas. Es decir, que hacer una ley
nueva que abarque todos los delitos y usos indebidos que se
puedan realizar a través de la red es una chapuza. De todo
esto se desprende que la LSSI es una ley INNECESARIA y con un
planteamiento incorrecto desde su origen.
* Por otro lado, la LSSI obliga a todos los Proveedores de
Servicios de Internet (ISP) que operan en el Estado español,
como Telefónica, eresMas, Arrakis, Ono, Terra, Euskaltel,
Telepolis, Wanadoo, etc. a grabar los datos de comunicación
de todos sus usuarios durante un periodo máximo de 12 meses.
Es decir, todos somos culpables hasta que se demuestre lo
contrario. El artículo 18 de la Constitución Española asegura
el derecho a la intimidad y a la inviolabilidad de la
telecomunicaciones. Por tanto, la LSSI es también
INCONSTITUCIONAL. Además, obligar a los pequeños ISP (que los
hay y muchos) a almacenar semejante cantidad de información
supone su cierre por falta de recursos. Curiosa forma de
incentivar el comercio electrónico en España ¿no crees?
* Esta ley, en lugar de hablar de comercios electrónicos, se
refiere continuamente a los Prestadores de Servicios de la
Sociedad de la Información. Este concepto, definido en la
propia ley, incluye a todo aquel que preste cualquier tipo de
servicio "normalmente a título oneroso". Es decir, si tienes
un boletín de correo electrónico sobre maquetismo con
publicidad, o si tienes una página con fotos de tu familia y
un banner publicitario, eres un Prestador de Servicios de la
Sociedad de la Información. Por tanto, todo lo reglamentado
por la LSSI te afecta directamente. Además, el hecho de
utilizar la palabra "normalmente" implica que incluso no
obteniendo ningún tipo de beneficio económico, la LSSI puede
serte aplicada. Todo esto es tan INJUSTO que resulta
imposible buscar una justificación.
* La LSSI está inspirada (supuestamente) en una Directiva
Europea (2000/31/CE) en la que se dice claramente que no debe
ser obligatoria una autorización previa. La LSSI establece
que todo Prestador de Servicios de la Sociedad de la
Información debe registrarse públicamente, proporcionando
datos personales para el contacto inmediato. Esto también
puede acarrear problemas con la intimidad, puesto que si tu
tienes una página sobre la homosexualidad y debes publicar tu
nombre y tu dirección de correo electrónico o tu teléfono, te
puede afectar de diversas maneras. Además, la LSSI incluye
multitud de puntos que en la directiva ni se mencionan, lo
que induce a dudar aun más sobre el verdadero objetivo de la
ley.
* Las sanciones tipificadas por la ley son increíblemente
elevadas, contemplando multas de hasta 600.000 euros (100
millones de pesetas). Estas cantidades, para la mayoría de
los mortales suponen el endeudamiento de por vida o la
renuncia a los propios principios. Aunque las grandes
compañías sí pueden asumir el riesgo de ser multadas. Esto
hace que la ley sea DISCRIMINATORIA para los que disponen de
menos recursos económicos.
* En cuanto a las restricciones en la prestación de
servicios, la LSSI establece los órganos competentes pueden
tomar las medidas necesarias para interrumpir la prestación
de un servicio y para retirar los datos que los vulneran.
Esto último aunque no lo parezca, quiere decir que abren la
posibilidad de bloquear un sitio web haciéndolo inaccesible a
través de filtrado. Este tipo de censura es precisamente la
que practican países famosos por su desprecio hacia los
derechos básicos de sus habitantes, como Arabia Saudí, China
y Corea del Norte. Por tanto, la LSSI es CENSURADORA en el
sentido literal de la palabra.
* Fomenta el establecimiento de códigos de conducta por parte
de los ISP y organizaciones similares, lo que sin duda va a
provocar la AUTOCENSURA y el control de contenidos, no por
parte del gobierno, sino por parte de las compañías dedicadas
al alojamiento y al almacenamiento de datos. Amén, de la
autocensura de los propios usuarios e Internet, tal y como se
ha comentado más arriba.
* La ley no deja claro quienes son considerados Prestadores
de Servicios de la Sociedad de la Información. En cuanto a la
cuantía de las multas, se menciona que se tendrá en cuenta el
volumen de facturación (algo muy de agradecer), pero no se
especifica nada más. También se habla de la obligatoriedad de
registrarse y no se dice ni donde ni como. Por tanto, su
redacción es AMBIGUA y puede dar lugar a distintas
interpretaciones, lo que sin duda provocará multitud de
quejas e injusticias.
La LSSI al completo está disponible en
http://delitosinformaticos.com/descarga/lssice.pdf (1200Kb,
16 páginas)
DESPEDIDA
Disculpa por este mensaje tan extenso, pero la causa lo
merece. Y recuerda que la LSSI ya está en marcha. La censura
ya ha comenzado. Varios sitios web cerraron hace días por
miedo a ser multados. La gente ya ha empezado a medir sus
palabras para evitar que les cierren la página. Si tienes un
simple banner publicitario en tu página web, mañana te puedes
encontrar con una multa gigantesca a la que no puedas hacer
frente (tendrías que ir a juicio). De ahora en adelante tus
movimientos en Internet son sistemáticamente grabados y
almacenados.
Si después de leer esto estás de acuerdo en que la LSSI es
engañosa, innecesaria, inconstitucional, discriminatoria,
ambigua, censuradora y autocensura, no te quedes ahí parado.
¡reacciona! ¡infórmate! ¡quéjate! ¡alerta a tus amigos! ¡pide
cuentas a los responsables!
¡lucha contra esta flagrante injusticia!
Tu intimidad está en juego.
Tu libertad de expresión está en juego.
Tu libertad de información está en juego.
Tu futuro y el de tus hijos está en juego.
¡NO A LA LSSI!
-------------------------------------------------
--- Final del texto ---
El gusano modifica el registro, para autoejecutarse en cada
reinicio de Windows:
HKLM\Software\microsoft\windows\CurrentVersion\Run
CriticalUpdate = wucrtupd.exe
HKLM\Software\microsoft\windowsnt\CurrentVersion\Run
CriticalUpdate = wucrtupd.exe
Esta segunda clave no aparece en todas las versiones de
Windows.
En sistemas con Windows 95, 98 y Me, también modifica el
archivo WIN.INI en la máquina local, y en todas las máquinas
mapeadas en red:
[windows]
run=wucrtupd.exe
Se copia además en las siguientes carpetas de inicio de todas
las unidades compartidas en red:
\windows\start menu\programs\startup
\windows\menú inicio\programas\inicio
\winnt\profiles\all users\start menu\programs\startup
\winnt\profiles\administrator\start menu\programs\startup
\winnt\profiles\default user\start menu\programs\startup
\winnt\profiles\administrador\start menu\programs\startup
\winnt\profiles\administrador\menú inicio\programas\inicio
Con alguno de estos nombres:
NO_queremos_vuestra_ley_INCONSTITUCIONAL.html.exe
BASTA_YA_de_vulnerar_nuestros_derechos.txt.exe
NO_queremos_vuestra_ley_DISCRIMINATORIA.doc.exe
downloadit.exe
fotos.del.ultimo.viaje.html.exe
FUERA_la_LSSI.es_INNECESARIA.html.exe
ley.pdf.exe
ley_de_internet_y_el_comercio_electronico.txt.exe
ley_lssi.pdf.exe
NO_a_la_CENSURA_informativa.txt.exe
NO_A_LA_LSSICE_otra_internet_es_posible.txt.exe
NO_a_la_MANIPULACION_informativa.html.exe
NO_al_control_informativo.html.exe
no_queremos_vivir_asi.html.exe
nuevo_virus_en_internet-LEEME.txt.exe
por_una_sociedad_mas_justa.html.exe
presentacion.exe
que_no_jueguen_con_tus_libertades.txt.exe
README.txt.exe
salvador_de_pantallas.scr
tarifa_plana_DE_VERDAD_ya.html.exe
texto_integro_de_la_lssice.txt.exe
vuelve_la_INQUISICION.html.exe
www.lssi.es.exe
www.mcyt.com.exe
XXX.jpg.exe
También copia allí un archivo HTML sobre la ley LSSICE.
Cuando se ejecuta, el gusano recoge direcciones desde
diferentes fuentes, para luego enviar su mensaje infectado a
las mismas.
Busca direcciones en la libreta de Windows, y en la lista de
contactos del .NET Messenger.
También recoge direcciones utilizando el conocido buscador
Google. Para ello realiza las siguientes acciones:
Comprueba si hay disponible una conexión a Internet a través
de un PING a la página web de Microsoft (Packet INternet
Groper, un comando usado para comprobar las conexiones a uno
o más hosts remotos).
Luego, realiza una solicitud DNS a una dirección IP
determinada, y aguarda la respuesta, realizando un
intercambio de paquetes con el servidor que responde.
Después, realiza una solicitud a la dirección
"www.google.com";, iniciando una búsqueda a partir de una
cadena recibida en la primera solicitud, con la intención de
identificar direcciones de correo almacenadas en determinadas
páginas web.
Las direcciones seleccionadas, corresponderán a los
siguientes dominios:
@airtel.net
@argo.es
@arrakis.es
@cfnavarra.es
@csic.es
@ctv.es
@ehu.es
@eresmas.net%
@euskalnet.net
@grn.es
@hotmail.com
@iespana.es
@infonegocio.com
@inicia.es
@jazzfree.com
@jet.es
@latinmail.com
@libertaddigital.net
@lycos.es
@mixmail.com
@navegalia.com
@ono.com
@ozu.es
@redestb.es.es
@rediris.es
@retemail.es
@retevision.es
@supercable.es
@telecable.es
@telefonica.net
@teleline.es
@terra.es
@us.es
@usuarios.retecal.es
@vodafone.es
@wanadoo.es
@worldonline.es
@ya.com
@yahoo.es
@yahoogroups.com
También eliminará los siguientes textos de dichas direcciones
(son términos que suelen agregarse a las direcciones en los
grupos de noticias para detener el correo basura):
" dot "
(arroba)
.nospam
.nospam.
antispam
-arroba-
arroba
--at--
dot
-nospam-
nospam
nospam.
Luego, el gusano crea un mensaje con diferentes asuntos, y
textos, todos en formato HTML, para enviarse utilizando un
servidor SMTP predefinido.
Los posibles asuntos son:
a las buenas
Acelerador de descargas ultra pequeño!!
el fichero que me pediste
FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece
en internet
FW:CAMPAÑA de información sobre la LSSICE
Fw:Te reenvío esta presentación que me ha llegado, ya me
contarás
importante ACTUALIZACIÓN PARA WINDOWS
Información sobre la LSSICE
Información sobre la LSSICE y sus consecuencias
Ministerio de Ciencia y Tecnología: NUEVO VIRUS
Nuestras libertades en internet en peligro
Nuevas formas de control
NUEVO VIRUS muy PELIGROSO
palabrerias
PandaSoftware: Nueva utilidad para protegerte de hop.b
Resumen de la ley de internet
Salvapantallas cachondisimo
Los cuerpos del mensaje son seleccionados entre los
siguientes:
El texto del mensaje, puede ser uno de los siguientes:
Ejemplo 1:
Te reenvío este resumen crítico con la ley que
pretende (en principio) regular el comercio
electrónico como viene siendo habitual pretende ir
un paso más allá y privarnos de privacidad, echale
un vistazo no tiene desperdicio
Ejemplo 2:
No sabes lo que es la LSSI?
Es una ley aprobada el 12 de octubre del 2002 con
la que el gobierno de españa pretende controlarnos
un poco más, en serio, no tiene desperdicio:
Ejemplo 3:
Te mando este resumen que me han pasado sobre la
ley con la cual el gobierno de españa pretende
regular el comercio electrónico, en cuanto leas un
poco te darás cuenta que va más allá, como
siempre...
En fin, reenvíaselo a todo el que puedas por
favor, entre todos quizás podamos hacer algo
Ejemplo 4:
Desgraciadamente así es, un nuevo virus ha
aparecido por la red de la mano del gobierno de
españa. No, no es broma, en la presentación que te
adjunto tienes más detalles, reenvíaselo a todo el
que puedas, seguro que entre todos podemos hacer
algo.
Ejemplo 5:
Es una presentación sobre la LSSI, una ley
aprobada en España que según algun país que ahora
no recuerdo dijo: Con esta ley la inquisición
vuelve a españa. Tu te crees? En fin, reenviaselo
a todo el que puedas por favor, entre todos quizas
podamos hacer algo
Ejemplo 6:
El attachment es una presentación sobre la LSSI,
una ley aprobada en España que según algún país
que a hora no recuerdo dijo: Con esta ley españa
se pone a la altura de países como China, en
cuanto a censura se refiere. En fin, reenvíaselo a
todo el que puedas por favor, entre todos quizás
podamos hacer algo
Ejemplo 7:
Mira el fichero, explica como prevenir el nuevo
virus
Ejemplo 8:
Hola! Te mando un resumen sobre la Ley de
internet, échale un vistazo
Ejemplo 9:
Aupa. Ya no saben cómo vigilarnos, esto es la puta
ostia grrrrr, dentro de poco vamos a tener que
pedir permiso para salir a la calle. Mira el
documento que te adjunto, es que me pongo de una
mala ostia cada vez que lo leo...GRRRR, bueno, ya
me contarás que te ha parecido
Ejemplo 10:
No estás un poco hasta las narices del puto spam,
de las ventanitas que se abren al visitar pginas
mostrando publicidad...? pues ahora lo tenemos
bien con la maldita LSSI, mucho que iba a hacer,
que si iba a erradicar el spam..., que si iba a
impulsar el comercio eléctronico, que si nos iba a
meter de lleno en la sociedad de la información
(bueno, esto el pp..), tu has visto algo de eso?
porque yo no ...seguimos en la cola de europa y
aquí nadie hace nada, pff. Para saber de lo que te
hablo mira el documento que te he adjuntado.
Ejemplo 11:
Te juro que no tengo palabras, mira el fichero
adjuntado....esto ya pasa de castaño oscuro ;(
Ejemplo 12:
Buenas! Simplemente copialo al directorio de
windows, y ya está :P
Ejemplo 13:
te mando esta actualización para un programa del
windows. Soluciona parcialmante los problemas que
da windows. Digo parcialmente porque solucionar
completamente los problemas que da windows es algo
así como ciencia ficción :DDDDDDDD
Ejemplo 14:
Te adjunto un acelerador de descargas bastante
bueno que he conseguido. No tienes que instalar
nada, simplemente ejecutarlo y a bajar cosas!!!!!!
:)
Ejemplo 15:
hola, qué tal!
Me acaba de llegar este salvapantallas jajajaja,
que risas, es buensimo!!!!! Ya me contarás que te
ha parecido
Ejemplo 16:
[con logo de Panda Software]
.
AVISO URGENTE
PandaSoftware Antivirus acaba de publicar su
última herramienta para remover el gusano hop.b.
[logo]
Estimado usuario: Esta herramienta no solo remueve
de su sistema el gusano/virus si es encontrado,
sino que le protege de posibles infecciones
futuras.
Intrucciones de instalación:
Ejecutar el fichero adjunto y reiniciar el
ordenador
Ejemplo 17:
[logo Centro Alerta-Antivirus]
El Centro Alerta-Antivirus junto con el Ministerio
de Ciencia y Tecnología, Panda Antivirus, Symantec
y el Fondo Europeo de Desarrollo Regional(?), le
informan de la aparición del último virus de
internet ya llamado i-worm.WinSux.
Ponemos a tu disposición la última herramienta
para combatir este código malicioso proporcionado
por las más prestigiosas casas antivirus
Lista completa de colaboradores:
[enlace a banner original]
Ministerio de Ciencia y Tecnología
info@mcyt.es
Los logos para estos mensajes, son tomados de los siguientes
sitios web:
http://www.mcyt.es/images/prin_r1_c01.gif
http://www.pandasoftware.es/activescan/es/imagenes/activescan-ban.gif
http://www.pandasoftware.es/img/frs/logo.gif
Para el archivo adjunto, selecciona un nombre de la siguiente
lista:
downloadme.exe
FixWin32.0er45-hop.b.exe
hotmail.com
informacion.exe
LEEME.exe
ley de servicios de la sociedad de la desinformacion
y el comercio electronico.txt.exe
ley lssi.pdf.exe
ley.txt.exe
NO A LA LSSICE, NO AL CONTROL.txt.exe
NO mas engaños.txt.exe
resumen.txt.exe
Rg2catdb.exe
texto de la lssice.txt.exe
texto.txt.exe
www.mcyt.es.exe
www.putalssi.es.exe
www.senado.lssice.es.exe
xscreensaver.scr
Luego de enviar los mensajes a todas las direcciones
localizadas antes, inicia una nueva búsqueda por Internet de
direcciones electrónicas.
Posee código capaz de modificar las páginas por defecto de
servidores Web. Para ello, busca las siguientes carpetas y
archivos, en las unidades C, D o E:
\inetpub\wwwroot\default.htm
\inetpub\wwwroot\Default.htm
\inetpub\wwwroot\default.htm
\inetpub\wwwroot\default.html
\inetpub\wwwroot\Default.html
\inetpub\wwwroot\Default2.htm
\inetpub\wwwroot\Default2.html
\inetpub\wwwroot\index.htm
\inetpub\wwwroot\index.html
\inetpub\wwwroot\index2.html
Las páginas HTML creadas, contienen código capaz de cargar y
ejecutar otros archivos infectados en las computadoras de
aquellos que visiten esas páginas, aprovechándose de varias
vulnerabilidades conocidas.
También intenta copiarse en las carpetas de inicio de las
computadoras compartidas en red, cómo ya se explicó al
principio.
Se puede propagar a través de la red de intercambio de
archivos entre usuarios KaZaa. Para ello, busca la carpeta
compartida en las siguientes claves del registro:
HKLM\Software\kazaa\TransferDlDir0\
HKLM\Software\kazaa\localcontent\
Y se copia en ellas con los siguientes nombres:
Adobe uniVersal crack.exe
AdobePhotoshop 7 crack.exe
gta3 crack NO CD.exe
HackersTools 7.5.exe
Macromedia Flash 5 key Generator.exe
Macromedia Universal crack.exe
Microsoft OfficeXP key Generator.exe
Microsoft Universal Crack.exe
MicrosoftWindowsXP key Generator[by_ka0s_te4m].exe
Tony Hawks pro Skater4!!! crack.exe
Unreal Tournament 2003 KeyMaker [by_nobody].exe
Algunos textos incluidos en su código:
Nombre: le-ticiator!
Autor: www.mcyt.es
Intenciones: Denunciar una ley INJUSTA, INNECESARIA y
ABUSIVA Y otra cosa, esto no es una jodida variante del
lohack, ni el lohack.B del lohack, hay que joderse :DD
Esta Ley es INJUSTA, INNECESARIA y ABUSIVA!!
NO A LA LSSICE (www.lssi.es)
i-Worm Name: lssi attack
Coded in the North of Spain
Reason of this Worm: The fucking LSSICE law
Dedicated to MCYT www.mcyt.es--at--antispam
12 de octubre de 2002 - Dia de aprobacion de la LSSICE
i-worm.name ->> L-Ticiator
Otra característica del gusano, es que puede interceptar los
movimientos del ratón, tomando el control del puntero en
pantalla, lo que dificulta su correcta manipulación.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este gusano con Internet, así como cualquier
intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\wucrtupd.exe
c:\windows\i-worm_info.txt
c:\windows\lssice_info.txt
c:\windows\no_a_la_LSSICE.txt
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), los nombres de la
siguiente lista:
downloadit.exe;
fotos.del.ultimo.viaje.html.exe;
FUERA_la_LSSI.es_INNECESARIA.html.exe;
ley.pdf.exe;
ley_de_internet_y_el_comercio_electronico.txt.exe;
ley_lssi.pdf.exe;
NO_a_la_CENSURA_informativa.txt.exe;
NO_A_LA_LSSICE_otra_internet_es_posible.txt.exe;
NO_a_la_MANIPULACION_informativa.html.exe;
NO_al_control_informativo.html.exe;
no_queremos_vivir_asi.html.exe;
NO_queremos_vuestra_ley_DISCRIMINATORIA.doc.exe;
NO_queremos_vuestra_ley_INCONSTITUCIONAL.html.exe;
nuevo_virus_en_internet-LEEME.txt.exe;
por_una_sociedad_mas_justa.html.exe;
presentacion.exe;
que_no_jueguen_con_tus_libertades.txt.exe;
README.txt.exe;
RESUMEN.TXT.EXE;
RG2CATDB.EXE;
salvador_de_pantallas.scr;
BASTA_YA_de_vulnerar_nuestros_derechos.txt.exe;
tarifa_plana_DE_VERDAD_ya.html.exe;
TEXTO.TXT.EXE;
texto_integro_de_la_lssice.txt.exe;
vuelve_la_INQUISICION.html.exe;
www.lssi.es.exe;
www.mcyt.com.exe;
WWW.SENADO.LSSICE.ES.EXE;
XSCREENSAVER.SCR;
XXX.jpg.exe
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), la misma lista mostrada antes para Windows 98, Me.
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre cualquiera de las
siguientes entradas que aparezca:
CriticalUpdate
WindowsUpdate
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\WindowsNT
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre cualquiera de las
siguientes entradas que aparezca:
CriticalUpdate
WindowsUpdate
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Editar el archivo WIN.INI y SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run=wucrtupd.exe
Debe quedar como:
[windows]
run=
3. Grabe los cambios y salga del bloc de notas.
* Reinstalar páginas servidor Web
Si tiene instalado un servidor Web en C:\INETPUB\WWWROOT\, (o
D:, E:, etc.), debe reinstalar o recuperar de un respaldo
limpio los siguientes archivos borrados:
\inetpub\wwwroot\default.htm
\inetpub\wwwroot\Default.htm
\inetpub\wwwroot\default.htm
\inetpub\wwwroot\default.html
\inetpub\wwwroot\Default.html
\inetpub\wwwroot\Default2.htm
\inetpub\wwwroot\Default2.html
\inetpub\wwwroot\index.htm
\inetpub\wwwroot\index.html
\inetpub\wwwroot\index2.html
* Información adicional
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Mimail.J. Asunto: "IMPORTANT"
_____________________________________________________________
http://www.vsantivirus.com/mimail-j.htm
Nombre: W32/Mimail.J
Tipo: Gusano de Internet, troyano robador de información
Alias: Mimail.J, W32.Mimail.J@mm, W32/Mimail.J.worm,
W32/Mimail.J
Fecha: 17/nov/03
Plataforma: Windows 32-bit
Tamaño: 13,856 bytes
Variante de W32/Mimail.I, que se propaga masivamente por
correo electrónico, en un mensaje anunciando la expiración de
la cuenta del usuario en Paypal, una conocida plataforma de
pago vía Internet. Al ejecutarse el adjunto, el gusano
intenta robar la información de la tarjeta de crédito del
usuario.
El ejecutable está comprimido con la utilidad UPX, y a
diferencia de versiones anteriores del Mimail, no es un
archivo .ZIP.
El mensaje enviado por el gusano está marcado como de alta
prioridad y posee estas características (después del asunto,
hay varios caracteres vacíos y luego otros al azar,
representados por [xxxx]):
De: Do_Not_Reply@paypal.com
Asunto: Asunto: IMPORTANT [xxxx]
Texto:
Dear PayPal member,
We regret to inform you that your account is about
to be expired in next five business days. To avoid
suspension of your account you have to reactivate
it by providing us with your personal information.
To update your personal profile and continue using
PayPal services you have to run the attached
application to this email. Just run it and follow
the instructions.
IMPORTANT! If you ignore this alert, your account
will be suspended in next five business days and
you will not be able to use PayPal anymore.
Thank you for using PayPal.
Datos adjuntos: [uno de los siguientes]
infoupdate.exe
www.paypal.com.pif
La segunda extensión queda oculta en una instalación por
defecto de Windows (ver en las referencias "Mostrar las
extensiones verdaderas de los archivos").
Si se hace doble clic sobre el adjunto, el gusano se ejecuta
y se produce la infección.
Cuando ello sucede, se muestra una ventana que simula ser una
página de Paypal, donde se le solicita al usuario el ingreso
de la información de su tarjeta:
Título de la ventana: PayPal Secure Application
El formulario solicita la siguiente información en la primer
pantalla:
Credit Card Number
PIN
CVV Code
Expire date
El código CVV es un código adicional de tres dígitos impreso
en el reverso de la tarjeta, que no es registrado durante las
transacciones.
[ver imágenes en http://www.vsantivirus.com/mimail-j.htm]
Si todos los campos son llenados, y el usuario pincha en el
botón [NEXT >], el gusano despliega una segunda pantalla,
donde se solicitan datos como nombres, fecha de nacimiento,
país, etc.
Esta pantalla no aparecía en la versión "I" del gusano.
Nota: Si aparece cualquiera de estas pantallas, no pulse en
los botones que se muestran, y para cerrar la ventana, pulse
las teclas CONTROL+F4.
La información obtenida es guardada en un archivo llamado
PPINFO.SYS, ubicado en la carpeta de Windows del equipo
infectado, para luego ser enviada a determinadas direcciones.
NOTA: Recuerde que prácticamente es una norma general, que
NINGUNA institución responsable le enviará un correo
electrónico solicitándole el ingreso de alguna clase de
datos, que usted no haya concertado previamente, y mucho
menos datos privados tan sensibles como estos.
Luego de ejecutarse, el gusano se copia a si mismo en la
siguiente ubicación:
c:\windows\svchost32.exe
También crea los siguientes archivos:
c:\cansend.sys
c:\index2.hta
c:\pp.gif
c:\pp.hta
c:\ppinfo.sys
c:\windows\ee98af.tmp
c:\windows\el388.tmp
c:\windows\zp3891.tmp
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
PP.GIF, PP.HTA e INDEX2.HTA, contienen la imagen (logo de
Paypal) y el código HTML para las falsas ventanas ya
descriptas, con el título "PayPal Secure Application".
PPINFO.SYS, como ya dijimos, almacena la información robada
con los datos de la tarjeta de crédito del usuario.
EL388.TMP contendrá las direcciones de correo a las que se
enviará al propagarse en forma masiva.
El gusano modifica luego la siguiente entrada en el registro
para ejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SvcHost32 = c:\windows\svchost32.exe
El gusano se registra a si mismo como un servicio en Windows
95, 98 y Me, quedando oculto en la lista de tareas
(CTRL+ALT+SUPR).
Cada vez que se ejecuta, el gusano examina si existe una
conexión activa a Internet intentando conectarse a
www.akamai.com. Si existe la conexión, el gusano inicia tres
hilos de ejecución simultáneos para enviar mensajes y
propagarse a si mismo.
Primero examina si existe PPINFO.SYS (que contiene la
información robada al usuario). En caso de existir, intenta
enviar este archivo a varias direcciones incluidas en su
código (podrían ser más direcciones):
kaspersky@mail15.com
ekaspersky@mail15.com
admin@kaspersky.cjb.net
Al mismo tiempo, para propagarse, busca las direcciones de
correo a las que se enviará, en archivos de diferentes
carpetas de la máquina infectada. Para ello examina todos los
archivos que NO tengan las siguientes extensiones:
.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip
Estas direcciones serán almacenadas en el archivo EL388.TMP.
Para el envío de los mensajes, emplea su propio motor SMTP,
por lo que no depende del programa de correo instalado.
La rutina de envío, es procesada luego de una hora, tiempo en
el que el gusano permanece en estado latente.
El gusano no examina si ya está instalado en memoria, motivo
por el cuál podrían ejecutarse varios simultáneamente. En ese
caso el usuario notaría una degradación en el rendimiento del
equipo.
* Sugerencias para administradores
Una forma de proteger a los usuarios con correo corporativo,
es crear un filtro antispam para la siguiente dirección
"Do_Not_Reply@paypal.com". Esto puede reducir
significativamente la cantidad de mensajes infectados.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\cansend.sys
c:\index2.hta
c:\pp.gif
c:\pp.hta
c:\ppinfo.sys
c:\windows\ee98af.tmp
c:\windows\el388.tmp
c:\windows\svchost32.exe
c:\windows\zp3891.tmp
NOTA: En algunas versiones de Windows, existe un archivo
legítimo llamado SVCHOST.EXE, no lo borre por error.
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
SvcHost32
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1229 Año 8, Martes 18 de noviembre de 2003
|
VSantivirus No. 12
Responder a este mensaje
