| Asunto: | VSantivirus No. 1250 Año 8, Martes 9 de diciembre de 2003 | | Fecha: | Martes, 9 de Diciembre, 2003 00:04:53 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1250 Año 8, Martes 9 de diciembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Back/Ketch.A. Control total del PC desde un sitio Web
2 - Back/Xibo.A. Permite el acceso remoto de intrusos
3 - W32/Midlak.A. El día 13, borra archivos de Windows
4 - W32/Gaobot.CO. Se copia como "winupdate.exe"
5 - W32/Gaobot.CN. Se copia como "filename.exe"
_____________________________________________________________
1 - Back/Ketch.A. Control total del PC desde un sitio Web
_____________________________________________________________
http://www.vsantivirus.com/back-ketch-a.htm
Nombre: Back/Ketch.A
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Ketch
Fecha: 5/dic/03
Plataforma: Windows 32-bit
Tamaño: 102,400 bytes
Troyano que permite el acceso remoto de un atacante, que
podrá tomar el control completo de la computadora infectada,
a través de la ejecución de comandos desde un sitio de
Internet predeterminado.
Cuando se ejecuta, el troyano crea los siguientes archivos:
c:\windows\system32\scheck[XX].exe
c:\windows\scheck.dat
c:\windows\scheck.tmp
Donde [XX] son dos dígitos cualquiera.
NOTA: En todos los casos, "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
También crea las siguientes entradas en el registro, la
primera para autoejecutarse en cada reinicio, y la segunda
para almacenar información propia:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
scheck = c:\windows\system32\scheck[XX].exe
HKEY_LOCAL_MACHINE\Software\scheck
Una vez en memoria, abre un canal de comunicación, y queda a
la espera de comandos desde un sitio Web predeterminado.
El sitio web puede realizar las siguientes acciones, entre
otras:
º Borra archivos
º Descargar y ejecutar cualquier clase de código
º Modificar el registro
º Obtener información del sistema vía solicitudes HTTP GET
º Reconfigurar al propio troyano
Aunque no posee un mecanismo de propagación, el troyano
podría ser enviado en forma premeditada o accidental, por
correo electrónico, o descargado de sitios maliciosos, o a
través de redes P2P.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Para la limpieza de este troyano, actualice sus antivirus con
las últimas definiciones, y ejecútelos en modo escaneo,
revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\scheck[XX].exe
c:\windows\scheck.dat
c:\windows\scheck.tmp
Donde [XX] son dos dígitos cualquiera.
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
scheck
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\scheck
5. Pinche en la carpeta "scheck" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Back/Xibo.A. Permite el acceso remoto de intrusos
_____________________________________________________________
http://www.vsantivirus.com/back-xibo-a.htm
Nombre: Back/Xibo.A
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Xibo, Backdoor.XLBH.b
Fecha: 8/dic/203
Tamaño: 29,696 bytes
Plataforma: Windows 32-bit
Caballo de Troya que abre un puerto TCP en la computadora
infectada, permitiendo el acceso no autorizado de cualquier
usuario remoto.
La existencia del archivo SERVICS.EXE podría indicar una
posible infección. Cuando se ejecuta, el troyano crea dicho
archivo en la siguiente ubicación:
c:\windows\system32\servics.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Luego agrega un servicio llamado "Servicese" que ejecuta
dicho archivo, creando las siguientes entradas en el
registro:
HKLM\SYSTEM\ControlSet001\Servives\servicese
ImagePath = c:\windows\system32\servics.exe
DisplayName = Smart Card Helper
HKLM\SYSTEM\CurrentControlSet\Services\servicese
ImagePath = c:\windows\system32\servics.exe
DisplayName = Smart Card Helper
El troyano abre el puerto TCP/7273, quedando a la espera de
cualquier comando enviado por usuarios remotos, que de este
modo pueden tomar el control total del equipo.
Aunque no posee un mecanismo de propagación, debemos
considerar que el mismo podría ser enviado en forma
premeditada o accidental, por correo electrónico, o
descargada de sitios maliciosos, o a través de redes P2P.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Buscar y detener el servicio (Windows XP):
1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse
Enter.
2. En la lista de servicios busque "Smart Card Helper".
3. Haga doble clic sobre ese servicio, y pinche en el botón
"Detener" si corresponde.
4. Cambie el "Tipo de inicio" a Manual.
5. Pinche en "Aceptar" y cierre la ventana de Servicios.
6. Reinicie la computadora.
* Antivirus
Para la limpieza de este troyano, actualice sus antivirus con
las últimas definiciones, y ejecútelos en modo escaneo,
revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\servics.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Servives
\servicese
3. Pinche en la carpeta "servicese" y bórrela.
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\servicese
5. Pinche en la carpeta "servicese" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Midlak.A. El día 13, borra archivos de Windows
_____________________________________________________________
http://www.vsantivirus.com/midlak-a.htm
Nombre: W32/Midlak.A
Tipo: Gusano de Internet
Alias: W32.Midlak@mm
Fecha: 27/dic/03
Compresión: UPX
Tamaño: 89,600 bytes
Plataforma: Windows 32-bit
Gusano de envío masivo a través del correo electrónico,
canales de chat (IRC), y la red de intercambio de archivos
P2P, KaZaa.
Puede borrar archivos del sistema, y robar información de la
computadora infectada.
Envía nombre de usuario, dirección de correo del usuario
infectado, nombre de la computadora, nombre del servidor SMTP
usado por éste, y nombre del directorio SYSTEM (puede ser
c:\windows\system, c:\winnt\system32 o c:\windows\system32
según el sistema operativo).
También intenta propagarse a través de la red de intercambio
de archivos entre usuarios, KaZaa.
Cuando el gusano se ejecuta, se copia a si mismo con el
siguiente nombre en la carpeta actual:
Angeline_jolie.scr
Si existe la carpeta compartida del KaZAa, se copia en ella
con los siguientes nombres:
Ana_Kurnikova_XXX.scr
CreditCard Gen2003.exe
ICQ DDoS.exe
MSN Crack (works).exe
Office 2003 KeyGen .exe
PayPal.com hack.exe
WinXP KeyGen.exe
XXX Search Engine2003.exe
YahooMail hack .exe
Intenta crear los siguientes archivos, sobrescribiendo
aquellos existentes:
\mirc\script.ini
c:\read_this_shit_now.txt
c:\setuplogs.vbs
c:\windows\wupdm32.exe
c:\windows\system\emls.tmp
c:\windows\system\ossmtp.dll
El último es un archivo legítimo de Windows que será
reemplazado. El nuevo SCRIPT.INI permite reenviar el gusano
por los canales de chat, a través del mIRC.
Agrega la siguiente entrada en el registro para
autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wupdm32 = c:\windows\wupdm32.exe
Luego utiliza el script SETUPLOGS.VBS para buscar direcciones
electrónicas en los archivos con las extensiones .ASP, .HTM,
.HTML y .TXT. Las direcciones encontradas son almacenadas en
el archivo EMLS.TMP.
Envía un mensaje a una dirección electrónica predeterminada,
para reportar la infección.
El gusano utiliza un archivo legítimo de Windows
(OSSMTP.DLL), para enviar mensajes vía SMTP. El nombre del
servidor SMTP es tomado de la siguiente clave del registro:
HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001\SMTP Server
El mensaje envía el contenido de las siguientes claves:
HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001
\SMTP Server
HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001
\SMTP Email Address
HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001
\SMTP Display Name
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
\ComputerName\ComputerName\ComputerName
Luego se envía como adjunto a todas las direcciones
previamente almacenadas en EMLS.TMP. La dirección del
remitente es tomada de la siguiente clave del registro:
HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001
\SMTP Email Address
El asunto del mensaje, será uno de los siguientes, seguido de
un espacio y un número al azar de cuatro dígitos (por
ejemplo: "Last notice! 7865"):
Last notice!
Order from ScreenSeaver.com
Ovo nema smisla!
Postovanje! Molim Vas Procitajte!
Re: Order!
Re: ScreenSaver...
Re: ScreenSeaver Order
Regard ! Please read...
This is not OK !
Upozorenje
Warning!!!
Why you spam us ?
Your order - ScreenSeaver!
Zadnja opomena!
Zbog cega spamujete
Cómo adjunto, se envía el propio gusano en un formato .EXE o
.SCR. El nombre puede ser creado de dos formas diferentes.
Una de ellas, lo arma de la forma [Parte 1]+[Parte 2]+[Parte
3]+[Extensión]:
Donde [Parte 1] puede ser una de las siguientes cadenas:
Hmmm_
Jeah_
Only_
Sexy_
XXX_
[Parte 2] será una de las siguientes cadenas:
Ana_Kurnikova
Ana_Nikolic
Angeline_Jolie
Carmen_Electra
Jelena_Karleusa
Jennifer_Lopez
Natasa_Bekvalac
Olja_Karleusa
Sylvia_Saint
Vesna_Pisarovic
[Parte 3] es una cadena o cuatro dígitos iguales a los que
aparecen en el "Asunto".
Ejemplos:
Hmmm_Ana_Kurnikova6755.exe
Sexy_Jennifer_Lopez4932.scr
La segunda forma de armar el nombre de los adjuntos, está
creada de la siguiente forma:
[Parte 1]+[Parte 2]+[Parte 3]+[Parte 4]
Donde [Parte 1] es una de las siguientes:
file
log
logs
mail
smtp
La [Parte 2] está formado por el dígito al azar aparecido en
el asunto, pero repetido dos veces (por ejemplo: 78657865).
La [Parte 3] es la siguiente:
" - "
La [Parte 4] es una de las siguientes:
www.arkayunet.scr
www.drenik.scr
www.eunet.scr
www.memodata.scr
www.neobee.scr
www.nic.yu.scr
www.ptt.scr
www.telekom.scr
www.treointer.scr
www.yugodata.scr
Ejemplos:
file67556755 - www.arkayunet.scr
smtp45734573 - www.eunet.scr
El texto del mensaje puede ser uno de los siguientes (o con
ligeras modificaciones):
Ejemplo 1:
Dear Customer,
Thank you for ordering our screensaver...
1. [nombre del adjunto] (top rated) - $7.95
Subtotal: $7.95
Shipping & Handling: $0.00
Tax: $0.00
Total: $7.95
We have sent you the requested screensaver!
Your Screensaver was sent with this e-mail,
and you can find it in the attachment
>[nombre del adjunto]<
If you have any questions about this order or
the products/services you've purchased,
please feel free to:
Contact our Customer Orientation Group at
480-505-8888
Email us at support@screenseaver.com
Sincerely,
www.screenseaver.com
Thank you for ordering our screensaver...
[nombre del usuario]
Ejemplo 2:
Dear Sir,
According to our cognitions you have done
next:
actually you have been buring our network and
our right is to protect our users.
Accourding to that you have been informed
about this by phone by our System engineer,
with this letter we want to point you to next
facts:
1) Your personal account is not restricted in
any way and our right is to protect our users
and servers;
2) Server mail.0web-0hosting.com has been
shuted down beacouse large amount of emails
that have been arricing to our servers and
beacouse of adequacy suspicion that it is a
spam ramp.
3) Unsubscribing system is not functioning!
On unsubscribing attempt result is next:
Persits.MailSender.4 error '800a0004'
Connection timed out.
---------------------
The emails are still arriving...
According to part 10 of Personal servie terms
of use we are authorized to warn you about
this.
As an evidence we have a LOG file fromour
server that is clearly showing date and time
when you have been sending spam emails, your
IP address and your username!
Please accept this warnning about sending
informations to users and wrongly interpret
our actions taken in your case as seriously
as possible.
If you don't accept this warning we will be
forced to refer to our lawyers so we could
protect our company intersts.
If you don't understand anything in this
email, please contact us via email or by
phone for aditional explanations.
According to computer criminal law of USA,
act 168v, act you have done is judget to
jail (1-8 years).
Best regards,
[nombre del usuario],
Office Manager
Ejemplo 3:
Postovani,Vi ste prema nasem saznanju cinili
sledece:
Spam-ovanje Servera Provajdera putem slanja
istovetnih poruka na veliki broj adresa na
Internetu i time prakticno nasu mrezu asipali
velikim kolicinama mail-ova i nase je pravo
da zastitimo korisnike.
S obzirom da ste obavesteni putem telefona od
strane System inzinjera o svemu,ovim putem i
pismeno zelimo da vam ukazemo na sledece :
1. Vas nalog personal nalog nichim nije
ogranichen, nase pravo je da maskimalno
zastitimo nasu mrezu i servere od spama.
2. Server mail.0web-0hosting.com je iskljucen
pre dve nedelje zbog velike kolichine maila
koja je stizala na nashe servere, ali i zbog
osnovane sumnje da je taj server spamerska
rampa.
3. Ne funkcionishe sistem za skidanje s
liste!
Pokusaj unsubscribovanja, rezultat je
sledeci:
Persits.MailSender.4 error '800a0004'
Connection timed out.
-----------------
mailovi su nastavili da dolaze...
U skladu s clanom 10. Opstih uslova
koriscenja Personal servisa mi smo
ovlasceni da u navedenom slucaju Vas
opomenemo.
U prilog nashoj tvrdnji,je LOG fajl sa naseg
servera sa kojeg se vidi vasa IP adresa , kao
i Vas username!
LOG fajl sa naseg servera je pre 3 dana i
tacno se vidi vreme i datum kada ste slali
mailove!
Zamolicu Vas da krajnje ozbiljno shvatite
nase upozorenje u vezi slanja informacija
korisnicima, cime pogresno interpretirate
nase postupke u odnosu na vas.
Ukoliko se oglusite na nase upozorenje
bicemo prinudjeni da se obratimo advokatima
kako bi na taj nacin zastitili interese nase
kompanije.
U slucaju da imate bilo kakve nedoumice u
vezi s ovim dopisom, molimo Vas da nam
posaljete e-mail ili se javite na nas telefon
radi dodatnih razjasnjenja.
Prema zakonu Srbije i Crne Gore o
ompljuterskom kriminalu po clanu 186v za ovo
delo koje ste ucinili predvinjena je kazna
zatvorom od jedne do osam godina.
S postovanjem,
[nombre del usuario]
Office Manager
Nota: [nombre del usuario] es el valor que aparece como
usuario de la cuenta de correo, en la siguiente rama del
registro:
HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts
\00000001\SMTP Display Name
Cada día 13 de cualquier mes, el gusano intentará borrar los
archivos con las siguientes extensiones de las carpetas
SYSTEM, SYSTEM32, WINDOWS y WINNT:
.exe
.sys
.ini
También mostrará una ventana con el siguiente mensaje:
Wupdm32
Dosao je i moj dan , kada sam postao Veliki i
Mocan! Zivela velika Srbija, ACIdCooKie!
[ OK ]
* Reparación manual
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
\mirc\script.ini
c:\read_this_shit_now.txt
c:\setuplogs.vbs
c:\windows\wupdm32.exe
c:\windows\system\emls.tmp
c:\windows\system\ossmtp.dll
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Wupdm32
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Gaobot.CO. Se copia como "winupdate.exe"
_____________________________________________________________
http://www.vsantivirus.com/gaobot-co.htm
Nombre: W32/Gaobot.CO
Tipo: Gusano de Internet y caballo de Troya
Alias: WORM_AGOBOT.BL, W32.HLLW.Gaobot.BF,
Backdoor.Agobot.3.an, W32/Gaobot.AA.worm
Fecha: 08/dic/03
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445
Es una variante menor de W32/Gaobot.AO. Gusano que se propaga
a través de redes compartidas, con contraseñas débiles (por
defecto, pocos caracteres, etc.), valiéndose de tres
conocidas vulnerabilidades.
Las principales diferencias con variantes anteriores son las
siguientes:
1. El tamaño del ejecutable es de 64,512 bytes.
2. Se copia con el siguiente nombre:
c:\windows\system\winupdate.exe
3. Las entradas que agrega en el registro son las siguientes:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Update = winupdate.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Update = winupdate.exe
4. En Windows NT, 2000 y XP, el gusano crea un nuevo servicio
llamado "Windows Update", para ejecutarse en forma
automática:
HKLM\System\CurrentControlSet\Services\winupdate
* NOTA IMPORTANTE:
El gusano puede remover las unidades compartidas por defecto
en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$).
Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco
puede ser finalizado desde el Administrador de tareas, ya que
es capaz de lanzar un nuevo proceso antes de ser descargado
de memoria el primero. En caso de querer detenerlo desde el
Administrador, se despliega un mensaje de error, pero el
servicio seguirá funcionando.
También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o
CMD.EXE). Para eliminarlo, renombre el archivo del editor del
registro (REGEDIT.EXE), por ejemplo REG.EXE. Ejecute REG.EXE
y borre las entradas en el registro para que el gusano no se
ejecute al inicio.
Reinicie en modo a prueba de fallas, y siga con las
instrucciones que se dan en el siguiente enlace.
* Más información:
Tenga en cuenta las referencias anteriores a nombres de
archivos y entradas en el registro, a la hora de aplicar la
limpieza manual sugerida en la siguiente descripción:
W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Gaobot.CN. Se copia como "filename.exe"
_____________________________________________________________
http://www.vsantivirus.com/gaobot-cn.htm
Nombre: W32/Gaobot.CN
Tipo: Gusano de Internet y caballo de Troya
Alias: W32/Agobot-BD, WORM_AGOBOT.BD, W32.HLLW.Gaobot,
Backdoor.Agobot.3.gen, W32.HLLW.Gaobot.gen
Fecha: 08/dic/03
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445
Es una variante menor de W32/Gaobot.AO. Gusano que se propaga
a través de redes compartidas, con contraseñas débiles (por
defecto, pocos caracteres, etc.), valiéndose de tres
conocidas vulnerabilidades.
Las principales diferencias con variantes anteriores son las
siguientes:
1. Se copia con el siguiente nombre:
c:\windows\system\filename.exe
2. Las entradas que agrega en el registro son las siguientes:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Win Init = filename.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Win Init = filename.exe
3. En Windows NT, 2000 y XP, el gusano crea un nuevo servicio
llamado "Win Init", para ejecutarse en forma automática.
HKLM\System\CurrentControlSet\Services\filename
* NOTA IMPORTANTE:
El gusano puede remover las unidades compartidas por defecto
en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$).
Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco
puede ser finalizado desde el Administrador de tareas, ya que
es capaz de lanzar un nuevo proceso antes de ser descargado
de memoria el primero. En caso de querer detenerlo desde el
Administrador, se despliega un mensaje de error, pero el
servicio seguirá funcionando.
También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o
CMD.EXE). Para eliminarlo, renombre el archivo del editor del
registro (REGEDIT.EXE), por ejemplo REG.EXE. Ejecute REG.EXE
y borre las entradas en el registro para que el gusano no se
ejecute al inicio.
Reinicie en modo a prueba de fallas, y siga con las
instrucciones que se dan en el siguiente enlace.
* Más información:
Tenga en cuenta las referencias anteriores a nombres de
archivos y entradas en el registro, a la hora de aplicar la
limpieza manual sugerida en la siguiente descripción:
W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1250 Año 8, Martes 9 de diciembre de 2003
|
VSantivirus No. 12
Responder a este mensaje
