Mostrando mensaje 302     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1253 Año 8, Viernes 12 de diciembre de 2003 Fecha: Viernes, 12 de Diciembre, 2003  02:57:29 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1253 Año 8, Viernes 12 de diciembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Europa ya recibe más ataques informáticos que EE.UU 2 - Kaspersky: "La mafia controlará los virus y el spam" 3 - Troj/Slog.A. Modifica el IE y roba información 4 - Troj/Myss.R. Roba información crítica del usuario _____________________________________________________________ 1 - Europa ya recibe más ataques informáticos que EE.UU _____________________________________________________________ http://www.vsantivirus.com/mm-ataques.htm Europa ya recibe más ataques informáticos que EE.UU Por Mercè Molist (*) colaboradores@videosoft.net.uy En noviembre, Europa superó por primera vez a Estados Unidos en víctimas de ataques informáticos con éxito, según un estudio de la consultora británica Mi2g. Los "crackers" prefieren actuar en Europa, dicen los expertos, porque las máquinas estadounidenses están mejor protegidas y sus leyes castigan más duramente estos delitos. España está en el número 20 de los países más atacados en los últimos meses, compartiendo color rojo en el mapa con Canadá, Australia o Brasil. Mientras las denuncias por "hacking" en Estados Unidos han bajado los últimos tres meses, en los países europeos no paran de subir: Alemania sumaba, en noviembre, 2.314 intrusiones con éxito, Gran Bretaña, 1.183, Holanda, 967, Italia, 529, Austria, 354. El total europeo, 5.682, sobrepasa con creces los incidentes registrados el mismo mes en Estados Unidos (3.696) y Canadá (209). El estudio avisa que América del Norte y Europa reciben el 80% de ataques mundiales. Brasil, con 962 incidentes, Turquía, con 549, y China, con 317, son los únicos, entre los diez países más atacados, que no pertenecen al bloque occidental. Brasil y China se encuentran también entre los orígenes más frecuentes de los ataques, junto a Rusia e India. Destaca, según las estadísticas de Mi2g, el incremento de actividad desde Turquía, Indonesia, Marruecos, Paquistán, Kuwait y Arabia Saudí aunque, por la estructura de Internet, es difícil determinar la procedencia exacta de un ataque: quien usa un ordenador en Marruecos no tiene por qué estar allí. Según la consultora, los motivos de estas intrusiones son "robo de identidad, tensión política, protesta y guerra electrónica; actividades criminales; extorsión; espionaje, vigilancia y reconocimiento; destrucción de la competencia; empleados descontentos; protestas anti-globalización; activismo ecologista; ganancias financieras; reto intelectual y "hacking" recreativo. Un motivo emergente está relacionado con mandar correo basura: usan métodos de "hacking" para acceder a bases de datos de empresas y robar las direcciones de sus clientes, también asaltan ordenadores para enviar desde ellos cientos de miles de mensajes". Las víctimas de la mayoría de estos incidentes son pequeñas empresas, el 55%, según el estudio. Sólo el 3,9% de ataques se han dirigido a compañías con ganancias superiores a los 7 millones de euros y sólo un 1%, a las que ganan más de 40 millones. Mi2g ha analizado también la vulnerabilidad de los sistemas operativos, para concluir que el más atacado es Linux, con el 61,7%, frente a Microsoft Windows, con el 23,7%. Según la consultora, esto refleja "lo popular que es Linux como plataforma para ordenadores conectados a Internet". La relación es inversa en los equipos gubernamentales, donde los sistemas Microsoft son mayoría y reciben el 84,1% de ataques con éxito. El presidente de Mi2g, D.K. Matai, en declaraciones a "Globetechnology", explica la razón de la subida de Europa al primer puesto de las víctimas por "hacking": "América del Norte ha aprendido la lección de estar continuamente bajo el fuego digital y ahora es más fuerte. Además, muchos europeos no se ven a sí mismos como objetivos legitimados, por su neutralidad en la escena mundial". El estudio añade una razón más: "Los "hackers" de los países del G8 han sido poco a poco reprimidos por las agencias de la ley, a quienes las leyes anti-terrorismo, que igualan "hacking" a actividad terrorista, han otorgado poderes extra". Estudio Mi2g http://www.mi2g.com/cgi/mi2g/sipsgraph.php Hackers haunting Europe now http://www.globetechnology.com/servlet/story/RTGAM.20031128.g thacknov28/BNStory/Technology/ (*) Copyright (C) 2003 Mercè Molist. Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Kaspersky: "La mafia controlará los virus y el spam" _____________________________________________________________ http://www.vsantivirus.com/dt12-12-03.htm Kaspersky: "La mafia controlará los virus y el spam" Fuente: diarioti.com (*) http://www.diarioti.com/ El crimen organizado muestra cada vez mayor interés por los virus y el spam, estima Eugene Kaspersky, director de la compañía rusa de seguridad informática Kaspersky Labs. SANTIAGO: Durante una conferencia de prensa realizada en la sede de su compañía en Moscú, Rusia, Eugene Kaspersky presentó una nueva teoría que algunos calificarían de clásica conspiración rusa. Según Kaspersky, los delincuentes organizados pronto asumirán el control de programadores de virus y distribuidores de spam. Al igual que en otras actividades de bajo perfil ético, no habrá espacio para "independientes". A juicio del experto en seguridad informática, "todo quien intente escapar al control de la mafia será duramente castigado". "Si usted aspira a tener un negocio ilegal rentable, más temprano que tarde deberá pagar una comisión a la mafia", expresó Kaspersky citado por la publicación en línea The Register. Según Kaspersky, en su país ya se observa una tendencia a la consolidación de spammers, programadores de virus y hackers bajo el alero de la mafia. Consultado por los medios presentes en la conferencia, Eugene Kaspersky no pudo presentar pruebas concretas de sus dichos. Kaspersky consideró además improbable que la mafia asuma el control de las compañías que desarrollan herramientas antivirus y antispam. Imagen: Eugene Kaspersky Enlaces de interés: www.kaspersky.com www.kav-es.com (*) Este artículo fue publicado originalmente en DiarioTI, y se reproduce en VSAntivirus respetando las condiciones legales exigidas por dicha publicación: http://www.diarioti.com/gate/legal.php (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Slog.A. Modifica el IE y roba información _____________________________________________________________ http://www.vsantivirus.com/troj-slog-a.htm Nombre: Troj/Slog.A Tipo: Caballo de Troya Alias: Trojan.Slog Fecha: 10/dic/03 Plataforma: Windows 32-bit Tamaño: 57,344 bytes Este caballo de Troya, modifica la configuración del Internet Explorer, y envía información del sistema infectado a un servidor remoto. Su código se haya fuertemente encriptado. Cuando se ejecuta, cambia las siguientes entradas del registro, para que las páginas de inicio y las de búsqueda del Internet Explorer, sean redirigidas a otras proporcionadas por el troyano: HKCU\Software\Microsoft\Internet Explorer\Main Search Page = [sitio web del troyano] Search Bar = [sitio web del troyano] Start Page = [sitio web del troyano] Use Search Assistant = [sitio web del troyano] Default_Search_URL = [sitio web del troyano] HKCU\Software\Microsoft\Internet Explorer SearchURL = [sitio web del troyano] HKCU\Software\Microsoft\Internet Explorer\Search SearchAssistant = [sitio web del troyano] El troyano intenta conectarse al siguiente sitio de web para enviar información del equipo infectado: out.true-counter.com Modifica el archivo HOSTS, agregando la siguiente línea: 645238813 auto.search.msn.com HOSTS (sin extensión alguna), es usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe en c:\windows\ (Windows 95, 98 y Me), o en \system32\drivers\etc\ (Windows NT, 2000 y XP), el sistema lo examina antes de hacer una consulta a un servidor DNS. Aunque no posee un mecanismo de propagación, debemos considerar que el mismo podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargado de sitios maliciosos, o a través de redes P2P. * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Pinche en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Pinche en "Aceptar". * Cambiar las páginas de búsqueda del Internet Explorer 1. Inicie el Internet Explorer. 2. Pinche en el botón "Búsqueda" de la barra de herramientas. 3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar". 4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant). 5. Pinche en el botón "Reiniciar" (Reset). 6. Pinche en el botón "Configuración de Autosearch" (Autosearch Settings). 7. Elija un proveedor de búsquedas en el menú (Search Provider). 8. Seleccione "Aceptar" hasta salir de todas las opciones. * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Myss.R. Roba información crítica del usuario _____________________________________________________________ http://www.vsantivirus.com/myss-r.htm Nombre: Troj/Myss.R Tipo: Caballo de Troya Alias: Myss, Trojan.Myss.R, Win32.Myss.R, TrojanDropper.Win32.Googite.a, Win32/Myss.Trojan Fecha: 7/dic/03 Plataforma: Windows 32-bit Tamaño: ~7 Kb (UPX) Caballo de Troya utilizado para capturar todo lo tecleado por su víctima en la máquina infectada. Luego envía esta información, en forma periódica, a una determinada dirección de Internet, lo que compromete la seguridad del usuario, ya que podría ser víctima de un fraude al serle robado datos de sus tarjetas de crédito, transacciones, movimientos bancarios, etc. El troyano puede llegar en otro archivo que funciona como DROPPER (cuentagotas). Se denomina así a un archivo que cuando se ejecuta "gotea" o libera un virus o troyano. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus o troyano, se crea en el momento que se ejecuta el "dropper". En las muestras reportadas, el dropper tiene el siguiente nombre: msdos.exe En este caso, cuando se ejecuta MSDOS.EXE, el troyano crea los siguientes archivos: c:\windows\svchost.exe c:\windows\msto32.dll c:\windows\sysini.ini c:\windows\system32\svchostc.exe c:\windows\system32\svchosts.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). SVCHOST.EXE es el componente principal del troyano que toma el control luego de la liberación de los otros archivos por parte del DROPPER. Cuando ello sucede, SVCHOST.EXE crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Online Service = c:\windows\svchost.exe SVCHOST.EXE puede actuar también como un servidor de acceso remoto, que queda a la escucha de las instrucciones de un usuario remoto a través del puerto TCP/10002. Los comandos posibles, le permiten ejecutar, listar, descargar y enviar archivos desde y hacia la computadora infectada. También puede actualizarse a si vía Internet. El troyano envía a una máquina remota una notificación vía HTTP, indicando la dirección IP actual de la máquina infectada, el puerto habilitado, y un número de identificación. El componente MSTO32.DLL es el encargado de robar las contraseñas y otra información ingresada desde el teclado por la víctima. Al crearse el archivo SYSINI.INI, éste contiene solo el siguiente texto: ***Computer was successfully infected*** Luego, es usado para almacenar todo lo capturado por el tecleado. Este archivo es enviado luego a una dirección electrónica predefinida en el código del troyano. SVCHOSTC.EXE (un socks proxy) y SVCHOSTS.EXE (un HTTP proxy), son utilizados por el troyano para sus acciones, seleccionando puertos al azar para su uso. Los dos archivos son herramientas legítimas, maliciosamente usadas por el troyano. El mismo no posee rutina de propagación, pero podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargado de sitios maliciosos, o a través de redes P2P. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados: msdos.exe c:\windows\svchost.exe c:\windows\msto32.dll c:\windows\sysini.ini c:\windows\system32\svchostc.exe c:\windows\system32\svchosts.exe Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es también un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre este archivo. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Online Service 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1253 Año 8, Viernes 12 de diciembre de 2003