Mostrando mensaje 300     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1251 Año 8, Miércoles 10 de diciembre de 2003 Fecha: Miercoles, 10 de Diciembre, 2003  01:22:36 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1251 Año 8, Miércoles 10 de diciembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - En diciembre, sin Windows 98 y sin parches 2 - W32/Bodiru.A. Se propaga por P2P, corrompe archivos 3 - PHP/Feast.A. Infector de archivos PHP 4 - W32/Randex.BD. Se propaga por redes, se controla por IRC 5 - W32/Gaobot.CQ. Se copia como "csrrs.exe" 6 - W32/Gaobot.CP. Se copia como "cavapsvc.exe" _____________________________________________________________ 1 - En diciembre, sin Windows 98 y sin parches _____________________________________________________________ http://www.vsantivirus.com/10-12-03.htm En diciembre, sin Windows 98 y sin parches Por Angela Ruiz angela@videosoft.net.uy Al mismo tiempo que Microsoft anuncia el retiro esta semana de sus productos Windows 98 y SQL Server 7 (entre otros), también informó que en diciembre, no publicará ningún parche de seguridad. Estas noticias parecen no tener nada que ver, aunque si es seguro que involucran directamente a todos los usuarios de los productos de la compañía. * Adiós a Windows 98 El primero de los anuncios, está relacionado con el cumplimiento de una orden judicial y un posterior acuerdo entre las partes, a raíz de la disputa de Microsoft con Sun Microsystems por Java. En una notificación a su sitio de desarrolladores, Microsoft brinda la lista de productos considerados obsoletos, que serán dados de baja, y que ya no estarán a disposición de sus clientes, a partir del 15 de diciembre de 2003. Los productos de la lista incluyen SQL Server 7, Office XP Developer, Windows 98, y varias herramientas y parches, para Office 2000. Microsoft dice que pondrá al día las versiones de algunos productos compatibles con Java, para finales de diciembre, incluyendo Office XP Professional con FrontPage, Publisher 2002, Windows NT 4.0 y Small Business Server 2000. La empresa dijo que después de ese plazo, los productos mencionados ya no estarían disponibles en ninguno de sus canales habituales, y tampoco existirán parches de seguridad para los mismos. En el anuncio, la compañía afirmó que el cambio se debía a un acuerdo alcanzado con Sun en enero de 2001. No se han publicado comentarios al respecto de representantes tanto de Microsoft como de Sun. Según el acuerdo con Sun para la distribución de la máquina virtual de Java, el software de Microsoft tiene que funcionar con Java. Además, Microsoft tiene el derecho de modificar su software de Java para solucionar errores críticos o agujeros de seguridad, hasta el 2 de enero de 2004. En octubre, Microsoft dijo que saldría del negocio de distribuir la máquina virtual de Java para Windows, pero que extendería el soporte para su propio software de Java, hasta setiembre de 2004. Pero en ese momento, la compañía no especificó que productos continuaría soportando. Sun ha intentado distribuir su propia máquina virtual con diversos procedimientos presentados ante la corte, y acuerdos de distribución con fabricantes de computadoras. * En diciembre, no habrán parches de seguridad El segundo anuncio de Microsoft, es que en diciembre, no publicará su acostumbrado paquete de parches mensual, como lo ha estado haciendo a partir de una nueva modalidad iniciada en octubre de 2003, aunque no se menciona que esto tenga relación con lo anterior. Según un representante de la compañía, la razón de no publicar nada este mes, es que no hay nada pronto para publicar, lo que de ningún modo significa que no se ha estado trabajando en la solución para varios problemas anunciados a finales de noviembre por varios investigadores independientes. Al menos cinco de siete agujeros en el Internet Explorer, hechos públicos sin existir una solución para los mismos, son catalogados por algunos como graves. Sin embargo, Microsoft ya había restado importancia a éstos en declaraciones anteriores, por considerarlos de difícil explotación. Ahora, al anunciarse que no se publicarán parches en diciembre, también se dijo que la compañía sigue estudiando dichas fallas. Cómo dijimos antes, a partir de Octubre, Microsoft decidió publicar sus parches y actualizaciones, cada segundo martes de todos los meses. Aunque ello fue aplaudido por algunos y criticado por otros (los que piensan que un mes es demasiado tiempo para estar sin protección ante una nueva falla), lo cierto es que ésta forma de publicación, ha resultado de un valor psicológico muy importante para la confianza de los usuarios, según revelan algunos consultores. * Relacionados: Cinco fallas en el IE que comprometen la seguridad http://www.vsantivirus.com/27-11-03.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Bodiru.A. Se propaga por P2P, corrompe archivos _____________________________________________________________ http://www.vsantivirus.com/bodiru-a.htm Nombre: W32/Bodiru.A Tipo: Gusano de Internet (P2P) Alias: W32.HLLW.Bodiru Fecha: 8/dic/03 Plataforma: Windows 32-bit Tamaño: 66,048 bytes Gusano escrito en Microsoft Visual Basic y comprimido con la utilidad ASPack, que intenta propagarse a través de redes de intercambio de archivos de usuarios P2P. También intenta ataques de denegación de servicio (DoS) a dos servidores de Internet específicos, el del antivirus Norton (Symantec), y un sitio de fanáticos del MSN Messenger en Bélgica. También puede corromper diversos archivos ejecutables del sistema, además de finalizar la ejecución de conocidos antivirus y cortafuegos. Para propagarse utiliza los siguientes programas P2P: eDonkey2000 eMule Kazaa Kazaa Lite K++ Cuando se ejecuta, intenta copiarse con los siguientes nombres: A:\Home Work.doc.pif C:\Documents and Settings\Administrator \Start menu\Programs\Startup\Config.pif C:\Documents and Settings\All Users\Start menu \Programs\Startup\Windows Update.exe C:\Documents and Settings\Default User\Start menu \Programs\Startup\Windows Update.exe C:\Norton Anitivirus 2004.exe C:\Rude Boi(Full Screen Saver).scr C:\W32.rudeboi.exe C:\Win95\Start menu\Programs\Startup\Config.pif C:\Win98\Start menu\Programs\Startup\Windows Update.exe C:\Windows\Start menu\Programs\Startup\Help.exe C:\Windows\System\Live update.pif C:\Windows\System\W32.rudeboi.exe C:\Windows\System\Windows Tools.exe C:\Windows\System32\Darkness_Krew (OWnZ ya).exe C:\Windows\System32\Windows Update.pif C:\WinMe\Start menu\Programs\Startup\System.scr C:\WINNT\Profiles\Administrator\Start menu \Programs\Startup\windows Update.exe C:\WINNT\Profiles\All Users\Start menu \Programs\Startup\windows Update.exe C:\WINNT\System32\W32.rudeboi.exe C:\WINNT\System32\Windows Tools.exe C:\WINNT\System32\Windows Update.exe Solo se copia en aquellas carpetas que ya existen. También intenta realizar casi doscientas copias de si mismo en las siguientes carpetas, si alguna de ellas existe: C:\Program Files\eMule\Incoming\ C:\Program Files\Kazaa\My shared folder\ C:\Program Files\Kazaa Lite K++\My shared folder\ C:\Program Files\eDonkey2000\Incoming\ Si estos programas están instalados en otras ubicaciones, no se realizarán las copias. Para copiarse, utiliza los siguientes nombres: ACDSee 5.5.exe Adobe_Keyge.exe Age of Empires 2 crack.exe Aim bot ut3.exe All Microsoft Products CD Key Generator.exe All Norton Antivirus KEys!.exe Ana Kournikova Sex Video (downloader).exe Animated Screen 7.exe Any Nick Name Msn 6.0.exe AOL Instant Messenger Crasher.exe aol password cracker.exe Aol_cracker.exe AquaNox2 Crack.exe Audiograbber 2.05.exe AVP Antivirus Pro Key Crack.exe BabeFest 2003 ScreenSaver 1.6.exe Battlefield1942_bloodpatch.exe Battlefield1942_keygen.exe Britney Spears Sex Video.exe Buffy Vampire Slayer Movie.exe BurnDvds.exe Business Card Designer Plus 7.9.exe cable modem ultility pack.exe cable modem.exe Clone CD 5.0.0.3 (crack).exe Clone CD 5.0.0.3.exe Cool Edit Pro v2.55.exe Counter Strike - See Through Walls.exe counter-strike.exe Crack Passwords Mail.exe Credit Card Numbers generator(incl Visa,MasterCard).exe Credit_Card_Numbers_generator.exe Darkness_Krew.exe DeadAim 4.0 KeyGen.exe Diablo 3 Crack.exe Diablo_2_Crack.exe DirectDVD 5.0.exe DirectX Buster (all versions).exe DivX Video Bundle 6.5.exe Divx_pro (FINAL!).exe Divx_Pro_5.1_Serial.exe Doom III (Cd KEys).exe Download Accelerator Plus 6.1.exe DVD Copy Plus v5.0.exe DVD Region-Free 2.3.exe Dvd_Plus_Crack.exe Dvd_Ripper(The Best 04).exe Dvd_To_Vcd.exe Easy_Dvd_creator_Crack.exe Easy_Dvd_Ripper.exe Edonkey2000-Speed me up scotty.exe Fifa 2004 (Cd Crack).exe FIFA2003 crack.exe Final Fantasy VII XP Patch 1.5.exe Flash MX crack (trial).exe FlashGet 1.5.exe FreeRAM XP Pro 1.9.exe Game Cube Real Emulator.exe GetRight 5.0a.exe Gothic2 licence.exe GTA 3 Crack.exe GTA 3 Serial.exe Guitar Chords Library 5.5.exe Hack Any Kazaa User.exe Hack The School.exe Hack Website Easy.exe Hacker_The_LoveStory.exe Half Life 2 (Cd Crack).exe Half Life 2 (cd Keys).exe Harry potter2 Crack.exe Hitman_2_no_cd_crack.exe Hotmail Hacker Gold (All Msn Versions!).exe Hotmail_Hacker_2003-Xss_Exploit.exe Ip Nuker V6 (Reall Works).exe KaZaA Hack 2.5.0.exe Kazaa Lite )FINALL!(.exe Kazaa SDK + Xbit speedUp for 2.xx.exe KaZaA Speedup 3.6.exe KaZaA-Hack_2.5.0.exe Links 2003 Golf game (crack).exe Living Waterfalls 1.3.exe Love.exe LYNDEN.exe Macromedia product keys.exe Macromedia_Keygen.exe Mafia_crack.exe Mail Bomber For msn messsenger 6.0.exe Matrix Screensaver 1.5.exe Mcafee Antivirus Scan Crack.exe MediaPlayer Update.exe Messenger Plus Latest!.exe Microsoft .NET hack.exe Microsoft KeyGenerator-Allmost all microsoft stuff.exe mIRC 6.40.exe Msn 6.0 (Multi Messenger).exe Msn 6.0 Crasher!.exe Msn 6.0 Kicker.exe Msn 6.0 Password Cracker.exe Msn Emotions (Version 6.0).exe Msn Emotions (Version 6.1).exe Msn Ip Finder 2004.exe Msn Messenger 6.0 Bomber!.exe Msn Messenger Betta 6.2.exe MSN Password Hacker 5.7 (worked on my ex-girlfriend!).exe Music Download 2003 (Full Albums).exe MWorld Of Warcraft (FULL) Installer and Downloader.exe NBA2003_crack.exe Need 4 Speed crack.exe Nero_Burning_Rom_Crack.exe Netbios Nuker 2003.exe Netbios Nuker 2004.exe Netfast 1.8.exe Network Cable e ADSL Speed 2.0.5.exe Nimo CodecPack (new) 8.0.exe Nimo_Codec_PackUpdater.exe Norton Anvirus Key Crack.exe PalTalk 5.01b.exe pamela_anderson.exe Panda Antivirus Titanium Crack.exe play station emulator.exe Popup Defender 6.5.exe Pop-Up Stopper 3.5.exe PS2 PlayStation Simulator.exe Ps2 Real Emulator.exe Quake 3 Keygen (works Great).exe Quake3 - See through wallz.exe Quick Time Key Crack.exe QuickTime_Pro_Crack.exe Real Sex Toys!.exe Screen saver christina aguilera naked.exe Security-2003-Update.exe Serials 2003 v.8.0 Full.exe Serials 2004 v.8.0 Full.exe serials2000.exe SmartFTP 2.0.0.exe SmartRipper v2.7.exe Space Invaders 1978.exe Splinter_Cell_Crack.exe Starcraft serials.exe Stripping MP3 dancer+crack.exe Sub 7 2.9.exe Trillian 0.85 (free).exe TweakAll 3.8.exe Unreal Tournament 2003 (Cd Crack).exe Unreal Tournament 2003 (Cd KEys).exe Unreal2_bloodpatch.exe Unreal2_crack.exe UT2003_bloodpatch.exe UT2003_keygen.exe UT2003_no cd (crack).exe UT2003_patch.exe VB6.exe Visual Basic (ALL KEYS GEN).exe Visual Basic 6.0 Msdn Plugin.exe Visual Basic Decompiler.exe warcraft 3 crack (Really Works).exe warcraft 3 serials.exe WarCraft_3_crack.exe winamp plugin pack.exe WindowBlinds_4.0.exe Windows XP complete + serial.exe Windows Xp Exploit.exe WinOnCD 4 PE_crack.exe WinRar 3.xx Password Cracker.exe WinZip 9.0b (CRACK).exe WinZip 9.0b.exe winzip full version key generator.exe Winzip KeyGenerator Crack.exe WinZipped Visual C++ Tutorial.exe XNuker 2003 2.93b.exe XNuker_2003_2.93b.exe Xvid_Codec_Installer.exe Yahoo Account Stealer.exe Yahoo Messenger 6.0.exe Zelda Classic 2.00.exe Luego crea los siguientes archivos en la carpeta donde se ejecute. Los tres primeros son versiones corruptas del propio gusano, y los dos últimos, inofensivos archivos de texto: \W32.DARKNESS_KREW.exe \1nfected.exe \Darkness_Krew \[Darkness_Krew].txt C:\Administrator Intenta agregar los primeros 28,672 bytes de su propio código, al comienzo de los siguientes archivos, dejándolos corruptos: C:\Program Files\MSN Messenger\Msnmsgr.exe C:\Program Files\Norton AntiVirus\Navw32.exe C:\Program Files\Winzip\WINZIP32.exe C:\Windows\Regedit.exe C:\Windows\Rundll.exe C:\Windows\Rundll32.exe C:\Windows\System\Underwater.scr C:\Windows\Wscript.exe C:\Winnt\Regedit.exe C:\Winnt\Regedit.exe C:\Winnt\System32/Regedit.exe El último nombre tiene un error (la barra "/"). Si cualquier archivo de esa lista no existiera, pero si existe la carpeta, el gusano crea un archivo de ese nombre de longitud cero, y luego agrega al mismo el contenido de W32.DARKNESS_KREW.exe. Utiliza el comando PING (Packet INternet Groper), para enviar paquetes ICMP (Protocolo de mensajes de control de Internet) de petición de eco y respuesta de eco, de un tamaño de 65,500 bytes a los servidores "symantec.com" y "mess.be", con la intención de provocar ataques de denegación de servicio (DoS). Para ello inicia cuatro instancias del comando PING (dos por servidor), enviando cada una de ellas, paquetes ICMP a un ritmo de uno por segundo. El gusano intenta finalizar los siguientes procesos pertenecientes a conocidos antivirus y cortafuegos: _avp.exe _avp32.exe _avpm.exe anti-trojan.exe apvxdwin.exe autodown.exe avconsol.exe ave32.exe avgctrl.exe avkserv.exe avnt.exe avp.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avpmon.exe avpnt.exe avptc32.exe avpupd.exe avsched32.exe avwin95.exe avwupd32.exe blackd.exe blackice.exe ccapp.exe cfiadmin.exe cfiaudit.exe cfind.exe cfinet.exe cfinet32.exe claw95.exe claw95cf.exe claw95ct.exe cleaner.exe cleaner3.exe dv95.exe dv95_o.exe dvp95.exe dvp95_0.exe ecengine.exe efinet32.exe esafe.exe espwatch.exe f-agnt95.exe findviru.exe f-prot.exe fprot.exe f-prot95.exe fprot95.exe fp-win.exe frw.exe f-stopw.exe iamapp.exe iamserv.exe ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icmoon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe iface.exe iomon98.exe jed.exe jedi.exe kpf.exe kpfw32.exe lockdown2000.exe lookout.exe luall.exe mcafee.exe moolive.exe mpftray.exe n32scan.exe n32scanw.exe navapsvc.exe navapw32.exe navlu32.exe navsched.exe navw.exe navw32.exe navwnt.exe nisum.exe nmain.exe normist.exe nupgrade.exe nvc95.exe outpost.exe padmin.exe pavcl.exe pavsched.exe pavw.exe pccwin98.exe pcfwallicon.exe persfw.exe rav7.exe rav7win.exe rescue.exe safeweb.exe scan32.exe scan95.exe scanpm.exe scrscan.exe serv95.exe smc.exe sphinx.exe sweep95.exe tbscan.exe tca.exe tds2-98.exe tds2-nt.exe terminateexe vcontrol.exe vet32.exe vet95.exe vet98.exe vettray.exe vscan40.exe vsecomr.exe vshwin32.exe vsmon.exe vsscan40.exe vsstat.exe webscan.exe webscanx.exe wfindv32.exe zaplus.exe zapro.exe zonealarm.exe Crea el siguiente valor en el registro de Windows, con la intención de ejecutarse automáticamente en cada reinicio del sistema. Sin embargo, la entrada tiene un error en el nombre y por lo tanto no funciona: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run App.EXEName = [camino del gusano]\.exe Finalmente, intenta finalizar los procesos activos que contengan alguna de estas cadenas en su nombre: MS-DOS Prompt Norton Antivirus Registry Editor System Configuration Utility Windows Task Manager * Reparación manual * Deshabilitar las carpetas compartidas de programas P2P Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema. Para ello, siga las instrucciones del siguiente artículo: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: App.EXEName 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - PHP/Feast.A. Infector de archivos PHP _____________________________________________________________ http://www.vsantivirus.com/php-feast-a.htm Nombre: PHP/Feast.A Tipo: Virus Alias: PHP.Feast Fecha: 8/dic/03 Plataforma: Linux, Macintosh, Microsoft IIS, UNIX Tamaño: 1,251 bytes Es un infector de archivos PHP de características polimórficas. PHP, acrónimo de "PHP: Hypertext Preprocessor", es un lenguaje interpretado de alto nivel, y de código abierto, que se ejecuta en el servidor, y puede estar embebido en páginas HTML. Permite desarrollar páginas web dinámicas de una manera rápida y fácil. El virus solo se ejecuta en sistemas que estén ejecutando un servidor Web con módulos PHP activos (Linux, Macintosh, Microsoft IIS, UNIX). Cuando el virus se ejecuta, el mismo busca en otros archivos PHP de la carpeta actual, una marca de infección. Si el archivo no ha sido infectado, lo infecta. El virus se encripta y se copia a si mismo, al principio de cada archivo PHP, después de la marca "<?php". Con cada encriptación, el virus varía su fisonomía, por lo que entra en la categoría de virus polimórfico. * Reparación manual * Antivirus Para la limpieza de este virus en un servidor Web, actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. También puede reemplazar todos los archivos PHP por un respaldo anterior limpio. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Randex.BD. Se propaga por redes, se controla por IRC _____________________________________________________________ http://www.vsantivirus.com/randex-bd.htm Nombre: W32/Randex.BD Tipo: Gusano de Internet Alias: W32.Randex.BD, Backdoor.IRCBot.gen, Backdoor.SdBot.gen Tamaño: 104,992 bytes Plataforma: Windows 32-bit Fecha: 9/dic/03 NOTA: Debido a que los distintos fabricantes de antivirus, han añadido cada variante en diferentes momentos, suelen haber discrepancias respecto al nombre dado a cada versión. Esta versión del gusano, está programada con Microsoft Visual C++ y comprimida con la utilidad UPX. Se propaga a través de redes, copiándose a si mismo en los siguientes caminos: \admin$\system32\cmst32.exe \c$\winnt\system32\cmst32.exe Tiene capacidades de troyano, y puede recibir instrucciones desde un canal de IRC (Internet Relay Chat) específico. Una de esas instrucciones es la que ocasiona la propagación a través de los recursos mencionados. Cuando se ejecuta por primera vez, se copia en la siguiente ubicación: c:\windows\system\cfgdll32.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Un usuario remoto puede realizar las siguientes acciones: 1. NTSCAN: calcula direcciones IP al azar para seleccionar la computadora a infectar. Intenta autenticarse en cada dirección IP creada, usando diferentes contraseñas. Luego se copia a si mismo en las computadoras cuyas contraseñas de administrador sean débiles en la siguiente ubicación, donde [IP] es la dirección IP autenticada: \\[IP]\Admin$\system32\cmst32.exe \\[IP]\c$\winnt\system32\cmst32.exe 2. SYN: Realiza ataques del tipo "syn flood" utilizando paquetes SYN de 55808 bytes. 3. SYSINFO: Obtiene información de su víctima, tales como velocidad de la CPU, memoria disponible, etc. También intenta robar las llaves de registro de algunos conocidos juegos. Para ejecutar el gusano, crea una tarea programada, y también agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Microsoft Runtime = cfgdll32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Microsoft Runtime = cfgdll32.exe También agrega la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Ole EnableDCOM = "N" Finalmente se conecta a un canal de IRC específico para recibir instrucciones remotas. Entre ellas las que le permiten propagarse a otros recursos compartidos como vimos al principio. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: cfgdll32.exe; cmst32.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: cfgdll32.exe; cmst32.exe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Runtime 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Runtime 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Ole 7. Pinche en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: EnableDCOM 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Gaobot.CQ. Se copia como "csrrs.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-cq.htm Nombre: W32/Gaobot.CQ Tipo: Gusano de Internet y caballo de Troya Alias: W32/Agobot-BK, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.AO Fecha: 09/dic/03 Plataforma: Windows 32-bit Puertos: TCP/135, TCP/445 Es una variante menor de W32/Gaobot.AO. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. Las principales diferencias con variantes anteriores son las siguientes: 1. Se copia con el siguiente nombre: c:\windows\system\csrrs.exe 2. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Service Controller = csrrs.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Service Controller = csrrs.exe 3. En Windows NT, 2000 y XP, el gusano crea un nuevo servicio llamado "Service Controller", para ejecutarse en forma automática: HKLM\System\CurrentControlSet\Services\csrrs * NOTA IMPORTANTE: El gusano puede remover las unidades compartidas por defecto en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$). Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco puede ser finalizado desde el Administrador de tareas, ya que es capaz de lanzar un nuevo proceso antes de ser descargado de memoria el primero. En caso de querer detenerlo desde el Administrador, se despliega un mensaje de error, pero el servicio seguirá funcionando. También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o CMD.EXE). Para eliminarlo, renombre el archivo del editor del registro (REGEDIT.EXE), por ejemplo REG.EXE. Ejecute REG.EXE y borre las entradas en el registro para que el gusano no se ejecute al inicio. Reinicie en modo a prueba de fallas, y siga con las instrucciones que se dan en el siguiente enlace. * Más información: Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción: W32/Gaobot.AO. Peligroso gusano y caballo de Troya http://www.vsantivirus.com/gaobot-ao.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/Gaobot.CP. Se copia como "cavapsvc.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-cp.htm Nombre: W32/Gaobot.CP Tipo: Gusano de Internet y caballo de Troya Alias: W32/Agobot-BI, Backdoor.Agobot.3.gen, WORM_AGOBOT.AO, W32.HLLW.Gaobot.AO Fecha: 09/dic/03 Plataforma: Windows 32-bit Puertos: TCP/135, TCP/445 Es una variante menor de W32/Gaobot.AO. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. Las principales diferencias con variantes anteriores son las siguientes: 1. Se copia con el siguiente nombre: c:\windows\system\cavapsvc.exe 2. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Norton Live Updater = cavapsvc.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Norton Live Updater = cavapsvc.exe 3. En Windows NT, 2000 y XP, el gusano crea un nuevo servicio llamado "Norton Live Updater", para ejecutarse en forma automática: HKLM\System\CurrentControlSet\Services\cavapsvc * NOTA IMPORTANTE: El gusano puede remover las unidades compartidas por defecto en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$). Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco puede ser finalizado desde el Administrador de tareas, ya que es capaz de lanzar un nuevo proceso antes de ser descargado de memoria el primero. En caso de querer detenerlo desde el Administrador, se despliega un mensaje de error, pero el servicio seguirá funcionando. También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o CMD.EXE). Para eliminarlo, renombre el archivo del editor del registro (REGEDIT.EXE), por ejemplo REG.EXE. Ejecute REG.EXE y borre las entradas en el registro para que el gusano no se ejecute al inicio. Reinicie en modo a prueba de fallas, y siga con las instrucciones que se dan en el siguiente enlace. * Más información: Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción: W32/Gaobot.AO. Peligroso gusano y caballo de Troya http://www.vsantivirus.com/gaobot-ao.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1251 Año 8, Miércoles 10 de diciembre de 2003