Mostrando mensaje 330     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1281 Año 8, viernes 9 de enero de 2004 Fecha: Viernes, 9 de Enero, 2004  04:56:23 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1281 Año 8, viernes 9 de enero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad en descargas con Yahoo! Messenger 2 - W32/Darker.B. Se propaga por e-mail y redes P2P 3 - W32/Gaobot.DI. Se copia como "lsas.exe" 4 - W32/Gaobot.DH. Se copia como "winsys32.exe" _____________________________________________________________ 1 - Vulnerabilidad en descargas con Yahoo! Messenger _____________________________________________________________ http://www.vsantivirus.com/vul-yim-download.htm Vulnerabilidad en descargas con Yahoo! Messenger Por Marcelo A. Rodriguez marcelo-ar@videosoft.net.uy Yahoo! Messenger (YMSG), es uno de los mas populares mensajeros instantáneos, que posee características muy útiles como chat con audio/video y transferencia de archivos. Recientemente, se ha detectado un fallo en este programa, muy similar a otros reportados con anterioridad. Al enviar un nombre extenso de archivo especialmente alterado a un usuario, un atacante puede ocasionar un desbordamiento de búfer (buffer overflow), cuando el usuario de Yahoo! Messenger trata de descargar ese archivo, sin necesidad de ejecutarlo. Como demostración rápida, se puede crear un archivo con un nombre como éste: prueba<inserte_alrededor_de_210_espacios_aqui>.jpg Cuando un usuario del YMSG intente descargarlo, se producirá el fallo en su programa. Dado que esto es un desbordamiento de búfer, siempre existe la posibilidad de ejecutar código en la máquina de la víctima. Nota: Esta vulnerabilidad es diferente a la descubierta por "Hat-Squad team" en Octubre de 2003: http://www.securityfocus.com/archive/1/342472 Yahoo fue contactado por Tri Huynh, descubridor del fallo, a través de security@yahoo-inc.com, sin obtener otra respuesta mas que "lo estaban estudiando". La nueva versión 5.6.0.1358 no es vulnerable, sin embargo no hay forma de actualizar de la versión 5.6.0.xxxx a la 5.6.0.1358 excepto reinstalando Yahoo! Messenger. Visitando http://messenger.yahoo.com/messenger/security/ se ve que no existe actualización alguna para esta vulnerabilidad ya que Yahoo! no dice nada al respecto. Esta vulnerabilidad reside en el archivo FT.DLL que se utiliza para manejar las transferencias en YMSG. La única forma de resolver esta falla es remover la versión vulnerable e instalar la versión mas reciente del programa. Versiones vulnerables: 5.6.0.1351 y anteriores. Descubierto por Tri Huynh de SentryUnion Publicado en: http://www.securityfocus.com/archive/1/349159 * Relacionados: Yahoo! Messenger http://messenger.yahoo.com Security Updates http://messenger.yahoo.com/security/update4.html Desbordamiento de búfer en Yahoo! Instant Messenger http://www.vsantivirus.com/vul-yim56.htm Buffer Overflow in Yahoo messenger Client http://www.securityfocus.com/archive/1/342472 Yahoo! Messenger deja borrar archivos de su computadora http://www.vsantivirus.com/30-05-02.htm * Glosario: Desbordamiento de búfer - El búfer no es otra cosa que un área determinada en la memoria, usada por una aplicación para guardar ciertos datos necesarios para su funcionamiento. Esta área tiene un tamaño previamente definido en el programa, pero si se envían más bytes de los permitidos, la información sobrepasa los límites impuestos, cayendo en muchos casos sobre partes ejecutables del código principal. Un uso malintencionado de estos datos, puede hacer que esa parte contenga instrucciones preparadas para activar ciertas acciones no pensadas por el programador de la aplicación. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Darker.B. Se propaga por e-mail y redes P2P _____________________________________________________________ http://www.vsantivirus.com/darker-b.htm Nombre: W32/Darker.B Tipo: Gusano de Internet (P2P) Alias: Win32.Darker.B, W32/Darker.worm!p2p, Win32/P2P.Darker.F.Worm, Worm.P2P.Darker.f Fecha: 6/ene/04 Tamaño: 36,864 bytes Plataforma: Windows 32-bit Gusano escrito en Borland Delphi y comprimido con la utilidad UPX, similar a la versión A, pero totalmente funcional (en Darker.A no funcionaban algunas de las rutinas de propagación). Intenta propagarse a través de redes de intercambio de archivos entre usuarios (P2P), y además posee características de troyano de control remoto, recibiendo instrucciones a través de un servidor de IRC (Internet Relay Chat). También puede propagarse a través del correo electrónico, si recibe las instrucciones correspondientes vía IRC. En ese caso, envía mensajes con estas características: Asunto: Microsoft Windows OutLook Express urgent updates Datos adjuntos: AV_PATCH.EXE Texto: There is a new virus spreading called Win32.darkirc virus. This email was sent to you as a precaution as ur version of OutLook Express has not been updated. Patch available attached to the email Cuando se ejecuta, el gusano se copia en la siguiente carpeta: c:\windows\svchost.exe NOTA 1: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000). NOTA 2: SVCHOST.EXE (Generic Host Process for Win32 Services), es también un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre este archivo. También agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Service Process = c:\windows\svchost.exe El gusano deshabilita el editor del registro (REGEDIT.EXE), modificando las siguientes entradas: HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\System DisableRegistryTools = dword:00000001 HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\System DisableRegistryTools = dword:00000001 Esto produce el mensaje "El administrador ha deshabilitado la edición del registro" cuando se intenta ejecutar REGEDIT. El gusano intenta propagarse por los siguientes programas de intercambio de archivos entre usuarios: Grogster KaZaA KaZaA Lite Morpheus Para ello, busca las siguientes carpetas dentro de "C:\Archivos de programa" o "C:\Program Files", y se copia en ellas con los nombres que siguen: Carpeta: \Morpheus\My Shared Folder\ Nombres de archivos: Adobe_crack_.exe crack_database(1000scracks).exe Dmx - Who the let the dogs out(funny).exe HotMail_password_hack(NEW!!!).exe Jay z - crazy in love.mov.exe live_fuck_tv(v2).exe Mp3_Mixer(v3).exe Msn_instant_messager_pass_crack.exe Password_cracker(doesnt_work_on_nt).exe PasswordCracker.exe Porn_Search_engine.exe PornWebsite_Pass_crack_v1.23beta.exe SlimShady Game.exe Teen sex Having her breasts fucked and blowjob.exe Xmusic Ultimate porn , games , movies Search engine.exe XP crack setup.exe Carpeta: \KaZaA\My Shared Folder\ Nombres de archivos: Adobe_crack_.exe Crackdatabase(1000scracks).exe DjSoftware.exe Hot Pink Pussy Very tight chick fucking her boyfriend on the bed. Great sex clip.exe Hotmail_Hacker.exe HotMail_password_hacker.exe Jenna jameson Tit Fuck Sex Ultimate porn movie.mpeg.exe Kill backstreet boys(Eminem game).exe Mp3_Mixer.exe Mp3Mixer(good).exe Msn_instant_messager_pass_crack.exe Password_cracker(doesnt_work_on_nt).exe PassWordCracker.exe Porn_Search_engine.exe PornWebsite_Pass_crack_v1.23beta.exe Teen fucking hard.avi.exe Tit_test(Porn_game).exe Windows Xp Crack.exe Carpeta: \Grokster\My Grokster\ Nombres de archivos: Adobe_crack_.exe Crack_hack_database(1000sCracksHacks).exe Half_life_walk_through_walls_proxy.exe HalfLife.exe HotMail_password_hacker(NEW!!!).exe Mp3_Mixer_.exe Msn_instant_messager_pass_crack.exe Password_cracker(doesnt_work_on_nt).exe Porn_search_engine(2003edition).exe PornWebsite_Pass_crack_v1.23beta.exe Windows Xp crack.exe Carpeta: \KaZaA Lite\My Shared Folder\ Nombres de archivos: Adobe_crack_.exe Asian-porn-finder.exe britney spears tit game (funny as hell).exe Crackdatabase(1000scracks).exe DjSoftware.exe dr dre & nwa - fuck the police.mp3.exe Great Sex Movie Viewier NO Credit Cards (LESBIAN , HARDCORE , TEENSEX , FUCK ,BLOWJOB).exe HalfLife Counter strike Auto Aim-v4.3.exe Hotmail_Hacker.exe HotMail_password_hacker(NEW!!!).exe Jenna jameson Tit Fuck Sex Ultimate porn movie.mpeg.exe Mp3_Mixer.exe Mp3Mixer(good).exe Msn_instant_messager_pass_crack.exe Password_cracker(doesnt_work_on_nt).exe PassWordCracker.exe Porn_Search_engine.exe PornWebsite_Pass_crack_v1.23beta.exe Windows Xp Crack.exe Xscan setup(Windows Hacker).exe Luego, intenta conectarse a servidores de IRC predeterminados en su código, y queda a la espera de los comandos enviados por un usuario en forma remota, quien podrá tomar el control de la computadora infectada. Algunas de las acciones posibles para el atacante: º Capturar todo lo tecleado por la víctima º Descargar y ejecutar archivos º Enviar al propio gusano vía correo electrónico con las características vistas antes, a todos los contactos de la libreta de direcciones (utiliza las rutinas MAPI) º Finalizar el software antivirus en ejecución º Obtener la información del sistema infectado º También puede finalizar cualquier proceso con los siguientes nombres: _avp32.exe _avpcc.exe _avpm.exe ackwin32.exe advxdwin.exe agentsvr.exe agentw.exe ahnsd.exe alerter alertsvc.exe alogserv.exe amon9x.exe anti-trojan.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe atcon.exe atguard.exe atro55en.exe atupdater.exe atwatch.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avgcc32.exe avgctrl.exe avgserv avgserv.exe avgserv9.exe avgw.exe avkpop.exe avkserv.exe avkservice.exe avkwcl9.exe avkwctl9.exe avp.exe avp32.exe avpcc.exe avpexec.exe avpinst.exe avpm.exe avpupd.exe avrescue.exe avsched32.exe avsynmgr avsynmgr.exe avwinnt.exe avxmonitor9x.exe avxmonitornt.exe avxquar.exe avxquar.exe.exe avxw.exe bd_professional.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe bootwarn.exe borg2.exe bs120.exe ccapp.exe ccevtmgr.exe ccpxysvc.exe cdp.exe cfgwiz.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe claw95.exe claw95cf.exe clean.exe cleaner.exe cleaner3.exe cleanpc.exe cmgrdian.exe cmon016.exe connectionmonitor.exe cpd.exe cpdclnt.exe cpf9x206.exe cpfnt206.exe csinject.exe csinsm32 css1631.exe ctrl.exe cv.exe cwnb181.exe cwntdwmo.exe defalert.exe defscangui.exe defwatch.exe deputy.exe doors.exe dpf.exe drwatson.exe drweb32.exe dvp95.exe dvp95_0.exe efpeadm.exe ent.exe escanh95.exe escanhnt.exe escanv95.exe etrustcipe.exe evpn.exe exantivirus-cnet.exe expert.exe f-agnt95.exe fameh32.exe fast.exe fch32.exe fih32.exe firewall.exe fix-it.exe flowprotector.exe fnrb32.exe f-prot.exe f-prot95.exe fp-win.exe fp-win_trial.exe frw.exe fsaa.exe fsav.exe fsav32.exe fsav530stbyb.exe fsav95.exe fsave32.exe fsgk32.exe fsgk32.exe fsm32.exe fsma32.exe fsmb32.exe f-stopw.exe fwenc.exe gbmenu.exe gbpoll.exe generics.exe guard.exe guarddog.exe hacktracersetup.exe htlog.exe hwpe.exe iamapp.exe iamserv.exe iamstats.exe icload95.exe icloadnt.exe icmon.exe icsupp95.exe icsuppnt.exe iface.exe ifw2000.exe iomon98.exe iparmor.exe iris.exe isrv95.exe jammer.exe jedi.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe ldnetmon.exe ldpro.exe ldpromenu.exe ldscan.exe localnet.exe lockdown.exe lockdown2000.exe lsetup.exe luall.exe luau.exe lucomserver.exe luinit.exe luspt.exe mcagent.exe mcmnhdlr.exe mcshield.exe mctool.exe mcupdate.exe mcvsrte.exe mcvsshld.exe mfw2en.exe mfweng3.02d30.exe mgavrtcl.exe mgavrte.exe mghtml.exe mgui.exe minilog.exe monitor.exe monsys32.exe monsysnt.exe monwow.exe moolive.exe mpfagent.exe mpfservice.exe mpftray.exe mrflux.exe msinfo32.exe mssmmc32.exe mu0311ad.exe mwatch.exe mxtask.exe nav80try.exe navap navapsvc navapsvc.exe navapw32.exe navauto-protect navdx.exe naveng navengnavex15 navex15 navlu32.exe navrunr.exe navstub.exe navw32.exe navwnt.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe neowatchlog.exe netarmor.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netstat.exe netutils.exe nisserv.exe nisum.exe nmain.exe normist.exe norton_internet_secu_3.0_407.exe notstart.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe npscheck.exe npssvc.exe nsched32.exe ntrtscan.exe ntvdm.exe ntxconfig.exe nui.exe nupgrade.exe nvapsvc nvarch16.exe nvc95.exe nvlaunch.exe nvsvc32 nwinst4.exe nwservice.exe nwtool16.exe offguard.exe ostronet.exe outpost.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe pathping.exe pavproxy.exe pavproxy.exe pcc2002s902.exe pcc2k_76_1436.exe pccclient.exe pccguide.exe pcciomon.exe pccntmon.exe pccpfw pccwin97.exe pccwin98.exe pcdsetup.exe pcfwallicon.exe pcip10117_0.exe pcscan.exe pcscan.exepdsetup.exe periscope.exe persfw.exe perswf.exe pf2.exe pfwadmin.exe ping.exe pingscan.exe platin.exe pop3trap.exe poproxy.exe popscan.exe portdetective.exe portmonitor.exe ppinupdt.exe pptbc.exe ppvstop.exe processmonitor.exe procexplorerv1.0.exe programauditor.exe proport.exe protectx.exe pspf.exe purge.exe pview95.exe qconsole.exe qserver.exe rapapp.exe rav7.exe rav7win.exe rav8win32eng.exe realmon.exe rescue.exe rescue32.exe route.exe routemon.exe rrguard.exe rshell.exe rtvscn95.exe rulaunch.exe safeweb.exe sbserv.exe scan32.exe schedapp.exe scrscan.exe sd.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe sh.exe sharedaccess shellspyinstall.exe shn.exe smc.exe sofi.exe spf.exe sphinx.exe sphinx.exe spyxx.exe srwatch.exe ss3edit.exe st2.exe supftrl.exe supporter5.exe sweep95.exe sweepnet sweepsrv.sys swnetsup.exe symproxysvc.exe symtray.exe sysdoc32.exe sysedit.exe taskmon.exe taumon.exe tauscan.exe tc.exe tca.exe tcm.exe tds2-98.exe tds2-nt.exe tds-3.exe tfak.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tmntsrv tracerpt.exe tracert.exe trjscan.exe trjsetup.exe trojantrap3.exe uh`s@d undoboot.exe update.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vccmserv.exe vcsetup.exe vet32.exe vet95.exe vettray.exe vfsetup.exe vir-help.exe virusmdpersonalfirewall.exe vnlan300.exe vnpc3000.exe vpc32.exe vpc42.exe vpfw30s.exe vptray.exe vscenu6.02d30.exe vsched.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe vvstat.exe w32dsm89.exe w9x.exe watchdog.exe webscanx.exe webtrap.exe wgfe95.exe whoswatchingme.exe wimmun32.exe winrecon.exe winroute winsfcm.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe zauinst.exe zonalm2601.exe zonealarm.exe * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro 1. Descargue el siguiente archivo (Repara.reg): http://www.videosoft.net.uy/repara.reg 2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro. 3. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Service Process 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Gaobot.DI. Se copia como "lsas.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-di.htm Nombre: W32/Gaobot.DI Tipo: Gusano de Internet y caballo de Troya Alias: WORM_AGOBOT.CD, BDS/Agobot.66463, Backdoor.Agobot.3.gen Fecha: 8/ene/04 Plataforma: Windows NT, 2000 y XP Tamaño: 66,463 bytes Puertos: TCP/135, TCP/445 Otra variante del W32/Gaobot.AO, gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. El tamaño del ejecutable de esta versión, es de 66,463 bytes, y se ejecuta solo en Windows NT, 2000 y XP. Las principales diferencias con variantes anteriores son las siguientes: 1. Se copia con el siguiente nombre: c:\windows\system32\lsas.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). 2. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Nxvst = lsas.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Nxvst = lsas.exe HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRIVER HKLM\SYSTEM\CurrentControlSet\Services\Driver 3. En Windows NT, 2000 y XP, el gusano crea un nuevo servicio llamado "Driver" (Nxvst), para ejecutarse en forma automática. Cómo variantes anteriores, posee un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. También intenta finalizar los procesos activos de una extensa lista de productos antivirus y cortafuegos (más de 450) y los procesos pertenecientes a otros gusanos, como el Blaster, etc. Las listas completas con todos los nombres de estos procesos, las puede consultar en la descripción de W32/Gaobot.AO. * Más información: W32/Gaobot.AO. Peligroso gusano y caballo de Troya http://www.vsantivirus.com/gaobot-ao.htm * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Editar el registro * NOTA IMPORTANTE: El gusano puede remover las unidades compartidas por defecto en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$). Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco puede ser finalizado desde el Administrador de tareas, ya que es capaz de lanzar un nuevo proceso antes de ser descargado de memoria el primero. En caso de querer detenerlo desde el Administrador, se despliega un mensaje de error, pero el servicio seguirá funcionando. También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o CMD.EXE). Para eliminarlo, renombre el archivo del editor del registro (REGEDIT.EXE), por ejemplo REG.EXE. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REG.EXE (si ese fuera el nuevo nombre), y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Nxvst 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Nxvst 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Enum \Root \LEGACY_DRIVER 7. Pinche en la carpeta "LEGACY_DRIVER" y bórrela. 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Driver 9. Pinche en la carpeta "Driver" y bórrela. 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora en modo a prueba de fallas, y siga con las instrucciones que se dan a continuación. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system32\lsas.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Vulnerabilidad en RPC (Remote Procedure Call) Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP. Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC). Descargue y ejecute el parche correspondiente (MS03-026, MS03-039), desde el siguiente enlace: MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Gaobot.DH. Se copia como "winsys32.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-dh.htm Nombre: W32/Gaobot.DH Tipo: Gusano de Internet y caballo de Troya Alias: W32.HLLW.Gaobot.FL, W32.HLLW.Gaobot.gen, W32.HLLW.Gaobot.FB Fecha: 6/ene/04 Plataforma: Windows NT, 2000 y XP Tamaño: 240,504 bytes Puertos: TCP/135, TCP/445, TCP/80 Otra variante del W32/Gaobot.AO, gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. El tamaño del ejecutable de esta versión, es de 240,504 bytes, y se ejecuta solo en Windows NT, 2000 y XP. Está comprimido con las utilidades ASPack y Petite. Las principales diferencias con variantes anteriores son las siguientes: 1. Se copia con el siguiente nombre: c:\windows\system32\winsys32.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). 2. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Networking = winsys32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Windows Networking = winsys32.exe HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSYS32 HKLM\SYSTEM\CurrentControlSet\Services\ntsys32 3. En Windows NT, 2000 y XP, el gusano crea un nuevo servicio llamado "ntsys32" (Windows Networking), para ejecutarse en forma automática. Cómo variantes anteriores, posee un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. También intenta finalizar los procesos activos de una extensa lista de productos antivirus y cortafuegos (más de 450) y los procesos pertenecientes a otros gusanos, como el Blaster, etc. Las listas completas con todos los nombres de estos procesos, las puede consultar en la descripción de W32/Gaobot.AO. * Más información: W32/Gaobot.AO. Peligroso gusano y caballo de Troya http://www.vsantivirus.com/gaobot-ao.htm * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Editar el registro * NOTA IMPORTANTE: El gusano puede remover las unidades compartidas por defecto en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$). Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco puede ser finalizado desde el Administrador de tareas, ya que es capaz de lanzar un nuevo proceso antes de ser descargado de memoria el primero. En caso de querer detenerlo desde el Administrador, se despliega un mensaje de error, pero el servicio seguirá funcionando. También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o CMD.EXE). Para eliminarlo, renombre el archivo del editor del registro (REGEDIT.EXE), por ejemplo REG.EXE. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REG.EXE (si ese fuera el nuevo nombre), y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Networking 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Networking 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Enum \Root \LEGACY_NTSYS32 7. Pinche en la carpeta "LEGACY_NTSYS32" y bórrela. 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \ntsys32 9. Pinche en la carpeta "ntsys32" y bórrela. 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora en modo a prueba de fallas, y siga con las instrucciones que se dan a continuación. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system32\winsys32.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Vulnerabilidad en RPC (Remote Procedure Call) Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP. Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC). Descargue y ejecute el parche correspondiente (MS03-026, MS03-039), desde el siguiente enlace: MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1281 Año 8, viernes 9 de enero de 2004