Mostrando mensaje 332     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1283 Año 8, domingo 11 de enero de 2004 Fecha: Domingo, 11 de Enero, 2004  04:29:34 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1283 Año 8, domingo 11 de enero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Timo a clientes del Grupo Banco Popular de España 2 - Back/SDBot.S. Troyano que controla la PC vía IRC 3 - W32/Aozo.A. Se propaga a través de la red del KaZaa 4 - Back/SDBot.CX. Troyano que controla la PC vía IRC _____________________________________________________________ 1 - Timo a clientes del Grupo Banco Popular de España _____________________________________________________________ http://www.vsantivirus.com/scam-grupobanco.htm Timo a clientes del Grupo Banco Popular de España Por Jose Luis Lopez videosoft@videosoft.net.uy Una nueva estafa por medio de un "scam", o mensaje electrónico fraudulento, enviado por primera vez en la tarde del 10 de enero de 2004 en forma de correo no solicitado, apunta esta vez a clientes del Grupo Banco Popular de España. La técnica, conocida como PHISHING, pretende obtener información confidencial mediante la suplantación de la página de acceso en línea al servicio de banca electrónica de dicha institución. El engaño, se apoya en una vulnerabilidad recientemente divulgada, que esconde a los ojos del usuario el dominio verdadero de una dirección de Internet, mostrándole en la barra de direcciones o en los posibles enlaces, direcciones relacionadas con el verdadero banco, cuando en realidad el usuario está visitando un sitio diferente. El mensaje posee estas características: De: Grupo Banco <service@bancopopular.es> Asunto: Importante informacion sobre la cuenta de Grupo Banco Texto del mensaje: ¡Querido y apreciado usuario de Grupo Banco! Como parte nuestro servicio de proteccion de su cuenta y reduccion de fraudes en nuestro sitio web, estamos pasando un periodo de revision de nuestras cuentas de usuario. Le rogamos visite nuestro sitio siguiendo link dado abajo. Esto es requerido para que podamos continuar ofreciendole un entorno seguro y libre de riesgos para enviar y recibir dinero en linea, manteniendo la experincia de Grupo Banco.Despues del periodo de verificacion, sera redireccionado a la pagina principa de Grupo Banco. Gracias. https://www2.bancopopular.es/[sigue dirección completa] Si el usuario sigue el enlace del mensaje, se abrirá una página con las mismas características de la verdadera, y que aprovechando la vulnerabilidad mencionada, simulará estar apuntando al dominio www2.bancopopular.es, cuando en realidad está direccionada a un servidor en el dominio www.newmonc.com, como se muestra en la siguiente captura: [ver imagen: http://www.vsantivirus.com/scam-grupobanco.htm] En condiciones normales, la barra de direcciones mostrará la dirección del banco, y no la que realmente contiene la página, como se aprecia en la captura. Un formulario en dicha página, permite que el incauto usuario ingrese datos confidenciales como su identificación personal, número de usuario (Visa, 4b o virtual), tarjeta, y otros, junto con sus claves de identificación. El propio banco advierte en sus páginas, que estas claves sólo deben ser utilizadas en las denominadas páginas seguras, identificadas con una dirección que comienza con "https://";, al mismo tiempo que en la parte inferior del navegador se muestra la imagen de un "candado cerrado" o de una "llave". Tampoco se deben facilitar estas claves a nadie, aún cuando manifieste solicitarlas en nombre del banco. En caso de que por cualquier motivo se hubieran facilitado las claves, estas deberán ser cambiadas de forma inmediata, debiéndose poner el usuario en contacto con dicho banco a la brevedad posible. Para tener en cuenta: 1. Desconfíe siempre de un mensaje como el indicado. Cerciórese antes en los sitios principales, aún cuando el mensaje parezca "real". Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro. 2. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la "s" al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real. Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales. Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección. 3. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido. 4. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica. De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente. * Relacionados: Falsificación de URL en Internet Explorer: Alto Riesgo http://www.vsantivirus.com/vul-arroba3.htm Consejos de Microsoft contra la falsificación de URL http://www.vsantivirus.com/vul-url-ms.htm * Más información sobre SCAM: Falso correo de Yahoo roba datos de tarjetas de crédito http://www.vsantivirus.com/scam-yahoo.htm Anatomía de otro SCAM a usuarios de eBay http://www.vsantivirus.com/scam-yahoo.htm SCAM: Estafa a la nigeriana http://www.vsantivirus.com/scam-nigeria.htm SCAM que pone en peligro las cuentas de Hotmail http://www.vsantivirus.com/scam-hotmail2.htm SCAM, SPAM, y los mercaderes de la muerte http://www.vsantivirus.com/16-09-01.htm ¡Cuídese del fraude!. Ser víctimas de este SCAM es fácil http://www.vsantivirus.com/scam-aol.htm Otro "scam" sobre Hotmail http://www.vsantivirus.com/scam-hotmail.htm ¿@ en un URL? Algo me huele mal http://www.vsantivirus.com/gm-arroba-url.htm Scams cada vez más elaborados http://www.vsantivirus.com/ev25-09-03.htm ¡Sigue la estafa contra usuarios de BBVA Net! http://www.vsantivirus.com/scam-bbvanet2.htm Clientes de un banco engañados por SCAM con troyano http://www.vsantivirus.com/11-05-03.htm Fraudes Digitales http://www.vsantivirus.com/cu-fraudes-digitales.htm Un viejo truco de ingeniería social http://www.vsantivirus.com/mm-bbva-scam.html Alerta de SCAM con cuentas de BBVAnet http://www.vsantivirus.com/scam-bbvanet.htm Cuidado con los negocios y regalos por Internet http://www.vsantivirus.com/agr-scam.htm Scam intenta engañar a usuarios de Microsoft http://www.vsantivirus.com/scam-helpdesk.htm Falso correo de Yahoo roba datos de tarjetas de crédito http://www.vsantivirus.com/scam-yahoo.htm SCAM: La estafa de "Vacaciones en Orlando" http://www.vsantivirus.com/scam-orlando.htm Dame el número de tu tarjeta y te pago las cuentas http://www.vsantivirus.com/ar-scam-paypal.htm Hoax: Falso mensaje que pide las contraseñas del MSN http://www.vsantivirus.com/scam-msn.htm Que el espíritu navideño no lo convierta en víctima http://www.vsantivirus.com/scam-ebay.htm Hoax: Usted es uno de nuestros ganadores http://www.vsantivirus.com/hoax-premio.htm * Glosario: SCAM - Engaño con intención de estafa o fraude, que mezcla el correo no solicitado (SPAM) con un HOAX (bulo o broma). PHISHING - Técnica utilizada para obtener información confidencial mediante engaños (generalmente por medio de un "scam", mensaje electrónico fraudulento, o falsificación de página web). Agradecimientos: a Carlos Pedrajo (España), Fernando P. Nájera (Valladolid) y Ramon Mallafre (Catalunya), por enviarnos muestras de este scam. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Back/SDBot.S. Troyano que controla la PC vía IRC _____________________________________________________________ http://www.vsantivirus.com/back-sdbot-s.htm Nombre: Back/SDBot.S Tipo: Caballo de Troya de acceso remoto Alias: Backdoor.Sdbot.S, Backdoor.SdBot.gen, Backdoor.Sdbot Fecha: 8/ene/04 Plataforma: Windows 32-bit Tamaño: 61,343 bytes Caballo de Troya con puerta trasera (backdoor), que permite que un usuario remoto controle la computadora infectada, a través de un servidor de IRC. El ejecutable está comprimido con las utilidades ExeStealth y ASPack. La existencia de un archivo NTSPCV.EXE puede ser la indicación de una posible infección. Cuando el troyano se ejecuta, intenta conectarse a un servidor de IRC (Internet Relay Chat), quedando a la espera de las instrucciones del intruso. También crea una copia de si mismo en la siguiente carpeta: c:\windows\system\ntspcv.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). También crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Generic Host Process for Win32 Services = ntspcv.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Generic Host Process for Win32 Services = ntspcv.exe Luego se conecta a un servidor de IRC, para unirse a un determinado canal y aguardar las instrucciones remotas. Algunas de las posibles acciones: º Abrir o cerrar la bandeja del CD-Rom º Administrar el propio backdoor º Agregar archivos en las carpetas compartidas de las aplicaciones P2P como KaZaA, Grokster y Bearshare, utilizando una extensa lista de nombres º Controlar el cliente IRC en la máquina infectada º Descargar y ejecutar archivos º Enviar información del sistema y de la red º Iniciar o finalizar cualquier proceso, de una extensa lista de conocidos antivirus y otras aplicaciones de seguridad º Propagarse a través de varios clientes de mensajería instantánea, como MSN Messenger (Windows Messenger), Yahoo IM, y AOL IM º Realizar ataques de denegación de servicio (DoS), a determinados blancos º Robar archivos de FlashFXP (cliente de FTP) El troyano intenta finalizar los siguientes procesos: Https.exe Kazaalite.exe Lsasi.exe Winotebook.exe Wupdate128.exe * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados: c:\windows\system\ntspcv.exe Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Generic Host Process for Win32 Services = ntspcv.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Generic Host Process for Win32 Services = ntspcv.exe 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Aozo.A. Se propaga a través de la red del KaZaa _____________________________________________________________ http://www.vsantivirus.com/aozo-a.htm Nombre: W32/Aozo.A Tipo: Gusano de Internet Alias: Aozo, W32/Aozo-A Plataforma: Windows 32-bit Fecha: 9/ene/04 Reportado por: Sophos Gusano que se propaga por la red P2P del KaZaa, utilizando algunos de los siguientes nombres de archivos: ACDSee 5.5 .exe Age of Empires 2 .exe Aim bot ut3 .exe All Microsoft Products CD .exe All Norton Antivirus Keys! .exe Ana Kournikova Sex Video (downloader) .exe Animated Screen 7 .exe Any Nick Name Msn 6.0 .exe Aol er .exe AOL Instant Messenger Crasher .exe aol password er .exe AquaNox2 .exe Audiograbber 2.05 .exe AVP Antivirus Pro Key .exe BabeFest 2003 ScreenSaver 1.6 .exe Battlefield1942 .exe Battlefield1942 bloodpatch .exe Britney Spears Sex Video .exe Buffy Vampire Slayer Movie .exe BurnDvds .exe Business Card Designer Plus 7.9 .exe cable modem .exe cable modem ultility pack .exe Cool Edit Pro v2.55 .exe Counter Strike - See Through Walls .exe counter-strike .exe Credit Card Numbers generator .exe Credit Card Numbers generator(incl Visa,MasterCard) .exe Darkness Krew .exe DeadAim 4.0 .exe Diablo 1 .exe Diablo 2 .exe Diablo 3 .exe DirectDVD 5.0 .exe DirectX Buster (all versions) .exe Divx pro (FINAL!) .exe Divx Pro 5.1 .exe DivX Video Bundle 6.5 .exe Doom III (Cd KEys) .exe Download Accelerator Plus 6.1 .exe DVD Copy Plus v5.0 .exe Dvd Plus .exe DVD Region-Free 2.3 .exe Dvd Ripper(The Best 04) .exe Dvd To Vcd .exe Easy Dvd creator .exe Easy Dvd Ripper .exe Edonkey2000-Speed me up scotty .exe Final Fantasy VII XP Patch 1.5 .exe Flash MX (trial) .exe FlashGet 1.5 .exe FreeRAM XP Pro 1.9 .exe Game Cube Real Emulator .exe GetRight 5.0a .exe Gothic2 licence .exe Guitar Chords Library 5.5 .exe Hack Any Kazaa User .exe Hack The School .exe Hack Website Easy .exe Hacker The LoveStory .exe Half Life 2 (Cd ) .exe Half Life 2 (cd Keys) .exe Harry potter2 .exe Hitman 2 no cd .exe Hotmail Hacker 2003-Xss_Exploit .exe Hotmail Hacker Gold (All Msn Versions!) .exe Ip Nuker V6 (Reall Works) .exe KaZaA Hack 2.5.0 .exe Kazaa Lite )FINALL!( .exe Kazaa SDK + Xbit speedUp for 2.xx .exe KaZaA Speedup 3.6 .exe KaZaA-Hack 2.5.0 .exe Key Generator .exe KeyGen .exe Links 2003 Golf game .exe Living Waterfalls 1.3 .exe LYNDEN .exe Macromedia .exe Macromedia product keys .exe Mail Bomber For msn messsenger 6.0 .exe Matrix Screensaver 1.5 .exe Mcafee Antivirus Scan .exe MediaPlayer Update .exe Messenger Plus Latest! .exe Microsoft .NET hack .exe Microsoft erator-Allmost all microsoft stuff .exe Msn 6.0 (Multi Messenger) .exe Msn 6.0 Crasher! .exe Msn 6.0 Kicker .exe Msn 6.0 Password er .exe Msn Emotions (Version 6.0) .exe Msn Emotions (Version 6.1) .exe Msn Ip Finder 2004 .exe Msn Messenger 6.0 Bomber! .exe Msn Messenger Betta 6.2 .exe MSN Password Hacker 5.7 (worked on my ex-girlfriend!) .exe Music Download 2003 (Full Albums) .exe MWorld Of Warcraft (FULL) Installer and Downloader .exe Need 4 Speed .exe Nero Burning Rom .exe Netbios Nuker 2003 .exe Netbios Nuker 2004 Netfast 1.8 .exe Network Cable e ADSL Speed 2.0.5 .exe Nimo Codec PackUpdater .exe Nimo CodecPack (new) 8.0 .exe Norton Anvirus Key .exe PalTalk 5.01b .exe pamela anderson .exe Panda Antivirus Titanium .exe Passwords Mail .exe play station emulator .exe Popup Defender 6.5 .exe Pop-Up Stopper 3.5 .exe PS2 PlayStation Simulator .exe Ps2 Real Emulator .exe Quake 3 (works Great) .exe Quake3 - See through wallz .exe Quick Time Key .exe QuickTime Pro .exe Real Sex Toys! .exe Screen saver christina aguilera naked .exe Security-2003-Update .exe Serial .exe SmartFTP 2.0.0 .exe SmartRipper v2.7 .exe Space Invaders 1978 .exe Splinter Cell .exe Starcraft s .exe Stripping MP3 dancer .exe Trillian 0.85 (free) .exe TweakAll 3.8 .exe Unreal Tournament 2003 (Cd KEys) .exe Unreal Tournament 2003 (Cd) .exe Unreal2 .exe Unreal2 bloodpatch .exe UT2003 bloodpatch .exe UT2003 patch .exe Visual Basic (ALL KEYS GEN) .exe Visual Basic 6.0 Msdn Plugin .exe Visual Basic Decompiler .exe warcraft 3 (Really Works) .exe WarCraft 3 .exe warcraft 3 s .exe winamp plugin pack .exe WindowBlinds 4.0 .exe Windows XP complete + .exe Windows Xp Exploit .exe WinOnCD 4 PE .exe WinRar 3.xx Password er .exe WinZip 9.0b .exe Winzip erator .exe winzip full version key generator .exe WinZipped Visual C++ Tutorial .exe Xvid Codec Installer .exe Yahoo Account Stealer .exe Yahoo Messenger 6.0 .exe Zelda Classic 2.00 .exe Cuando se ejecuta un archivo infectado, crea numerosas copias de si mismo en la carpeta compartida por defecto del KaZaa y KaZaa Lite, con los nombres antes vistos. No realiza ningún otro cambio en el sistema. * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Back/SDBot.CX. Troyano que controla la PC vía IRC _____________________________________________________________ http://www.vsantivirus.com/back-sdbot-cx.htm Nombre: Back/SDBot.CX Tipo: Caballo de Troya de acceso remoto Alias: WORM_SDBOT.CX, Backdoor.Win32.SdBot.98336, Backdoor.SdBot.gen, Backdoor.Sdbot Fecha: 10/ene/04 Plataforma: Windows NT, 2000 y XP Tamaño: 98,336 bytes Caballo de Troya con puerta trasera (backdoor), que permite que un usuario remoto controle la computadora infectada, a través de un servidor de IRC. La existencia de un archivo WINSPSV.EXE puede ser la indicación de una posible infección. Cuando el troyano se ejecuta, intenta conectarse a un servidor de IRC (Internet Relay Chat), quedando a la espera de las instrucciones del intruso. También crea una copia de si mismo en la siguiente carpeta: c:\windows\system32\winspsv.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Además crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windows Services = winspsv.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Windows Services = winspsv.exe Luego se conecta a un servidor de IRC, para unirse a un determinado canal y aguardar las instrucciones remotas. Algunas de las posibles acciones: º Abrir o cerrar la bandeja del CD-Rom º Administrar el propio backdoor º Agregar archivos en las carpetas compartidas de las aplicaciones P2P como KaZaA, Grokster y Bearshare, utilizando una extensa lista de nombres º Controlar el cliente IRC en la máquina infectada º Descargar y ejecutar archivos º Enviar información del sistema y de la red º Iniciar o finalizar cualquier proceso, de una extensa lista de conocidos antivirus y otras aplicaciones de seguridad º Propagarse a través de varios clientes de mensajería instantánea, como MSN Messenger (Windows Messenger), Yahoo IM, y AOL IM º Realizar ataques de denegación de servicio (DoS), a determinados blancos º Robar archivos de FlashFXP (cliente de FTP) El gusano también puede propagarse por unidades compartidas en red, copiándose como EXPLORER.EXE en las carpetas compartidas a través de NETBIOS. Si las carpetas están protegidas con contraseña, intentará acceder con las siguientes combinaciones de usuario/contraseña: Nombres de usuario: Administrator Guest Owner Root Contraseñas: 0 000000 00000000 007 1 110 111 1111 111111 11111111 12 121212 123 123123 1234 12345 123456 1234567 12345678 123456789 1234qwer 123abc 123asd 123qwe 1313 2002 2003 2112 2600 5150 54321 654321 6969 7777 88888888 901100 a aaa abc abc123 abcd admin Admin admin123 administrator alpha asdf baseball ccccccccccccccccccccccccccccccccccccccc computer database enable fish foobar god godblessyou golf harley home ihavenopass Internet letmein login Login love mustang mypass mypass123 mypc mypc123 oracle owner pass pass passwd password Password pat patrick pc pussy pw pw123 pwd qwer qwerty root secret server sex shadow super sybase temp temp123 test test123 win xp xxx yxcv zxcv También crea una ventana del mIRC con el siguiente título: CoolXBoot by Tenka $Id: coolXboot.exe, v 1.4 released number 4 of version 1 * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados: c:\windows\system\winspsv.exe Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Services = winspsv.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Services = winspsv.exe 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1283 Año 8, domingo 11 de enero de 2004