Mostrando mensaje 335     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1286 Año 8, miércoles 14 de enero de 2004 Fecha: Miercoles, 14 de Enero, 2004  06:13:06 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1286 Año 8, miércoles 14 de enero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Parches de enero, no solucionan los últimos agujeros 2 - W32/Nettrash.A. Gusano y caballo de Troya 3 - Troj/Troll. Descarga archivos, elude cortafuegos _____________________________________________________________ 1 - Parches de enero, no solucionan los últimos agujeros _____________________________________________________________ http://www.vsantivirus.com/vul-ms-ene04.htm Parches de enero, no solucionan los últimos agujeros Por Angela Ruiz angela@videosoft.net.uy Microsoft publicó el martes 13 de enero, tres boletines de seguridad. Ninguno de ellos cubre las vulnerabilidades comentadas últimamente en el Internet Explorer, entre otras divulgadas en los últimos meses. Recordemos que a pesar de su nuevo sistema de publicación mensual de parches (el segundo martes de cada mes), el pasado mes de diciembre no se publicó ninguno. Más de 15 vulnerabilidades descubiertas en los últimos meses, y otras más antiguas, pero explotadas mediante nuevos métodos (como la que facilita la suplantación de dominios utilizada en recientes estafas como las del Banco Popular de España), no tienen todavía solución. Los boletines publicados, son los MS04-001, MS04-002 y MS04- 003. El boletín MS04-003 es clasificado como "importante", y cubre un desbordamiento de búfer en la función MDAC, que puede permitir la ejecución arbitraria de código. MDAC (Microsoft Data Access Components), es una colección de componentes utilizados para proporcionar la necesaria conectividad entre numerosas operaciones de bases de datos y Windows. Son vulnerables los usuarios de Windows 2000 (Microsoft Data Access Components 2.5), Microsoft SQL Server 2000 (Microsoft Data Access Components 2.6), Windows XP (Microsoft Data Access Components 2.7) , y Windows Server 2003 (Microsoft Data Access Components 2.8). Más información y descarga de los parches: http://www.microsoft.com/security/security_bulletins/20040113_windows.asp Los administradores de sistemas que estén ejecutando Exchange Server 2003, deberán instalar el parche MS04-002 para corregir un fallo que provoca una escalada de privilegios. Más información y descarga del parche: http://www.microsoft.com/security/security_bulletins/20040113_exchange.asp Finalmente, los administradores que utilicen Microsoft ISA Server, encontrarán en el boletín MS04-001, una solución para una vulnerabilidad considerada crítica y que permite la ejecución de código. Están afectados los siguientes productos: Microsoft Internet Security and Acceleration Server 2000, Microsoft Small Business Server 2000, Microsoft Small Business Server 2003. Parches y más información en el siguiente enlace: http://www.microsoft.com/security/security_bulletins/20040113_isaserver.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Nettrash.A. Gusano y caballo de Troya _____________________________________________________________ http://www.vsantivirus.com/nettrash-a.htm Nombre: W32/Nettrash.A Tipo: Gusano de Internet y caballo de Troya de acceso remoto Alias: Nettrash, W32.HLLW.Nettrash, Backdoor.NetTrash, Backdoor/NetTrash.10.a Fecha: 12/ene/04 Plataforma: Windows 32-bit Tamaño: 61,952 bytes Puertos: TCP/23005 y TCP/23006 (configurables) Gusano escrito en Visual Basic. Posee un componente troyano de acceso remoto, que permite el control del equipo infectado. Se puede propagar por IRC, redes de intercambio de archivos P2P y correo electrónico vía Outlook y Outlook Express. En este último caso, los mensajes poseen estas características: Asunto: [uno de los siguientes] angry at me?? Check this out! Funny for you... How are you?? Need help! RE: Why you not replying?? We need to talk...! What's happening??? What's the problem? Why are you so You need help? Texto del mensaje: [uno de los siguientes] I tried to reach you at MSN Messenger but you weren't online! I got something important to tell you! You said you needed help huh? Well attached file (You'll find what I wanted to tell you there!) Ok. Reply as soon as possible! Bye! Where have you been all the time??? I tried to call you but you weren't home! Anyway, see the attached file! It's important! I got the solution for your problem! Just open the attached file and see what's in it ;) I need your help! I'm in a very difficault position right now. I can't decide how good the file is from rate 0 To 5! I need your opinion on it, so check it out (It's attached to this message!) and tell me what you think from rate 0 To 5! Why are you so angry at me? What have I done to you?? I only want you to check this file out; It describes my opinion about you. Please check it, you won 't be dissapointed ;) Hope to hear from you soon :) Datos adjuntos: [uno de los siguientes con diferentes extensiones] arabic sex funny information interesting nice song nice_pic readme El adjunto utiliza alguna de estas extensiones: .asp .com .doc .htm .jpg .mp3 .mpg .php .txt El troyano permite que un intruso pueda borrar o modificar archivos, o tomar el control de la computadora. También puede manejar la cantidad de memoria que deja disponible, pudiendo provocar una notoria disminución de la performance del sistema. Las posibles acciones son las siguientes: º Modificar configuración del ratón º Captura de teclado (Key logging) º Recolectar información del sistema º Modificar configuración del teclado º Deshabilitar el teclado º Mostrar y/o ocultar la barra de tarea º Mostrar y/o ocultar el escritorio º Mostrar y/o ocultar el botón de Inicio º Mostrar y/o ocultar bandeja del sistema y reloj º Cambiar configuración de la pantalla º Borrar, escribir o modificar archivos y carpetas º Carga y descarga de archivos º Bloquear el sistema º Abrir o cerrar la bandeja del CD º Emitir sonidos (beep) º Imprimir archivos º Indicar la cantidad de memoria disponible º Desconectarse de Internet º Reiniciar o apagar la computadora º Propagarse por redes P2P, IRC y Outlook Cuando se ejecuta un archivo infectado por primera vez, el gusano se copia en la carpeta de Windows: c:\windows\[nombre original] c:\windows\login.scr Este último, con los atributos de oculto y solo lectura (+H, +R) C:\WINDOWS es un nombre especificado literalmente en su código. Agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run User32 = [nombre original] [nombre original] = [nombre original] Donde [nombre original] es el nombre y ubicación del archivo que provocó la infección. Luego se registra para ejecutarse como un proceso llamado "User32". También se copia en las siguientes ubicaciones para ejecutarse en cada reinicio: C:\Windows\Start menu\Programs\startup Esta cadena es literal, y no funciona en sistemas con otros nombres para la carpeta Windows, ni en las versiones de Windows diferentes a la original en inglés. Modifica el archivo C:\WINDOWS\WIN.INI: [windows] run = [nombre original] Modifica la siguiente entrada, para ejecutarse cada vez que se accede a un archivo .EXE: HKCR\exefile\shell\open\command (Predeterminado) = [nombre original] "%1" %* Estos cambios se producen solo si existe en el sistema una carpeta C:\WINDOWS. Para propagarse por redes P2P, se copia en la siguiente carpeta por defecto del KaZaa (si existe): C:\Program Files\KaZaA\My Shared Folder Utiliza los siguientes nombres: Bin Laden funny flash.exe Black Jack.exe counter strike keygen.exe Dcom microsoft patch.exe full casino games.exe half life keygen.exe hl + cs key generator.exe Madona sex game.exe Msblast Fix.exe Msblast Remover.exe msn bomber.exe pockemon sex.exe Busca las carpetas C:\mIRC o C:\mIRC32, y agrega o sobrescribe el siguiente archivo, con los atributos de oculto (+H): script.ini Con este script, se propagará a otros usuarios del IRC, conectados al servidor befown.dynu.com Finalmente, intentará enviar mensajes electrónicos como los descriptos al principio, a contactos obtenidos de la libreta de direcciones del Outlook u Outlook Express, dependiendo de cualquier de los dos programas para su propagación. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus (preparación) 1. Actualice sus antivirus con las últimas definiciones 2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Renombre REGEDIT.EXE como REGEDIT.COM Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com En Windows 2000 y XP, cambie COMMAND por CMD. Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). 2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter 3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \exefile \shell \open \command 4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como: (Predeterminado) = [nombre del gusano] "%1" %* 5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del gusano y dejar solo lo siguiente (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco): (Predeterminado) = "%1" %* 6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: User32 = [nombre original] [nombre original] = [nombre original] 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 10. Borre los archivos detectados como infectados por el virus. * Modificar WIN.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Todos: 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo. Por ejemplo: [windows] run = [nombre original] Debe quedar como: [windows] run = 3. Grabe los cambios y salga del bloc de notas. 4. Reinicie su computadora * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Troll. Descarga archivos, elude cortafuegos _____________________________________________________________ http://www.vsantivirus.com/troj-troll.htm Nombre: Troj/Troll Tipo: Caballo de Troya Variantes: Troj/Troll.A, Troj/Troll.B Alias: TROJ_TROLL.A, TROJ_TROLL.B, Downloader-GG, TrojanDownloader.Win32.Troll, Trojan.Troll, Win32:Troll [Trj], Downloader.Troll.D, W32/Troll.A, W32/Troll.B, Win32/Troll.A, Win32/Troll.B Fecha: 13/ene/04 Plataforma: Windows 32-bit Tamaño: 7,300 bytes (comprimido), 171,521 bytes Se trata de un troyano creado con una herramienta, por lo cuál puede ser fácilmente configurable por el atacante. Esta descripción debe tomarse solo como referencia. El troyano puede descargar discretamente en el equipo infectado, hasta tres archivos diferentes desde un sitio web predeterminado por el autor. Una de sus características, es eludir los cortafuegos instalados en el sistema, por lo que la descarga se produce sin ninguna advertencia para la víctima. Algunas de las características y acciones posibles que el autor puede disponer para el troyano: º Configurar el enlace para la descarga de los archivos º Configurar el nombre de los archivos º Configurar la ubicación para copiar los archivos descargados º Borrar el servidor después de la descarga º Comprimir el ejecutable del servidor con la utilidad FSG º Incluir un icono determinado para el servidor º Notificación por ICQ de cada ejecución º Configurar el mensaje de ICQ El troyano está compilado en Microsoft Visual C++. El servido está comprimido con FSG, y la herramienta de configuración con UPX. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1286 Año 8, miércoles 14 de enero de 2004