| Asunto: | VSantivirus No. 1289 Año 8, sábado 17 de enero de 2004 | | Fecha: | Sabado, 17 de Enero, 2004 05:11:40 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1289 Año 8, sábado 17 de enero de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Corrupción de memoria en The Bat! 2.01
2 - Troj/Simcss. Finaliza procesos de cortafuegos
3 - Troj/PWSteal.Bancos.DA. Ataca a usuarios de bancos
4 - Troj/Istbar.J. Agrega parásitos y una barra al IE
_____________________________________________________________
1 - Corrupción de memoria en The Bat! 2.01
_____________________________________________________________
http://www.vsantivirus.com/vul-memoria-thebat201.htm
Corrupción de memoria en The Bat! 2.01
Por Marcelo A. Rodriguez
marcelo-ar@videosoft.net.uy
The Bat! es un popular gestor de correo desarrollado por
Ritlabs.
Se ha descubierto una falla en The Bat! 2.01, que arroja una
excepción con algunos mensajes.
Parece ser que The Bat! 2.01 en su configuración standard
(con su soporte PGP incluido), tiene un bug al procesar
mensajes PGP firmados (protocol="application/pgp-signature")
con múltiples partes recursivas incluidas.
El descubridor de este fallo, no realizó una depuración del
mismo y quizás el problema sea otro, pero cambiando la
disposición de las partes y firmas se puede hacer que The
Bat! lea y escriba diferentes zonas de memoria no asignadas.
Esto puede ser potencialmente explotado para ejecutar código.
Dado que The Bat! tiene su propio controlador de excepciones,
el programa no fallará.
El vendedor (Ritlabs) fue contactado y respondió que no pudo
reproducir este comportamiento en la versión 2.03 Beta. La
versión mas reciente, la 2.02 CE, "probablemente" no es
vulnerable a este problema, ya que el descubridor de la misma
no verificó dicha versión.
Las versiones 1.x tampoco son vulnerables.
Publicado en:
http://www.securityfocus.com/archive/1/349989
The Bat! 2.01 memory corruption
(Autor: 3APA3A de http://www.security.nnov.ru/)
Mensaje para descargar con demostración de la falla:
http://www.security.nnov.ru/files/batcrash.msg
* Glosario
ERRORES DE EXCEPCION - Cuando un programa lee o escribe en
una área de la memoria que no le ha sido asignada, se produce
un error (generalmente se sobrescribe el código de otro
programa ubicado en esa zona). Entonces el procesador
devuelve una "excepción" fuera del flujo normal de control,
que el sistema interpreta con un mensaje. Cuando se produce
un error de excepción fatal (pantalla azul), en muchos casos
el sistema no podrá recuperarse, debiéndose reiniciar o
apagar el equipo.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Troj/Simcss. Finaliza procesos de cortafuegos
_____________________________________________________________
http://www.vsantivirus.com/troj-simcss.htm
Nombre: Troj/Simcss
Variantes: Troj/Simcss.A, Troj/Simcss.B
Tipo: Caballo de Troya
Alias: Simcss, Magicon, TROJ_MAGICON.A, Win32/Magicon.A,
Win32/Magicon.B, Trojan.Simcss, Trojan.Win32.Simcss,
TrojanDownloader:Win32/Magicon.A, Downloader-DA.b,
Trojan.W32/Simcss
Fecha: 5/nov/03, 14/ene/04
Plataforma: Windows 32-bit
Tamaño: 17,408 bytes
Troyano escrito con Microsoft Visual C++ y comprimido con
UPX, que al ejecutarse permanece residente en memoria, e
intenta finalizar los procesos correspondientes a conocidos
cortafuegos.
Puede autoactualizarse desde una página Web.
Al ejecutarse, crea alguna de las siguientes carpetas, según
la versión:
c:\windows\navpmc
c:\windows\simcss
c:\windows\wintrim
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
Luego, copia en la carpeta creada, los siguientes archivos
(los .EXE son copias de si mismo):
c:\windows\navpmc\navpmc.exe
c:\windows\navpmc\uninstall.exe
c:\windows\navpmc\2_info_persist
c:\windows\navpmc\2_navpmc.dll
c:\windows\wintrim\magicon.exe
c:\windows\wintrim\uninstall.exe
c:\windows\wintrim\2_info_persist
c:\windows\wintrim\2_navpmc.dll
c:\windows\simcss\simcss.exe
c:\windows\simcss\uninstall.exe
c:\windows\simcss\2_info_persist
c:\windows\simcss\2_navpmc.dll
También puede crear en dichas carpetas, estos archivos:
PersisDownloadPath
CompManagerPersist.mc2
acknowledged.mc2
OrderPersist.mc2
El archivo 2_INFO_PERSIST contiene la URL para actualizarse
desde Internet. El archivo .DLL puede tener cero byte, hasta
que se descarga de Internet una copia del mismo.
El troyano crea luego, alguna de las siguientes entradas en
el registro de Windows, para autoejecutarse en cada reinicio:
En la rama:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Agrega alguno de estos valores:
cpntmgc = c:\windows\navpmc\navpmc.exe
cpntmgc = c:\windows\simcss\simcss.exe
MC = c:\windows\wintrim\magicon.exe
Luego, también agrega algunas de las siguientes entradas
(según la versión):
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\UnInstall\Navpmc
HKLM\Software\Microsoft\Windows
\CurrentVersion\Uninstall\Wintrim
HKLM\Software\Microsoft\Windows
\CurrentVersion\Uninstall\Simcss
HKCR\TypeLib\{BA49BD6A-039C-428E-AF33-8C1288D75A7B}
HKLM\SOFTWARE\CLASSES\MagicControl.MagicComponent.1
HKLM\SOFTWARE\CLASSES\MagicControl.MagicComponent
HKLM\SOFTWARE\CLASSES\CLSID
\{D7A82A12-05F5-42D8-B30D-6EF995075D2D}
HKLM\SOFTWARE\CLASSES\Interface
\{6D3F48F4-B40A-4C3F-A95C-85E23C3A8A91}
HKLM\SOFTWARE\CLASSES\TypeLib
\{BA49BD6A-039C-428E-AF33-8C1288D75A7B}
El troyano examina si existe una conexión a Internet,
intentando conectarse a determinado sitio. Si existe, intenta
descargar un archivo .DLL del siguiente URL:
http:/ /[***]tcard.com/download/Object/mc/
Dicho DLL, posee la capacidad de descargar archivos de
Internet, y es el componente capaz de finalizar determinados
procesos.
Este componente intentará conectarse al sitio indicado en el
archivo 2_INFO_PERSIST visto antes, para descargar una
actualización del propio troyano. No borra las versiones
anteriores.
Mientras está ejecutándose, el troyano intenta finalizar
aquellos procesos de la siguiente lista de conocidos
cortafuegos, que pudieran estar activos:
Agentw.exe
Blackice.exe
Persfw.exe
Smc.exe
Symproxysvc.exe
Zonealarm.exe
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre cualquier
carpeta que aparezca con alguno de los siguientes nombres, y
su contenido:
c:\windows\NAVPMC
c:\windows\SIMCSS
c:\windows\WINTRIM
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de esta lista:
cpntmgc
MC
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\UnInstall
5. Pinche en la carpeta "UnInstall" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las
entradas que aparezcan de esta lista:
navpmc
simcss
wintrim
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\TypeLib
\{BA49BD6A-039C-428E-AF33-8C1288D75A7B}
7. Pinche en la carpeta "{BA49BD6A-039C-428E-AF33-
8C1288D75A7B}" y bórrela.
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\MagicControl.MagicComponent.1
9. Pinche en la carpeta "MagicControl.MagicComponent.1" y
bórrela.
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\MagicControl.MagicComponent
11. Pinche en la carpeta "MagicControl.MagicComponent" y
bórrela.
12. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\CLSID
\{D7A82A12-05F5-42D8-B30D-6EF995075D2D}
13. Pinche en la carpeta "{D7A82A12-05F5-42D8-B30D-
6EF995075D2D}" y bórrela.
14. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\Interface
\{6D3F48F4-B40A-4C3F-A95C-85E23C3A8A91}
15. Pinche en la carpeta "{6D3F48F4-B40A-4C3F-A95C-
85E23C3A8A91}" y bórrela.
16. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\TypeLib
\{BA49BD6A-039C-428E-AF33-8C1288D75A7B}
17. Pinche en la carpeta "{BA49BD6A-039C-428E-AF33-
8C1288D75A7B}" y bórrela.
18. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
19. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Troj/PWSteal.Bancos.DA. Ataca a usuarios de bancos
_____________________________________________________________
http://www.vsantivirus.com/troj-bancos-da.htm
Nombre: Troj/PWSteal.Bancos.DA
Tipo: Caballo de Troya robador de contraseñas
Alias: TROJ_BANCOS.DA, Trojan.W32/Bancos.DA, PWSteal.Bancos.D
Variante de: Troj/PWSteal.Bancos.D
Fecha: 16/ene/04
Plataforma: Windows 32-bit
Reportado por: Trend Micro
Tamaño: 1,585,152 bytes, 201,245 bytes
Ligera variante de Troj/PWSteal.Bancos.D.
Es un caballo de Troya que se mimetiza con la interface de
acceso on-line de ciertos bancos de origen brasileño, para
intentar robar los datos de las cuentas de sus clientes.
Cuando se ejecuta, el troyano se copia en la siguiente
ubicación:
c:\windows\system\nj[***].exe
Donde [***] representa caracteres alfanuméricos al azar.
Agrega el siguiente valor al registro de Windows, para
autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NJ[***] = c:\windows\system\nj[***].exe
NOTA: La ubicación de la carpeta System puede variar de
acuerdo al sistema operativo instalado. "c:\windows\system"
(por defecto) en Windows 9x/ME, "c:\winnt\system32" en
Windows NT/2000 y "c:\windows\system32" en Windows XP y
Windows Server 2003.
Si existe el siguiente archivo:
C:\BancoBrasil\officeIE\officeIE.CAB
Entonces el troyano lo mueve a la siguiente ubicación:
C:\officeIE.CAB
Cuando está activo, el troyano monitorea todas las ventanas
del Internet Explorer que sean abiertas. Cuando la página
visitada corresponda a ciertas instituciones bancarias, el
troyano muestra otra ventana, de acuerdo al título de la
página y del banco visitado.
Las páginas e instituciones afectadas son las siguientes:
Gerenciador Financeiro (Banco do Brasil)
Bankline (Banco do Brasil)
AAPF (Banco do Brasil)
InternetBankingCaixa (Ministerio da Fazenda)
Bradesco (Banco Bradesco)
En todas, la ventana falsa pretende obtener datos como nombre
de usuario, contraseñas, etc.
Estos datos podrían ser subidos luego a un sitio FTP
controlado por el autor del troyano.
El troyano copia también su propia versión de la librería de
Visual Basic 6, MSVBVM60.DLL:
c:\windows\system\MSVBVM60.DLL
No posee rutina de propagación, pero un archivo infectado
podría ser enviado en forma premeditada o accidental, por
correo electrónico, o descargada de sitios maliciosos, o a
través de redes P2P.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados:
c:\windows\system\nj[***].exe
c:\windows\system\MSVBVM60.DLL
Donde [***] representa caracteres alfanuméricos al azar.
* Cómo recuperar MSVBVM60.DLL
En Windows 98:
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que
desea restaurar", escriba el nombre del archivo a restaurar:
MSVBVM60.DLL
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN98, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener
"C:\WINDOWS\SYSTEM" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche
nuevamente en "Aceptar" (si no existe, tal vez se genere
ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").
En Windows Me:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar"
escriba el nombre del archivo a restaurar:
MSVBVM60.DLL
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener
"C:\WINDOWS\SYSTEM" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche
nuevamente en "Aceptar" (si no existe, tal vez se genere
ahora esta carpeta, generalmente:
"C:\WINDOWS\MSConfigs\Backups").
En Windows XP:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Expandir archivo"
3. En "Archivo para restaurar" escriba el nombre del archivo
a restaurar:
MSVBVM60.DLL
4. En "Restaurar desde" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener
"C:\WINDOWS\SYSTEM32" (sin las comillas).
7. Pinche en "Expandir".
* Cómo recuperar OFFICEIE.CAB
Si existe el siguiente archivo en el raíz de la unidad C:
C:\officeIE.CAB
Muévalo a la siguiente ubicación para recuperar la
funcionalidad de su software de conexión al banco:
C:\BancoBrasil\officeIE\officeIE.CAB
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
NJ[***]
Donde [***] representa caracteres alfanuméricos al azar.
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
Si usted es usuario de alguna de las instituciones
mencionadas, y su equipo ha sido infectado con este troyano,
póngase de inmediato en contacto con dichas instituciones
pues podría ser la víctima de un fraude.
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(posee algunas limitaciones). Si instala ZA, no active ICF
(Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Istbar.J. Agrega parásitos y una barra al IE
_____________________________________________________________
http://www.vsantivirus.com/troj-istbar-j.htm
Nombre: Troj/Istbar.J
Tipo: Caballo de Troya
Alias: TROJ_ISTBAR.J, TrojanDownloader:Win32/IstBar.D
Tamaño: 73,764 bytes
Fecha: 16/ene/04
Reportado por: Trend Micro
Se trata de un troyano programado en Visual C++ 6, comprimido
con la herramienta UPX, que instala diversos parásitos en el
sistema (spyware, dialers, adwares, etc.), sin la
autorización del usuario.
La infección se produce cuando el usuario visita determinadas
páginas, y se le pide para descargar y ejecutar algún control
ActiveX como el siguiente:
Advertencia de seguridad
Indique si desea instalar y activar [nombre de la
aplicación] firmado el [fecha y hora] y distribuido por:
Integrated Search Technologies
La autenticidad del editor ha sido comprobada por Thawte
Server CA
Advertencia: Integrated Search Technologies certifica que
este contenido es seguro. Sólo instale o vea este
contenido si confía en Integrated Search Technologies
para realizar dicha certificación.
[ ] Confiar siempre en el contenido de Integrated Search
Technologies
[ Si ] [ No ] [ Más información]
Una vez instalado, presenta diversas ventanas emergentes de
publicidad de páginas de contenido pornográfico, además de
agregar una nueva barra de herramientas al Internet Explorer.
Crea la siguiente carpeta:
c:\archivos de programa\rapidblaster
Se copia allí con el siguiente nombre:
rb32.exe
NOTA: Si existe RapidBlaster y RB32.EXE, el troyano los
sobrescribe. RapidBlaster es un conocido parásito.
El troyano puede actualizarse a nuevas versiones, y por lo
tanto modificarse a si mismo al conectarse a Internet, por lo
que esta descripción solo deberá tomarse como referencia.
También modifica o crea las siguientes entradas en el
registro, la primera para autoactualizarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
rb32 lptt01 = [camino]\rb32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion
disp = "10073|50047|"
np = "1"
HKLM\Software\Microsoft\Windows
\CurrentVersion\Uninstall\rb32
El troyano intenta descargar archivos (dialers para
conectarse a sitios pornográficos, etc,), de las siguientes
páginas:
http:/ /[***]aster.com/run.run?
http:/ /[***]aster.com/uninst.run
http:/ /[***]aster.com/runping.run?
http:/ /[***]aster.com/ipf.run
http:/ /[***]aster.com/init.run
http:/ /[***]aster.com/fl.run?f=%i&c=%s
También puede actualizarse a si mismo desde dichos enlaces,
cambiando su nombre y ubicación.
El troyano se modifica a si mismo cada vez que un usuario
intenta quitarlo o desinstalarlo, mientras permanezca activo
en memoria. Si ello ocurre, primero finaliza el proceso
actual y borra el archivo original. Luego se conecta a un
sitio Web y descarga una nueva copia de si mismo, copiándose
con un nombre al azar en otra subcarpeta dentro de la carpeta
"Archivos de programa", también con nombre al azar.
Por ese motivo, el troyano debe ser eliminado en modo a
prueba de fallos o modo seguro, como se indica más adelante.
* Cómo protegernos de los parásitos
¿Qué son los parásitos?. ¿Qué tipos de parásitos existen?.
¿Cómo llegan a nuestra computadora?. ¿Cómo protegernos de
ellos?. Toda la información relacionada la encuentra en el
siguiente artículo:
Parásitos en nuestra computadora
http://www.vsantivirus.com/ev-parasitos.htm
* Procedimiento sugerido de limpieza
Eliminar este parásito, puede ocasionar que algunos de los
programas que lo instalan, dejen de funcionar o no funcionen
correctamente.
* Antivirus
Para borrar manualmente el parásito, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar los archivos creados por el troyano
Desde el Explorador de Windows, localice y borre la siguiente
carpeta y su contenido:
c:\archivos de programa\RAPIDBLASTER
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo las columnas "Nombre", busque y borre la siguiente
entrada:
rb32 lptt01
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
5. Pinche en la carpeta "CurrentVersion" y en el panel de la
derecha, bajo las columnas "Nombre", busque y borre las
siguientes entradas:
disp
np
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Uninstall
\rb32
7. Pinche en la carpeta "rb32" y bórrela
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet pinche en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.
* Procedimiento para restaurar página de inicio y página de
búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".
* Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia (o pinche en "Página en
blanco"). O navegue hacia una página de su agrado, pinche en
Herramientas, Opciones de Internet, General, y finalmente
pinche en "Usar actual".
* Cambiar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Pinche en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente,
Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda"
(Use Search Assistant).
5. Pinche en el botón "Reiniciar" (Reset).
6. Pinche en el botón "Configuración de Autosearch"
(Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search
Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
* Información adicional
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1289 Año 8, sábado 17 de enero de 2004
|
VSantivirus No. 12
Responder a este mensaje
