Mostrando mensaje 339     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1290 Año 8, domingo 18 de enero de 2004 Fecha: Domingo, 18 de Enero, 2004  05:36:18 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1290 Año 8, domingo 18 de enero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - La suplantación de sitios y robo de identidades 2 - Múltiples vulnerabilidades en WWW File Share Pro 3 - Troj/Sefex.B. Roba todo lo tecleado en el IE 4 - W32/Randex.AY. Se propaga en red ("winspsv.exe") 5 - W32/Protoride.A. Se propaga por redes locales _____________________________________________________________ 1 - La suplantación de sitios y robo de identidades _____________________________________________________________ http://www.vsantivirus.com/agr-phishing.htm La suplantación de sitios y robo de identidades Por Alejandro Germán Rodríguez (*) Peligros_en_la_red-owner@onelist.com Uno de los delitos que está obteniendo importantes índices de crecimiento en la red, es el de la suplantación de sitios de Internet [PHISHING] y el posterior robo de identidades, con el ánimo de obtener datos sensibles, tales como números de tarjetas de crédito y claves de acceso. Estas estafas, usualmente, se inician mediante un correo electrónico indicando que nuestra cuenta o usuario está por ser deshabilitado y se deben reingresar los datos, o en caso contrario se dará de baja o alguna excusa similar. Se nos facilita un enlace obviamente falso en el mensaje, remitiéndonos así, a un sitio malicioso creado para hurtar nuestra información personal, al intentar autenticarnos. Induciendo a un visitante a dichos sitios, en lugar de los verdaderos, se pueden obtener números de tarjetas de crédito, claves de acceso, número de cuenta, números personales de identificación, etc., que luego serán usados en forma fraudulenta, suplantando a los verdaderos usuarios. Esta clase de delitos se ven beneficiados también, por fallas en los navegadores, que permiten visualizar cierta URL, cuando en realidad se esta visitando un sitio diferente. Podemos obtener más información sobre esta vulnerabilidad en estos artículos: http://www.vsantivirus.com/vul-url-ms.htm http://support.microsoft.com/?id=833786 Asimismo, podemos visualizar una interesante demostración de esta falla desde: http://www.hispasec.com/directorio/laboratorio/Software/tests /falsificaciondeurl.html [Nota 1] Dado el incremento de esta clase de delitos, están surgiendo organizaciones, dedicadas a luchar contra este flagelo, mediante el lanzamiento de nuevos servicios de alerta a bancos y compañías financieras. Brightmail desarrolló un servicio que consiste en la habilitación de cerca de dos millones de direcciones de internet falsas, éstas son utilizadas para control y detección de correo basura [spam], ahora también serán utilizas para el monitoreo de mails maliciosos, dando así, pronto aviso a los sitios que han sido copiados. http://brightmail.com/bmi-af.html Netcraft, por su parte, efectúa un rastreo en la red, en busca de nombres de dominio, marcas comerciales, nombres comunes en certificados SSL, etc., que pueden estar siendo utilizados en actividades ilícitas. http://news.netcraft.com/archives/2004/01/02/phishing_identit y_theft_and_banking_fraud_detection.html [Nota 2] Lo usuarios individuales que deseen colaborar en la prevención de este tipo de delitos, pueden encontrar links a sitios similares, nuevas formas de fraude que se van detectando en la red y reportes de los últimos intentos de robo, en: http://www.anti-phishing.com Estas estafas en la red, perjudican en primera medida a los usuarios incautos que se ven patrimonialmente damnificados, y posteriormente a las compañías legítimas cuyos sitios son copiados, ya que, aunque inocentes se ven negativamente afectadas por la publicidad subsiguiente. Nunca debemos dirigirnos a nuestros sitios de finanzas (usualmente banca electrónica) desde enlaces facilitados en mails o sitios web cuyo origen desconocemos (aunque parezcan provenir de los sites originales), sino escribiendo directamente la correspondiente dirección. Como siempre, estos delitos traspasan las fronteras de los países y la falta de leyes crean un vacío que hace muy difícil perseguir y castigar estas actividades. Fuente: http://list.winnetmag.com (*) Alejandro Germán Rodríguez Peligros_en_la_red-owner@gruposyahoo.com.ar http://ar.groups.yahoo.com/group/Peligros_en_la_red ICQ # 44796626 [NOTAS 1 y 2: estos enlaces aparecen truncados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Múltiples vulnerabilidades en WWW File Share Pro _____________________________________________________________ http://www.vsantivirus.com/vul-wwwfspro.htm Múltiples vulnerabilidades en WWW File Share Pro Por Marcelo A. Rodriguez marcelo-ar@videosoft.net.uy WWW File Share Pro es un pequeño servidor HTTP que ayuda a compartir archivos con otros usuarios. Ellos podrán descargar archivos de la PC donde esté instalado el programa o subir archivos desde sus computadoras a través de un navegador web (Internet Explorer, Netscape, Opera, etc.), sin necesidad de instalar dicho programa. Solo hay que especificar un directorio para descargas y otro para subir archivos. WWW File Share Pro cuenta con protección por contraseña, al habilitarla, solo los usuarios autorizados podrán acceder al servicio. Se descubrieron tres fallos que afectan a la versión 2.42 y anteriores de WWW File Share Pro. 1. Sobrescritura arbitraria de archivos del servidor El programa tiene una opción habilitada por defecto que permite a los usuarios subir sus archivos a un directorio dedicado a tal fin especificado por el administrador del servidor. Existe una vulnerabilidad que permite a cualquier usuario crear o sobrescribir cualquier archivo en el servidor remoto simplemente usando un patrón "punto-punto" en el nombre del archivo enviado al servidor. El siguiente es el parámetro correcto enviado al servidor: Content-Disposition: form-data; name="file"; filename="file.txt" Y este es el parámetro modificado para explotar la vulnerabilidad: Content-Disposition: form-data; name="file"; filename=".. /.. /.. /file.txt" 2. Cuelgue remoto Un atacante puede hacer caer al servidor remoto enviando muchos bytes utilizando el comando POST. Los efectos son que el CPU se use al 100% si los datos no son muchos (menos de 2 Megabytes) y la caída del servidor o el completo congelamiento del sistema si los datos son más. 3. Traspaso de autorización de directorios Si el servidor tiene algunos directorios protegidos el atacante puede traspasar el proceso de autorización y ganar acceso completo a los mismos. Este bug afecta solo a cada directorio protegido y no a la protección del "sitio completo" (opción en User/Password). Para explotar el agujero, se debe usar un punto al final del URL o una o mas barras o barras invertidas al principio del URI. Ejemplo: http:/ /server/directory./ http:/ /server/\directory/ http:/ /server/ / /directory/ "GET \directory / HTTP/1.0" La solución es actualizarse a la versión 2.48 o usar el parche de actualización si está instalada la versión 2.46 en el sistema. Nota: La versión 2.46 soluciona todos los bugs excepto un tipo de traspaso de autorización solucionado en la versión 2.48. Ver http://www.wfshome.com/ para mas detalles. Publicado en: http://www.securityfocus.com/archive/1/349655 Autor: Luigi Auriemma (http://aluigi.altervista.org) * Glosario: URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.). (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Sefex.B. Roba todo lo tecleado en el IE _____________________________________________________________ http://www.vsantivirus.com/troj-sefex-b.htm Nombre: Troj/Sefex.B Tipo: Caballo de Troya Alias: Trojan.Sefex, Trojan.PSW.Ldpinch.ay Fecha: 16/ene/04 Plataforma: Windows 32-bit Tamaño: 11,553 bytes (ZIP), 16,257 bytes (HTML) Caballo de Troya enviado masivamente en forma de spam el 16 de enero de 2004 que extrae y ejecuta un archivo ejecutable dentro de un archivo HTML. Para ello, utiliza dos conocidas vulnerabilidades descriptas en los boletines MS02-015 (http://www.vsantivirus.com/vulms02-015.htm), y MS03-014 (http://www.vsantivirus.com/vulms03-014.htm). El troyano puede arribar en un mensaje con un archivo adjunto comprimido en formato ZIP. El mensaje posee estas características: De: "office" <office@fbi.gov> Asunto: It in your interests Texto del mensaje: You use illegal software! We hereby inform you that your computer was scanned under the IP 195.125.66.216. The contents of your computer were confiscated as an evidence, and you will be indicated. If you recognize the fault - look attachment for the further your actions. We'll contact you later. office@fbi.gov Archivo adjunto: goldbank_cc.zip (11,553 bytes) El archivo ejecutable es un troyano identificado como Trojan.PSW.Ldpinch.ay. Se trata de un capturador de teclado, que intercepta contraseñas, etc. Una vez que se ejecuta, se copia a si mismo con los siguientes nombres: goldbank_cc.html docs2.html Si se hace doble clic sobre el mismo, se extrae y ejecuta el siguiente archivo: iexplore.exe Este archivo está codificado en base 64 en el cuerpo del HTML, y se ejecuta gracias a la mencionada vulnerabilidad. El HTML incluye las siguientes líneas al comienzo: MIME-Version: 1.0 Content-Location:file:/ / /iexplore.exe Content-Transfer-Encoding: base64 Agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Iexplore = iexplore.exe Cada vez que el troyano detecta una conexión a Internet activa, comienza la captura de todo lo ingresado por el teclado, dentro del Internet Explorer, y luego envía esa información a una dirección de Internet predeterminada. También puede capturar otro tipo de información relacionada con las cuentas de correo del usuario, e información de aplicaciones como AIM, ICQ, The Bat!, etc. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas que aparezcan de esta lista: Iexplore SVCHOST 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Randex.AY. Se propaga en red ("winspsv.exe") _____________________________________________________________ http://www.vsantivirus.com/randex-ay.htm Nombre: W32/Randex.AY Tipo: Gusano de Internet Alias: WORM_RANDEX.Y, Backdoor.SdBot.gen, W32.Randex.gen Plataforma: Windows NT, 2000 y XP Fecha: 16/ene/04 Puertos: TCP/6667 Tamaño: 70,688 bytes Reportado por: Trend Micro NOTA: Debido a que los distintos fabricantes de antivirus, han añadido cada variante en diferentes momentos, suelen haber discrepancias respecto al nombre dado a cada versión. Gusano programado en Delphi y comprimido con la utilidad UPX, se propaga en Windows XP, 2000 y NT, copiándose en computadoras con contraseñas débiles (palabras comunes o de pocos caracteres, contraseñas por defecto, etc.) También libera un caballo de Troya (Backdoor.Trojan), con capacidades de backdoor, que puede ser controlado vía IRC por un atacante. El gusano se copia a si mismo en la siguiente carpeta: c:\windows\system32\winspsv.exe También copia el siguiente archivo, que es la herramienta legítima PSEXEC.EXE (de SysInternals), para modificar y ejecutar en forma remota los archivos involucrados con el gusano: c:\windows\system32\remexec.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windows Services = winspsv.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Windows Services = winspsv.exe Se propaga en máquinas de la misma red, intentando logearse a recursos compartidos ocultos (C$, etc.). Estos recursos (letra$), son compartidos por defecto en Windows NT, 2000 y XP. También intenta conectarse a un recurso IPC$ (Inter-Process Communication). Este es un recurso compartido oculto, estándar en máquinas NT, utilizado para establecer comunicación con otros equipos. Utiliza la siguiente lista de nombres de usuario por defecto: Administrator Guest Owner Con las siguientes contraseñas: 000000 00000000 111111 11111111 121212 123123 12345 123456 1234567 12345678 123456789 1234qwer 123abc 123asd 123qwe 54321 654321 88888888 901100 abc123 Admin admin admin123 administrator alpha baseball cccccccccccccccccccccccccccccccccccccccccc computer database enable foobar godblessyou harley ihavenopass Internet letmein Login login mustang mypass mypass123 mypc123 oracle owner passwd Password password patrick pussy pw123 qwerty secret server shadow super sybase temp123 test123 Si el acceso es aceptado, el gusano se copia a si mismo en dichos recursos. El gusano posee su propio cliente de IRC, que le permite conectarse a un servidor y a un canal específico, utilizando el puerto 6667, para recibir las instrucciones de un usuario remoto, que le permitirán acciones como las siguientes: º Obtención de información de la computadora (velocidad, memoria, sistema operativo, etc.) º Unirse o abandonar un canal de IRC específico º Carga y descarga de archivos º Búsqueda de vulnerabilidades explotables en el sistema º Inundar de información basura la red (Flooding) º Descargar actualizaciones º Robar contraseñas del caché de Windows º Activar la captura de teclado (keylogger) º Ejecutar un servidor HTTP en la máquina infectada º Abrir o cerrar la bandeja del CD º Examinar puertos º Realizar ataques de denegación de servicio (DoS) º Listar y finalizar procesos activos º Examinar archivos del sistema infectado º Ejecutar archivos en forma remota º Robar claves (CD Keys) de conocidos juegos º Borrar unidades compartidas º Finalizar procesos conocidos (Remote Registry Service, Computer Browser, REMOTE PROCEDURE CALL, Remote Access Connection Manager, telnet, messenger, netbios º Propagarse a través de la red * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Finalizando el proceso del virus en memoria Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos: 1. Detenga el proceso del virus en memoria, pulsando CTRL+SHIFT+ESC (Windows NT/2000 y XP) 2. En la lista de procesos, señale el siguiente: winspsv.exe 3. Seleccione el botón de finalizar tarea. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. * En Windows NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: remexec.exe; winspsv.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: remexec.exe; winspsv.exe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Services 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Services 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Protoride.A. Se propaga por redes locales _____________________________________________________________ http://www.vsantivirus.com/protoride-a.htm Nombre: W32/Protoride.A Tipo: Gusano y caballo de Troya de acceso remoto Alias: W32.Protoride.Worm, Win32/Protoride.A Fecha: 16/ene/04 Plataforma: Windows 32-bit Tamaño: 58,368 bytes Gusano capaz de propagarse a través de redes locales, con capacidad de acceso remoto clandestino por puerta trasera (backdoor). El gusano modifica la siguiente entrada en el registro para ejecutarse cada vez que se accede a un archivo .EXE: HKEY_CLASSES_ROOT\exefile\shell\open\command (Predeterminado) = [camino y nombre del gusano] "%1" %* El gusano intenta conectarse a otras computadoras dentro del mismo rango de red, probando con direcciones IP generadas al azar. Por ejemplo, si la dirección IP generada es AA.BB.CC.DD, el gusano intentará conectarse a todas las computadoras cuya dirección IP comience con AA.xx.xx.xx. También intenta copiarse como MSUPDATE.EXE en las siguientes carpetas: \Documents and Settings\All Users \Menú Inicio\Programas\Inicio \Documents and Settings\All Users \Start Menu\Programs\Startup \WINDOWS\Menú Inicio\Programas\Inicio \WINDOWS\Start Menu\Programs\Startup \WINDOWS.000\Menú Inicio\Programas\Inicio \WINDOWS.000\Start Menu\Programs\Startup \Win98\Menú Inicio\Programas\Inicio \Win98\Start Menu\Programs\Startup \WinME\Menú Inicio\Programas\Inicio \WinME\Start Menu\Programs\Startup Luego, intenta conectarse a un servidor de IRC predeterminado, y queda a la espera de las instrucciones remotas de parte de un atacante. * Reparación manual Estos pasos deben ser repetidos en cada computadora conectada a la misma red local de la maquina infectada. Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus (preparación) 1. Actualice sus antivirus con las últimas definiciones 2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Renombre REGEDIT.EXE como REGEDIT.COM Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com En Windows 2000 y XP, cambie COMMAND por CMD. Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). 2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter 3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \exefile \shell \open \command 4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como: (Predeterminado) = [nombre del gusano] "%1" %* 5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del gusano y dejar solo lo siguiente (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco): (Predeterminado) = "%1" %* 7. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 8. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 9. Borre los archivos detectados como infectados por el virus. 10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar los archivos creados por el gusano. * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: MSUPDATE.EXE 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: MSUPDATE.EXE 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1290 Año 8, domingo 18 de enero de 2004