|
Mostrando mensaje 327
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1278 Año 8, martes 6 de enero de 2004 | | Fecha: | Martes, 6 de Enero, 2004 03:49:36 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1278 Año 8, martes 6 de enero de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Virus antiguos en 2003 (Por Fernando de la Cuadra)
2 - Predicciones de seguridad y la naturaleza humana
3 - W32/Bugbros.A. Simula ser enviado por Microsoft
4 - W32/Gaobot.DD. Se copia como "wsys32.exe"
5 - W32/Randon.AD. Se propaga por el puerto 445
_____________________________________________________________
1 - Virus antiguos en 2003 (Por Fernando de la Cuadra)
_____________________________________________________________
http://www.vsantivirus.com/fdc-virus_antiguos.htm
Virus antiguos en 2003
Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com
Todos los años, por estas fechas, se publican numerosos
resúmenes de lo que el año ha sido. Desde la actividad
política a la deportiva, enero siempre trae un buen número de
cifras e imágenes que nos hacen recordar los últimos meses.
Pero este año hay un resumen que no sólo nos hace recordar el
2003. Va mucho más allá, obligándonos a volver la vista hasta
el 2002 y el 2001. Se trata del resumen de los virus más
extendidos durante el pasado año, en el que se encuentran
ejemplares que deberían ser historia hace tiempo: Klez.I,
Bugbear y Parite.B.
Estos tres códigos víricos se han sido algunos de los más
activos de 2003, a pesar de que su detección fuera realizada
por las empresas antivirus en cuanto aparecieron los virus.
En septiembre de 2002 fue detectado por primera vez Bugbear.
Klez.I en abril de 2002 y, el caso récord, ¡Parite.B fue
detectado en noviembre de 2001!
¿Cómo es posible que Parite.B haya sobrevivido causando
infecciones hasta el año 2003? Siempre existen virus que
tardan en desaparecer, podemos fijarnos en el caso del
Loveletter, que apareció en mayo de 2000 y hoy en día sigue
infectando aunque en términos realmente despreciables. Tanto
que puede pensarse que ha sido descubierto en algún ordenador
desfasado, o en una copia de seguridad antigua que ha sido
restaurada.
Parite.B es un virus en el más puro estilo vírico clásico,
propagándose él solo sin necesidad de complejos motores SMTP
propios, ni atentar contra la libreta de direcciones de los
usuarios. Se propaga únicamente a través de los ficheros que
infecta y a través de redes locales. Es decir, que siga
difundiéndose pone de manifiesto que hay muchísimos usuarios
sin ninguna protección antivirus en su PC, ni en las redes
locales a las que acceden los ordenadores infectados. Podría
admitirse que un usuario doméstico, sin quizá muchos
conocimientos de informática ni información sobre seguridad,
no tenga instalada una protección antivirus. Sin embargo, en
el caso de las redes informáticas, por pequeñas que sean, el
problema de la falta de protección es aún más preocupante.
Aunque es muy sencillo montar una red pequeña -pongamos que
de hasta 4 ó 5 ordenadores-, generalmente las empresas que
disponen de estas redes han acudido a algún tipo de empresa
para instalar el cableado, las tarjetas, la configuración,
etc. Si esta misma empresa no ha advertido de los peligros
que entraña tener una red conectada o no a Internet sin la
debida protección, poco dice de la categoría del servicio que
presta al cliente. Desgraciadamente es un hecho que existen
algunos "consultores", "integradores" -o como quieran
llamarse- que sólo son hábiles expertos a la hora de manejar
el destornillador y la caja registradora. Pero poco hacen a
la hora de asesorar a sus clientes sobre lo que de verdad
necesitan. Son los que hacen que los Consultores o los
Integradores (las mayúsculas las he puesto a propósito) no
sean vistos como lo que realmente son: una gran ayuda a sus
clientes en numerosas áreas de la Informática.
Todos los Profesionales de la Informática (y vuelvo a
utilizar la mayúscula a propósito) debemos involucrarnos en
una lucha sin cuartel contra los códigos maliciosos. Debemos
aconsejar, orientar, informar e involucrarnos activamente en
un proceso de limpieza que consiga, si no acabar, sí reducir
al mínimo las infecciones víricas. O por lo menos, que los
virus con dos años de existencia no sigan en las primeras
posiciones dentro de las listas de difusión.
Una de las razones que puede explicar la persistencia de
BugBear.B y Klez.I es que para que se ejecuten basta tener
activada la vista previa del mensaje. Su programador
aprovechó una vulnerabilidad que afecta a Microsoft Internet
Explorer 5.0 y 5.01, por la que es posible lanzar código a
través de una página web o un correo construido en HTML. La
vulnerabilidad fue anunciada (y parchada) en marzo de 2001
por Microsoft, así que los usuarios infectados y que siguen
propagando el virus no se han molestado lo más mínimo en
actualizar sus sistemas en más de dos años, a pesar de las
múltiples recomendaciones hechas no ya por medios
especializados, sino por numerosos periódicos e informativos
de radio y televisión.
Muchos usuarios afirman que los sistemas operativos de
Microsoft tienen demasiadas vulnerabilidades y errores, y no
les falta razón. Pero más peligroso aún que una
vulnerabilidad en un sistema es no corregirla adecuadamente.
Todo el mundo estará de acuerdo en que el ser humano es
vulnerable a muchísimas infecciones, pero normalmente se
toman las medidas higiénicas adecuadas. Un usuario de
ordenador no es comparable a una población tercermundista, a
la que no llegan medicamentos ni información sobre prevención
de enfermedades. Sin embargo, si alguien usa un ordenador se
le supone un estatus socioeconómico suficiente como para
enterarse de los peligros que circulan por Internet y cómo
evitarlos con las soluciones que tiene a su alcance.
Las soluciones antivirus no sólo van a ayudar al usuario
previniendo contra todo tipo de virus, sino que las más
avanzadas tecnológicamente también van a advertirle de las
posibles vulnerabilidades presentes en su sistema. De esta
manera, el equipo va a protegerse contra los virus futuros
que intenten aprovecharse de los agujeros de seguridad.
(*) Fernando de la Cuadra es Editor Técnico Internacional de
Panda Software (http://www.pandasoftware.com)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Predicciones de seguridad y la naturaleza humana
_____________________________________________________________
http://www.vsantivirus.com/ev-predicciones.htm
Predicciones de seguridad y la naturaleza humana
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Según publica Computerworld, en sus predicciones para la
seguridad en 2004, todo se basa siempre en tres temas. Se
haga lo que se haga en materia de seguridad para nuestras
computadoras, si esos temas no se tienen en cuenta, de poco
valdrá el esfuerzo.
Peter H. Gregory es un reconocido consultor en tecnología y
seguridad, autor de varios libros sobre el tema para Solaris
y ambientes corporativos. En un artículo de Computerworld que
lleva su firma, Gregory vaticina para 2004, un aumento de la
actividad maliciosa, simplemente porque así es la naturaleza
humana. Y teniendo en cuenta que en 2003 se crearon en todo
el mundo, más de cien millones de conexiones nuevas de banda
ancha, las posibilidades de que a alguien se le ocurra hacer
algo malo aumentan.
Cómo contrapartida, las organizaciones tomarán cada vez más
control de las infraestructuras y las redes, particularmente
en los sistemas de usuario final, aunque esto, seguro no será
bien recibido por todos.
Con este panorama, aunque tal vez podamos estar en desacuerdo
con algunas de las predicciones más puntuales que se plantean
en el artículo original, es también cierto que los puntos
tratados por Gregory, son un buen inicio para empezar a
entender cuánto del tema seguridad pasa por nuestra propia
conducta y responsabilidad, y cuánto por el de los
fabricantes de software y hardware.
Estas son las predicciones de seguridad para 2004.
* Spam
No es una novedad que los spammers son cada vez más
creativos, sobre todo a la hora de eludir los filtros. Textos
camuflados (V..i.a,.g..r,,.a por ejemplo) hacen casi
imposible bloquear el spam filtrando palabras. El uso de
gráficos con el texto, formatos codificados (imágenes
incrustadas en el mensaje mediante una codificación en base64
por ejemplo), o reenvíos desde direcciones IP que no tienen
un nombre de dominio asociado, son algunas de las muchas
técnicas.
Muchas veces, éstas técnicas se basan en recientes
desarrollos, lo cuál se convierte en un desafío para los
fabricantes de programas anti-spam, y en frustración para los
usuarios.
Las organizaciones empiezan a medir los costos por
productividad perdida, o los aumentos de éstos en los
procesos del correo electrónico, ocasionados por el spam.
Esto lleva a que los departamentos de seguridad aumenten sus
esfuerzos para solucionar estos problemas, aunque más no sea
porque es una manera de dejar contentos a los gerentes.
Debido a las formas utilizadas para controlarlo, cambiará la
definición de spam. Ya no será "correo basura", sino "correo
no deseado", tanto para consumidores como para los
trabajadores en la oficina. El correo solicitado la semana
pasada, se convierte en spam esta semana. Un empleado que se
suscribe a una lista en enero, puede que no la quiera más en
abril. Será más fácil marcar el mensaje como spam que
desubscribirse. Los mensajes seguirán llegando, pero serán
bloqueados antes de que el usuario los vea.
* Acceso a Internet
Con el discurso de la productividad, las organizaciones más
grandes tomarán en serio el control de acceso a Internet,
filtrando los sitios que el empleado podrá ver en su monitor.
Tres justificaciones dominarán las decisiones al respecto:
productividad, seguridad y responsabilidad legal.
Gregory explica estos conceptos. Al menos en Estados Unidos,
han existido numerosos pleitos por hostigamiento sexual, de
parte de empleados que ven a sus colegas navegar por sitios
pornográficos en el trabajo. Los empleados demandan a sus
jefes por haber visto estas imágenes y para que estos hagan
algo por evitarlo.
* Control del escritorio
Las empresas comenzarán a ser más estrictas al bloquear la
capacidad de los usuarios para instalar cualquier clase de
software y para realizar cambios en la configuración a sus
propios sistemas de escritorio. Windows 2000 tenía esta
capacidad, y también el XP si se lo configura correctamente;
pero gracias a las plataformas Windows 95, 98 y Me,
relativamente incontrolables, los usuarios están
acostumbrados a personalizar sus sistemas, con la capacidad
de realizar cambios de configuración y de instalar, poner al
día o incluso quitar programas a su voluntad.
Aunque esto será impopular, deberá hacerse si los
departamentos tecnológicos desean recuperar el control de su
ambiente. Una porción importante de las llamadas a los
técnicos, se asocia con usuarios que han desconfigurado sus
sistemas, o con problemas causados por la instalación de
software no aprobado. Consecuentemente, pocos usuarios
tendrán privilegios de administrador en sus sistemas (lo que
parecería lógico al verlo así escrito, pero que no se tiene
en cuenta en la práctica).
Gregory responde a la pregunta que se pueden plantear los
usuarios, sobre que puede hacer por la seguridad el hecho de
que no pueda modificar su propio escritorio. La respuesta es
que un ambiente que carece de integridad (tal como aquél en
donde los usuarios son capaces de realizar cambios de
configuración a su voluntad), sufrirá del correspondiente
deterioro en su seguridad global, porque los cambios hechos
por los usuarios, a menudo harán que sus sitios de trabajo
sean más vulnerables, sin olvidar que en otros casos,
directamente serán cambios hechos con intenciones maliciosas.
* Cortafuegos personales
Gracias a gusanos como Blaster, Nachi y otros surgidos en
2003, el uso de los cortafuegos personales en los sistemas de
usuario final, finalmente conseguirán imponerse. Muchas
compañías encontraron que estos gusanos consiguieron acceso a
sus redes, a través de las computadoras portátiles infectadas
que no tenían cortafuego. Los laptops y notebooks, se
infectaron cuando sus usuarios se conectaban a Internet desde
sus casas, donde no había un cortafuego para protegerlos.
Los principales gerentes corporativos, que desean proteger
sus trabajos evitando se repita lo de 2003, están financiando
el uso de cortafuegos personales a nivel de todos sus
empleados. Solo falta ver si los podrán manejar eficazmente,
y además, conservar la capacidad de manejar a las propias
computadoras.
* Metadatas chismosos
Los "metadatas" son los registros de cambios realizados en
los documentos, textos ocultos, información almacenada de
versiones anteriores, memorándums internos, etc., y que
podrían convertirse en un gran agujero para la fuga de
información. Las herramientas que destruyen a los metadatas,
gozarán de un uso cada vez más amplio. Además, en 2004 o
2005, Microsoft agregará esta característica a Word, Excel,
PowerPoint y a otros de sus programas, quizás adquiriendo
alguna herramienta de terceros.
* USB flash drives
Algunas compañías importantes procurarán prohibir el uso de
los "Flash Drives" conectados a puertos USB (una memoria
flash de gran capacidad de almacenamiento, que algunos veían
como la sustitución de disquetes y otra forma de intercambio
de información entre computadoras). Esto ocurre porque
empleados sin escrúpulos los están utilizando para divulgar
información propietaria de las corporaciones. Aunque este es
un problema para las organizaciones, es un claro ejemplo de
que el problema no está en la tecnología, sino en la gente.
* Acceso ilegal a Wi-Fi
Wi-Fi es el estándar de redes inalámbricas. Se espera por lo
menos un ataque a alguna red corporativa Wi-Fi que será muy
publicitado. La causa de este ataque podría ser tanto una
mala protección de la red, como un punto de acceso creado por
un mal empleado sin autorización.
Cueste lo que cueste, el incidente despertará a esas
compañías aún descuidadas y negligentes con dichas
vulnerabilidades y las estimulará a realizar acciones para
evitarlas.
* Bluetooth
Bluetooth es una norma abierta para una tecnología de punta
que posibilita la conexión inalámbrica de corto alcance de
voz y datos entre computadoras de escritorio y portátiles,
agendas digitales personales, teléfonos móviles, impresoras,
escáners, cámaras digitales e incluso dispositivos
domésticos, a través de una banda disponible a nivel global
(2,4 Ghz) y mundialmente compatible.
La misma gente que hackea computadoras, envía spam y hace
antenas con latas de papas vacías (Pringles cans), descubrirá
Bluetooth y comenzará a experimentar y a abusar con sus
aplicaciones. La publicidad negativa puede hacer que
Bluetooth vuelva al tablero de diseño. Esto es algo que ya
debe sonar conocido para muchos, y aunque Gregory se pregunta
porqué alguien querrá hacer eso a tan poca distancia de su
víctima (por las limitaciones de la propia tecnología), no
duda que ocurrirá.
* Teléfono móvil hackeado
Los teléfonos móviles están actuando cada vez más como
terminales de datos inalámbricos, con los sistemas operativos
más livianos. Gregory afirma que con estas facilidades, se
está preparando un nuevo terreno, teniendo en cuenta además,
que en un par de años, estos dispositivos pueden llegar a
superar en número la cantidad de computadoras existentes. Y
quizás ya en 2004, se empezarán a ver ataques más maliciosos
que años atrás.
* Incidentes IM
Los servicios de mensajería instantánea (IM), como los de
AOL, MSN y Yahoo, son ampliamente utilizados internamente por
las grandes corporaciones. Tanto, que los departamentos
técnicos no son conscientes de su grado de utilización, y son
incapaces, o están poco dispuestos a detenerlos.
En la mayoría de los casos, las corporaciones no tienen
ningún control centralizado sobre los IM. Pero la
preocupación más grande debe pasar por el hecho de que los
mensajes corporativos enviados vía IM, están atravesando
Internet sin ningún cifrado. Cualquiera podría estar
"escuchando" todos los mensajes que "vuelan" cerca. Gregory
piensa que en 2004 podría ocurrir un incidente muy
publicitado, con un pirata informático publicando información
secreta de una gran compañía, enviada a través de la
mensajería instantánea.
* Ingreso ilegal a empresas de servicios públicos
SCADA (System Control and Data Acquisition), es un sistema de
monitorización y control industrial que permite, a través de
una computadora, realizar operaciones de control, supervisión
y registro de datos de cualquier proceso industrial gobernado
por autómatas o redes de autómatas. Es el mecanismo utilizado
para controlar las subestaciones de sistemas de agua y
centrales eléctricas.
Muchas empresas de servicios públicos, han conectado su
infraestructura de SCADA con Internet. Esto podría haber
parecido una buena idea al principio. Para Gregory, éste será
otra de las malas noticias para 2004, cuando un ataque a gran
escala llegue a la prensa. Después de todo, el gran apagón de
agosto pasado en gran parte de Canadá y Estados Unidos, tuvo
mucho en común con algo así.
* Defensa organizada
El FBI y el servicio secreto de los Estados Unidos, han hecho
grandes progresos en su capacidad para rastrear y capturar a
cibercriminales. La colaboración entre organizaciones
públicas y privadas, seguramente mejorará. Quienes están en
el lado bueno de la seguridad (explica Gregory), tienen un
justo interés en el éxito de estos esfuerzos.
* Crimen organizado
Está ocurriendo ya en algunos países de Europa del Este,
América del Sur y Asia Sudoriental; bandas de piratas
informáticos, extorsionan por dinero a proveedores de
Internet y operadores de sitios web, que no pueden defenderse
de ataques de negación de servicio. Existe un aumento de esta
clase de actividad. Para Gregory, hackear para pedir dinero
por protección, y otras fuentes de ingreso igual de ilegales,
se convertirá en un gran negocio, similar al de la droga y al
tráfico de tarjetas de crédito.
Algún día, se hablará un mismo idioma en muchos de los
tratados comunes entre los países, que harán más fácil
identificar y arrestar a los cibercriminales, que hoy se
esconden en países con legislaciones débiles, poco dispuestos
a colaborar, o sin la capacidad para hacerlo.
* Tiempos más cortos para los "exploits"
El tiempo que toma a un pirata o un escritor de virus,
explotar una vulnerabilidad reciente, es cada vez más corto.
Primero meses, ahora días u horas. Gregory piensa que esto
tiene una relación directa con el crimen organizado. Y el
programa de recompensas desarrollado por Microsoft parece
reconocerlo. Simplemente la compañía está equilibrando la
balanza entre los posibles beneficios, para igualar las
cuentas.
* Resumen
Cómo resumen, Gregory deja claro que existen tres temas
fundamentales en todo lo que se pueda decir sobre la
seguridad.
Primero, no es una buena idea conectar cualquier cosa con
Internet, simplemente porque se pueda hacer. Al menos no
hasta conocer las necesidades reales para hacerlo, y los
posibles peligros que ello acarrea.
En segundo lugar y por lo general, siempre que salga una
nueva tecnología, sus diseñadores harán un trabajo muy pobre
en todo aquello que se refiera a su seguridad. Pero de todos
modos la mayoría de nosotros, los usuarios, las adoptaremos.
Y tercero, cada vez que una nueva tecnología surge y está
disponible para hacer cosas buenas y útiles, habrá alguien
que encontrará el modo de usarla maliciosamente, de maneras
que al resto de nosotros jamás se nos hubiera ocurrido
usarla.
Fuente:
Security predictions for 2004
Peter H. Gregory, Computerworld
http://www.computerworld.com
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=361
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Bugbros.A. Simula ser enviado por Microsoft
_____________________________________________________________
http://www.vsantivirus.com/bugbros-a.htm
Nombre: W32/Bugbros.A
Tipo: Gusano de Internet
Alias: Bugbros, Win32/Bugbros.A, W32.Bugbros@mm,
W32/Bugbros@mm, I.worm.bugbros@mm, Bloodhound.W32.VBWORM
Fecha: 2/ene/04
Plataforma: Windows 32-bit
Tamaño: 36,864 bytes
Gusano escrito en Microsoft Visual Basic y comprimido con la
utilidad UPX, que se envía en forma masiva a través del
Outlook y Outlook Express, a todos los contactos de la
libreta de direcciones, simulando ser una protección contra
un nuevo virus, enviada por Microsoft.
El mensaje tiene estas características:
De: support@microsoft.com
Asunto: LiveUpdate Informations
Texto:
Hi,
I have send you the needed informations for
the new worm-backdoor discovered.
The Backdoor is called W32.Bug.Gear.A
You can run the attachment to avoide getting
hacked by closing the backdoor.
bye
Datos adjuntos: (varios)
Cuando se ejecuta, se copia en la siguiente carpeta:
c:\windows\system32\[nombre del adjunto]
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
En Windows NT, 2000, XP y Server 2003, puede mostrar al
ejecutarse, una ventana de error con el siguiente texto:
Run-time error '76':
Path not found
[ OK ]
Agrega las siguientes entradas al registro para
autoejecutarse en cada reinicio de Windows:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
g00123 = c:\windows\system32\[nombre del adjunto]
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\RunServices
Services004 = c:\windows\system32\[nombre del adjunto]
Luego, se envía en un mensaje como el arriba descripto, a
todos los contactos de la libreta de direcciones, utilizando
las funciones MAPI del Outlook y Outlook Express.
MAPI (Messaging Application Programming Interface), es una
interface de programación para aplicaciones que gestionen
correo electrónico, servicios de mensajería, trabajos en
grupo, etc.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
g00123
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Services004
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Gaobot.DD. Se copia como "wsys32.exe"
_____________________________________________________________
http://www.vsantivirus.com/gaobot-dd.htm
Nombre: W32/Gaobot.DD
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Gaobot.FB, Backdoor.Agobot.3.gen,
W32.HLLW.Gaobot.gen
Fecha: 5/ene/04
Plataforma: Windows NT, 2000 y XP
Tamaño: 65,024 bytes
Puertos: TCP/135, TCP/445
Otra variante del W32/Gaobot.AO, gusano que se propaga a
través de redes compartidas, con contraseñas débiles (por
defecto, pocos caracteres, etc.), valiéndose de tres
conocidas vulnerabilidades.
El tamaño del ejecutable de esta versión, es de 65,024 bytes,
y se ejecuta solo en Windows NT, 2000 y XP.
Las principales diferencias con variantes anteriores son las
siguientes:
1. Se copia con el siguiente nombre:
c:\windows\system32\wsys32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
2. Las entradas que agrega en el registro son las siguientes:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Configuration = wsys32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Configuration = wsys32.exe
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_a4
HKLM\SYSTEM\CurrentControlSet\Services\a4
3. En Windows NT, 2000 y XP, el gusano crea un nuevo servicio
llamado "a4", para ejecutarse en forma automática.
Cómo variantes anteriores, posee un componente de acceso
remoto por puerta trasera vía IRC, que permite a un atacante
realizar numerosas acciones en el equipo infectado, incluidos
ataques de denegación de servicio (DoS), a blancos
específicos.
También intenta finalizar los procesos activos de una extensa
lista de productos antivirus y cortafuegos (más de 450) y los
procesos pertenecientes a otros gusanos, como el Blaster,
etc. Las listas completas con todos los nombres de estos
procesos, las puede consultar en la descripción de
W32/Gaobot.AO.
* Más información:
W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Editar el registro
* NOTA IMPORTANTE:
El gusano puede remover las unidades compartidas por defecto
en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$).
Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco
puede ser finalizado desde el Administrador de tareas, ya que
es capaz de lanzar un nuevo proceso antes de ser descargado
de memoria el primero. En caso de querer detenerlo desde el
Administrador, se despliega un mensaje de error, pero el
servicio seguirá funcionando.
También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o
CMD.EXE). Para eliminarlo, renombre el archivo del editor del
registro (REGEDIT.EXE), por ejemplo REG.EXE.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REG.EXE (si ese fuera el nuevo nombre), y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Windows Configuration
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Windows Configuration
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_a4
7. Pinche en la carpeta "LEGACY_a4" y bórrela.
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\a4
9. Pinche en la carpeta "a4" y bórrela.
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora en modo a prueba de fallas, y
siga con las instrucciones que se dan a continuación.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente
archivo:
c:\windows\system32\wsys32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Información adicional
* Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la
interface RPC (Remote Procedure Call) que permite la
ejecución arbitraria de código. El Remote Procedure Call
(RPC) permite el intercambio de información entre equipos, y
está presente por defecto en el protocolo TCP bajo el puerto
135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de
mensajes sobre TCP/IP, permite a un atacante ejecutar
cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente (MS03-026,
MS03-039), desde el siguiente enlace:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
* IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el gusano.
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Randon.AD. Se propaga por el puerto 445
_____________________________________________________________
http://www.vsantivirus.com/randon-ad.htm
Nombre: W32/Randon.AD
Tipo: Gusano de Internet y caballo de Troya
Alias: Worm.Win32.Randon.ad, W32/Randon-AB, WORM_KINES.C,
TrojanDownloader.Win32.Apher.gen, Trojan.BAT.Noshare.n
Fecha: 5/ene/04
Plataforma: Windows 32-bit
Tamaño: 719,656 bytes
Se propaga a través de los recursos compartidos "ocultos"
Admin$ e IPC$, con contraseñas débiles. Algunas de sus
características solo funcionan en Windows 2000 o XP.
Puede recibir instrucciones a través de una conexión IRC
(Internet Relay Chat), utilizando su propia versión
renombrada del mIRC (no es necesario que el usuario infectado
lo tenga instalado).
El paquete completo, consiste de varios componentes. El
componente B4AK.EXE, intenta descargar y ejecutar de un sitio
de Internet, otro archivo llamado SVCHOST.EXE, que contiene
otros archivos.
El componente principal es SFX.EXE, que crea la carpeta AL
dentro de System:
c:\windows\system\al
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Dentro de esa carpeta, el gusano copia los siguientes
archivos:
B4AK.EXE (el troyano que carga los demás componentes)
CC.CDE (TXT que contiene información no maliciosa)
CED.TS (lista de contraseñas para canales de IRC)
CEVE.BAT (Copia B4AK.EXE y lo ejecuta con PSEXEC)
CEZE.BAT (troyano Troj/Delshare)
FAVER.EXE (Utilidad PSEXEC para ejecución remota)
FOLDER.CPR (script de IRC, genera flooding y DDoS)
h00d.cde (script de IRC, genera flooding y DDoS)
h00d.EXE (versión renombrada y completa del mIRC)
SHR.BAT (cambia atributos de algunos archivos)
TAR.EXE (la utilidad HIDEWINDOW)
VER.EXE (Utilidad legítima PROCVIEW)
Note que el nombre "h00d", está compuesto por dos CEROS en
lugar de dos letras "O".
El gusano crea la siguiente rama del registro para ejecutar
el cliente de IRC en futuros reinicios del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Group = c:\windows\system\al\h00d.exe
El gusano ejecuta dicha clave y luego esconde su proceso con
la utilidad HIDEWINDOW.
También crea las siguientes entradas:
HKLM\Software\CLASSES\ChatFile\DefaultIcon
(Predeterminado) = [copia del gusano]
HKLM\Software\CLASSES\ChatFile\Shell\open\command
(Predeterminado) = [copia del gusano]
HKLM\Software\CLASSES\irc\DefaultIcon
(Predeterminado) = [copia del gusano]
HKLM\Software\CLASSES\irc\Shell\open\command
(Predeterminado) = [copia del gusano]
Se conecta a un servidor de IRC para ejecutar sus scripts.
Además de provocar ataques distribuidos de negación de
servicio (DDoS), e IRC flooding (envío de información basura
al servidor de modo que el usuario termina siendo
desconectado del mismo), el gusano escanea el puerto 445 en
busca de otros clientes de IRC (computadoras previamente
infectadas), o simplemente con recursos disponibles.
Existen miles de sistemas Windows 2000 y XP con el puerto 445
abierto, de los cuáles una gran parte no posee contraseña, o
conservan las que trae por defecto.
Si detecta un puerto 445 abierto, el gusano busca recursos
disponibles en la computadora remota, para luego intentar
conectarse utilizando una combinación de nombres de usuario y
contraseñas predefinidas.
Si la conexión es exitosa, el gusano abre un socket al puerto
455 (un "socket" es un canal de comunicación que se abre
entre un puerto de nuestra computadora y la computadora a la
que queremos conectarnos). A través de esta conexión, el
gusano envía uno de sus componentes y lo ejecuta.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre la carpeta
AL y todo su contenido:
c:\windows\system\al
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre la entrada que
contenga el siguiente nombre de archivo:
c:\windows\system\al\h00d.exe
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
5. Pinche en la carpeta "CLASSES" y en el mismo panel borre
las siguientes carpetas:
ChatFile
irc
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1278 Año 8, martes 6 de enero de 2004
|
Responder a este mensaje
