Mostrando mensaje 343     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1294 Año 8, jueves 22 de enero de 2004 Fecha: Jueves, 22 de Enero, 2004  06:49:26 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1294 Año 8, jueves 22 de enero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidades del IE que no son tales 2 - Vulnerabilidad de XSS en vBulletin 3 - HTML/Visafraud.A. Timo a usuarios de Visa 4 - W32/Randex.AC. Utiliza NTSDM.EXE y WAUPDMGR.EXE 5 - W32/Dumaru.H. Infecta archivos .EXE en sistemas NFTS _____________________________________________________________ 1 - Vulnerabilidades del IE que no son tales _____________________________________________________________ http://www.vsantivirus.com/22-01-04.htm Vulnerabilidades del IE que no son tales Por Marcelo A. Rodriguez marcelo-ar@videosoft.net.uy Lo publicado en http://www.vsantivirus.com/rzw-21-01-04.htm sobre unas nuevas vulnerabilidades que afectan al IE descubiertas por Rafel Ivgi, parecen no ser tales. Según Thor Larholm solo son formas de generar un agotamiento de recursos usando el Internet Explorer, como así también una anormalidad en el servidor Apache y un desbordamiento de búfer (buffer overflow) en el Outlook Express. Lo último es definitivamente interesante y explotable pero los primeros ítems no son agujeros de seguridad. Un enlace MAILTO: solo abre el gestor de correo predeterminado, crea un nuevo mensaje e inserta la dirección en el campo "Para". Que el IE valide correctamente o no, el formato de las direcciones de correo, no puede considerarse una vulnerabilidad del mismo. El único efecto en concreto de esto, es que se pueden insertar caracteres arbitrarios en el campo "Para" del mensaje, lo cuál no logra más que un agotamiento de recursos cuando se abren decenas de miles de estos. La falta de validación de las entradas en un URI "SNEWS:", solo significa que se pueden agregar ítems a la lista de servidores en el OE. Si se agregan algunas decenas de miles, podríamos estar hablando de agotamiento de recursos, sin ninguna otra consecuencia. Con respecto a uno de los exploits de prueba, Thor Larholm explica que al requerir un archivo llamado "styles" cuando el archivo "styles.css" existe y obteniendo de vuelta los contenidos de "styles.css", en lugar de un error HTTP "404 Not Found", no se trata de un problema con el IE sino con el servidor Apache. Thor Larholm tampoco pudo comprobar el desbordamiento de búfer en el OE 6. Sobre esto último, Berend-Jan Wever aclara que en realidad se trata de un desbordamiento de stack (stack overflow), lo cual significa que el OE guarda código fuera del stack (donde se almacenan las direcciones de retorno), y finaliza su ejecución abruptamente al perder el punto de retorno. Nada es sobrescrito, y esto no es explotable para ganar acceso no autorizado o ganar privilegios. Publicado en: http://www.securityfocus.com/archive/1/350580 (Autor: Thor Larholm) http://www.securityfocus.com/archive/1/350539 (Autor: Berend-Jan Wever) * Relacionados: Nuevas vulnerabilidades en Internet Explorer http://www.vsantivirus.com/rzw-21-01-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Vulnerabilidad de XSS en vBulletin _____________________________________________________________ http://www.vsantivirus.com/vul-xss-vbulletin Vulnerabilidad de XSS en vBulletin Por Zeus, Webmaster de www.GorilaX.com Ha sido descubierto por Darkwell de http://www.GCF.de, un nuevo fallo de seguridad en el sistema para foros vBulletin, desarrollado bajo PHP y con una base de datos MySQL. El nuevo fallo, permite brindar información confidencial al atacante mediante un asalto por XSS (CROSS-SITE-SCRIPTING). Además, el atacante puede transmitir información confidencial como hashes de contraseñas, números de usuarios o contraseñas de foros, a otro servidor. * Detalles Debido a un campo mal controlado en REGISTER.PHP, es posible inyectar código HTML maligno. Con el uso de código Javascript un atacante puede enviar información sensible, por ejemplo cookies, a un servidor externo. * Ejemplo: <form action="http://www.VICTIMA.com/register.php"; method="GET"> <input type="hidden" name="reg_site" value="<SCRIPT></SCRIPT>"/> <input type="text" name="email" value="" /> <input type="submit" value="Muestra mis cookies" /> * Parche En la web oficial del producto, www.vBulletin.com, ya está disponible el correspondiente parche para este agujero. Traducido y editado por: Zeus Webmaster - www.GorilaX.com Basado en el artículo publicado en www.Securityfocus.com: http://www.securityfocus.com/archive/1/350385/2004-01- 18/2004-01-24/0 * Referencias: http://www.vBulletin.com * Glosario: CROSS-SITE-SCRIPTING - Posibilidad de introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado. HASH - Resultado de un algoritmo de Hashing. Son algoritmos que permiten verificar que un mensaje no ha sido modificado (integridad). Dado un mensaje de tamaño arbitrario, producen una salida de tamaño fijo. Ejemplos de este tipo de algoritmo son MD5 y SHA. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - HTML/Visafraud.A. Timo a usuarios de Visa _____________________________________________________________ http://www.vsantivirus.com/visafraud-a.htm Nombre: HTML/Visafraud.A Tipo: Virus HTML Alias: HTML_VISAFRAUD.A Fecha: 22/ene/04 Plataforma: Windows 32-bit Tamaño: 2,742 bytes Reportado por: Trend Micro Se ha reportado un mensaje enviado en forma de spam, que simula ser una notificación de Visa a sus clientes, en donde se informa que la tarjeta de crédito del usuario ha sido robada o es utilizada por otra persona. El mensaje también aclara que eso pudo ocurrir mientras se hacían compras en línea. Para recuperar la tarjeta, y prevenir nuevos fraudes, se le pide al usuario llenar un formulario en el sitio de Visa y solicitar un programa gratuito que ayudará a detectarlos. Si el usuario acepta ingresar sus datos en el sitio indicado, ésta información será redirigida a un pirata. También parecen existir sitios maliciosos en donde se muestra una página con la misma advertencia, y un enlace similar al mencionado antes. El mensaje y la página web maliciosa, explotan una conocida vulnerabilidad del Internet Explorer, que permite falsear la dirección mostrada en la barra de direcciones. El mensaje, en formato HTML, se presenta con estas características: De: Visa Service Asunto: Visa Security Update Texto del mensaje: Dear Sir/Madam, We were informed that your credit card is used by another person or stolen. It could happen if you have been shopping on-line, and someone got your "Billing information" including your credit card number. To avoid and prevent any further fraud and billing mistakes and to refund your credit card, it is strongly recommended to proceed filling in the secure form on our site and applying for our Zero Liability prigram. Program is free and it will help us to confirm the fact of fraud and investigate this accident as soon as possible. [ Continue... ] Sincerely yours, Visa Support Assistant, Alwin Desagun. Cuando el usuario pincha en el enlace con forma de botón [Continue...], se abre en el Explorer, una página web idéntica a la del sitio de Visa USA, para que el usuario pueda ingresar en el formulario que se le muestra, datos como número de tarjeta, PIN, clave de seguridad, etc. La página se presenta como legítima, observándose en la barra de direcciones del Internet Explorer, la URL de Visa USA, cuando en realidad se está en el sitio de un pirata. [ver imagen en http://www.vsantivirus.com/visafraud-a.htm] Si el usuario ingresa los datos pedidos, estará comprometiendo la seguridad de su tarjeta. * Limpieza manual Sólo borre el mensaje indicado. NOTA: Aunque este mensaje también puede clasificarse como SCAM por sus características, el hecho de que el mensaje utilice un exploit para una conocida vulnerabilidad, hace que muchos antivirus lo identifiquen como virus. * Para tener en cuenta: 1. Desconfíe siempre de un mensaje como el indicado. Cerciórese antes en los sitios principales, aún cuando el mensaje parezca "real". Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro. 2. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la "s" al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real. Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales. Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección. 3. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido. 4. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica. De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente. En caso de que por cualquier motivo se hubieran facilitado las claves, estas deberán ser cambiadas de forma inmediata, debiéndose poner el usuario en contacto con la institución correspondiente a la brevedad posible. * Más información sobre SCAM: Consejos de Microsoft contra la falsificación de URL http://www.vsantivirus.com/vul-url-ms.htm Falsificación de URL en Internet Explorer: Alto Riesgo http://www.vsantivirus.com/vul-arroba3.htm HTML/Visafraud.A. Timo al Citibank en forma de virus http://www.vsantivirus.com/citifraud-a.htm Timo a clientes del Grupo Banco Popular de España http://www.vsantivirus.com/scam-grupobanco.htm Falso correo de Yahoo roba datos de tarjetas de crédito http://www.vsantivirus.com/scam-yahoo.htm Anatomía de otro SCAM a usuarios de eBay http://www.vsantivirus.com/scam-yahoo.htm SCAM: Estafa a la nigeriana http://www.vsantivirus.com/scam-nigeria.htm SCAM que pone en peligro las cuentas de Hotmail http://www.vsantivirus.com/scam-hotmail2.htm SCAM, SPAM, y los mercaderes de la muerte http://www.vsantivirus.com/16-09-01.htm ¡Cuídese del fraude!. Ser víctimas de este SCAM es fácil http://www.vsantivirus.com/scam-aol.htm Otro "scam" sobre Hotmail http://www.vsantivirus.com/scam-hotmail.htm ¿@ en un URL? Algo me huele mal http://www.vsantivirus.com/gm-arroba-url.htm Scams cada vez más elaborados http://www.vsantivirus.com/ev25-09-03.htm ¡Sigue la estafa contra usuarios de BBVA Net! http://www.vsantivirus.com/scam-bbvanet2.htm Clientes de un banco engañados por SCAM con troyano http://www.vsantivirus.com/11-05-03.htm Fraudes Digitales http://www.vsantivirus.com/cu-fraudes-digitales.htm Un viejo truco de ingeniería social http://www.vsantivirus.com/mm-bbva-scam.html Alerta de SCAM con cuentas de BBVAnet http://www.vsantivirus.com/scam-bbvanet.htm Cuidado con los negocios y regalos por Internet http://www.vsantivirus.com/agr-scam.htm Scam intenta engañar a usuarios de Microsoft http://www.vsantivirus.com/scam-helpdesk.htm Falso correo de Yahoo roba datos de tarjetas de crédito http://www.vsantivirus.com/scam-yahoo.htm SCAM: La estafa de "Vacaciones en Orlando" http://www.vsantivirus.com/scam-orlando.htm Dame el número de tu tarjeta y te pago las cuentas http://www.vsantivirus.com/ar-scam-paypal.htm Hoax: Falso mensaje que pide las contraseñas del MSN http://www.vsantivirus.com/scam-msn.htm Que el espíritu navideño no lo convierta en víctima http://www.vsantivirus.com/scam-ebay.htm Hoax: Usted es uno de nuestros ganadores http://www.vsantivirus.com/hoax-premio.htm Glosario: SCAM - Engaño con intención de estafa o fraude, que mezcla el correo no solicitado (SPAM) con un HOAX (bulo o broma). PHISHING - Técnica utilizada para obtener información confidencial mediante engaños (generalmente por medio de un "scam", mensaje electrónico fraudulento, o falsificación de página web). (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Randex.AC. Utiliza NTSDM.EXE y WAUPDMGR.EXE _____________________________________________________________ http://www.vsantivirus.com/randex-ac.htm Nombre: W32/Randex.AC Tipo: Gusano de Internet Alias: WORM_RANDEX.AC, Backdoor.SdBot.gen, W32.Randex.gen Plataforma: Windows NT, 2000 y XP Fecha: 21/ene/04 Tamaño: 49,152 bytes Reportado por: Trend Micro NOTA: Debido a que los distintos fabricantes de antivirus, han añadido cada variante en diferentes momentos, suelen haber discrepancias respecto al nombre dado a cada versión. Gusano programado en Delphi y comprimido con la utilidad UPX, se propaga en Windows XP, 2000 y NT, copiándose en computadoras con contraseñas débiles (palabras comunes o de pocos caracteres, contraseñas por defecto, etc.) También libera un caballo de Troya (Backdoor.Trojan), con capacidades de backdoor, que puede ser controlado vía IRC por un atacante. El gusano llega con el nombre NTSDM.EXE, y luego crea una copia de si mismo con el nombre WAUPDMGR.EXE en la siguiente carpeta: c:\windows\system32\waupdmgr.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Network Service = waupdmgr.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Network Service = waupdmgr.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce Network Service = waupdmgr.exe Se propaga en máquinas de la misma red, intentando logearse a recursos compartidos ocultos (C$, etc.). Estos recursos (letra$), son compartidos por defecto en Windows NT, 2000 y XP. También intenta conectarse a un recurso IPC$ (Inter-Process Communication). Este es un recurso compartido oculto, estándar en máquinas NT, utilizado para establecer comunicación con otros equipos. Utiliza la siguiente lista de nombres de usuario por defecto: Admin admin administrador Administrador administrateur Administrateur Administrator administrator Con las siguientes contraseñas: !@#$% !@#$% !@#$% !@#$% 1#IND 1#INF 1#QNAN 1#SNAN 12345 123456 654321 pass123 password password123 secret server sqlagent system wwwadmin Si el acceso es aceptado, el gusano se copia como NTSDM.EXE en el directorio SYSTEM32 de dichos recursos, y luego se ejecuta: c:\windows\system32\ntsdm.exe También crea un archivo llamado R.BAT, usado para modificar la configuración de seguridad del sistema, para permitir el acceso remoto. Agrega además, el siguiente usuario: Nombre de usuario: administrators Contraseña: SUPPORT_420 Luego, accede al sistema usando dicho usuario, y detiene la acción de los siguientes antivirus y servicios de comunicaciones, y sus aplicaciones correspondientes: Norton AntiVirus messenger McShield Remote Access Connection Manager Remote Registry Service También modifica la siguiente entrada del registro: HKLM\System\ControlSet001\Services\RemoteRegistry Start = 00000003 El valor normal para Start es "00000002" El gusano posee su propio cliente de IRC, que le permite conectarse a un servidor y a un canal específico para recibir las instrucciones de un usuario remoto, que le permitirán acciones como las siguientes: º Obtención de información de la computadora (velocidad, memoria, sistema operativo, etc.) º Unirse o abandonar un canal de IRC específico º Carga y descarga de archivos º Búsqueda de vulnerabilidades explotables en el sistema º Inundar de información basura la red (Flooding) º Descargar actualizaciones º Robar contraseñas del caché de Windows º Activar la captura de teclado (keylogger) º Ejecutar un servidor HTTP en la máquina infectada º Abrir o cerrar la bandeja del CD º Examinar puertos º Realizar ataques de denegación de servicio (DoS) º Listar y finalizar procesos activos º Examinar archivos del sistema infectado º Ejecutar archivos en forma remota º Robar claves (CD Keys) de conocidos juegos º Borrar unidades compartidas º Finalizar procesos conocidos (Remote Registry Service, Computer Browser, REMOTE PROCEDURE CALL, Remote Access Connection Manager, telnet, messenger, netbios º Propagarse a través de la red El gusano puede robar el CD Key de los siguientes juegos: Battlefield 1942 Battlefield 1942 Road To Rome Command & Conquer Generals Counter-Strike (Retail) FIFA 2003 Half-Life Need For Speed Hot Pursuit 2 Neverwinter Project IGI 2 Rainbow Six III RavenShield Red Alert 2 Soldier of Fortune II - Double Helix The Gladiators Tiberian Sun Unreal Tournament 2003 * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Finalizando el proceso del virus en memoria Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos: 1. Detenga el proceso del virus en memoria, pulsando CTRL+SHIFT+ESC (Windows NT/2000 y XP) 2. En la lista de procesos, señale el siguiente: waupdmgr.exe 3. Seleccione el botón de finalizar tarea. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. * En Windows NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: ntsdm.exe; waupdmgr.exe; r.bat 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: ntsdm.exe; waupdmgr.exe; r.bat 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Network Service 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Network Service 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunOnce 7. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Network Service 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches más actualizados para su software. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Dumaru.H. Infecta archivos .EXE en sistemas NFTS _____________________________________________________________ http://www.vsantivirus.com/dumaru-h.htm Nombre: W32/Dumaru.H Tipo: Virus y caballo de Troya Alias: Win32.Dumaru.H, Backdoor.Dumador.p, W32/Dumaru.gen@MM, Win32/Dumaru.H.Worm Fecha: 15/ene/04 Plataforma: Windows 32-bit Tamaño: 33,792 bytes Virus que infecta archivos .EXE, y que posee algunas características que permiten a un intruso el acceso directo a la computadora infectada, a través de una puerta trasera (troyano backdoor). A diferencia de otras versiones de la familia del "W32/Dumaru", ésta no se propaga a través del correo electrónico. El mismo podría ser enviado en forma premeditada o accidental, vía correo electrónico, o por algún troyano. También podría ser descargado de sitios maliciosos, o a través de redes P2P. Cuando se ejecuta, crea un átomo global llamado Program123, que usa como marca de infección (el virus no se ejecuta si ya existe dicha marca). "Atom" o átomo, es una información del tipo "cadena" o "entero", a la que se le asigna un identificador (ID) único, el cual se emplea para acceder a dicha información. Los átomos se almacenan en una tabla de átomos (Atom Tables), controlada por Windows, y se generan en tiempo de ejecución. Si se ejecuta, se copia en las siguientes ubicaciones: c:\windows\system\load32.exe c:\windows\system\vxdmgr32.exe c:\windows\start menu\programs\startup\rundllw.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Load32 = "c:\windows\system\load32.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = "explorer.exe c:\windows\system\vxdmgr32.exe" El virus posee un componente troyano de acceso remoto, que permite que un atacante controle la computadora infectada. Cuando este componente se activa, abre el puerto 10000 y aguarda la conexión remota. Algunas de las acciones que podrá llevar a cabo el atacante a través de esta conexión: º Buscar y/o borrar archivos º Crear, imprimir, listar y recorrer directorios º Obtener nombre de usuario actual Simultáneamente, el troyano abre el puerto 1001, y a través de dicha conexión, el atacante podrá realizar lo siguiente: º Abrir o cerrar la bandeja del CD º Captura de teclado y robo de información sensible º Ejecutar archivos º Reproducir sonidos º Mostrar mensajes como el siguiente: THIS MACHINE IS CRACKED !!com [ OK ] El virus libera un archivo DLL para enganchar las funciones del teclado: c:\windows\guid32.dll Cada vez que el usuario abre determinadas ventanas en el sistema, este componente captura todo lo tecleado y almacena dicha información en el siguiente archivo de texto: c:\windows\vxdload.log También copia toda la información del portapapeles de Windows en el siguiente archivo: c:\windows\runddlx.sys El virus examina si el usuario utiliza el servicio WebMoney (un sistema global de pago disponible para usuarios de cualquier parte del mundo, que permite enviar y recibir pagos de dinero en forma inmediata). Si es así, también robará toda la información relacionada. El contenido de todos estos archivos de información robada al usuario, así como otros datos (versión de Windows, del Internet Explorer y detalles de WebMoney), son enviados periódicamente a una dirección de correo predeterminada. En equipos con el sistema de archivos NTFS (Windows NT/2000/XP), el virus infecta los archivos .EXE utilizando NTFS Streams. "File Streams" es una característica del sistema de archivos NTFS, que permite múltiples secuencias de datos, a diferencia de otros sistemas, donde solo hay una secuencia de datos, el propio programa. Un archivo es una abstracción de un flujo de datos entre el disco duro y los programas de usuario y NTFS nos permite asociar bajo un mismo nombre de archivo varios flujos de datos aparte del principal, diferenciados por un nombre. Puede compararse esto a tener varios archivos comprimidos en un solo .ZIP por ejemplo, donde cada stream es accesible como un archivo individual. En Windows 95, 98 o Me, ejecutándose bajo sistemas FAT o FAT32, estos streams no existen. El Explorer no podrá mostrar el archivo original mientras esté en un "stream". El proceso de infección es reemplazar primero el archivo con una copia de si mismo y almacenar el original como un stream llamado ":STR". Por ejemplo, al infectar a un archivo NOMBRE.EXE, el virus se copia a si mismo con ese nombre al mismo tiempo que almacena el archivo original como un stream llamado NOMBRE.EXE:STR. Debido a un error en su código, algunos archivos infectados son borrados antes de ser almacenados como un stream. Como resultado, no se podrán ejecutar, y tampoco reparar, debiéndose reinstalar los programas asociados. En el caso de ciertos archivos del propio sistema operativo, se deberá reinstalar Windows. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Repare (*) los archivos detectados como infectados (*) Algunos archivos del virus solo podrán ser borrados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\load32.exe c:\windows\system\vxdmgr32.exe c:\windows\start menu\programs\startup\rundllw.exe c:\windows\guid32.dll c:\windows\vxdload.log Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Load32 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 5. Pinche en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre": Shell 6. Modifique el valor de "Shell" para que aparezca solo esto: Shell = Explorer.exe 7. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1294 Año 8, jueves 22 de enero de 2004