| Asunto: | VSantivirus No. 1299 Año 8, martes 27 de enero de 2004 | | Fecha: | Martes, 27 de Enero, 2004 00:28:09 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1299 Año 8, martes 27 de enero de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Mydoom.A. Gusano de gran propagación
2 - W32/Mimail.Q. Variante polimórfica de gran propagación
3 - DVD-Jon: inocente y reincidente (Por Mercè Molist)
4 - Carpetas falsas en Windows XP pueden ejecutar código
_____________________________________________________________
1 - W32/Mydoom.A. Gusano de gran propagación
_____________________________________________________________
http://www.vsantivirus.com/mydoom-a.htm
Nombre: W32/Mydoom.A
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom, Novarg, Shimgapi, W32.Novarg.A,
W32.Novarg.A@mm, W32/Mydoom@MM, Win32.Mydoom.A,
Win32/Mydoom.A, Win32/Shimg, WORM_MIMAIL.R, W32/Mydoom.A-mm
Plataforma: Windows 32-bit
Puerto: TCP/3127
Tamaño: 22,528 bytes (UPX)
Fecha: 26/1/04
Gusano que se propaga rápidamente por correo electrónico y la
red de intercambio de archivos KaZaa. Fue detectado en las
últimas horas del 26 de enero de 2004, y a las pocas horas se
reportaban miles de usuarios infectados.
Usa mensajes con asuntos, textos y nombres de archivos
adjuntos variables. El mensaje suele medir de 30 a 35 Kb.
Cuando se ejecuta, abre el bloc de notas y muestra caracteres
sin sentido.
Realiza ataques de denegación de servicio a la dirección
www.sco.com (SCO es la compañía que demanda por el uso de
código Unix a Linux).
El mensaje puede tener alguno de los siguientes asuntos:
[caracteres sin sentido o vacío]
Delivery Notification: Delivery has failed
Error
hello
Hello
HELLO
hi
HI
Mail Delivery System
Mail Transaction Failed
Nicakhtwewby
Returned mail: User unknown
Server Report Status
test
Test
Undeliverable: Mail Delivery System
Undelivered Mail Returned to Sender
Los archivos adjuntos, pueden tener alguno de los siguientes
nombres:
[caracteres sin sentido]
body
data
doc
document
file
message
readme
test
text
Los adjuntos, utilizan las siguientes extensiones:
.bat
.cmd
.exe
.pif
.scr
.zip
Los archivos .ZIP contienen la versión con el mismo nombre y
una de las extensiones anteriores (excepto .ZIP).
El texto del mensaje puede ser alguno de los siguientes,
entre otros generados al azar:
Ejemplo 1:
The message cannot be represented in 7-bit ASCII
encoding and has been sent as a binary attachment.
Ejemplo 2:
The message contains Unicode characters and has
been sent as a binary attachment.
Ejemplo 3:
Mail transaction failed. Partial message is available.
Ejemplo 4:
test
El icono del adjunto, representa un archivo de texto, con la
idea de engañar al usuario:
[ver imagen en http://www.vsantivirus.com/mydoom-a.htm]
Cuando se ejecuta, crea los siguientes archivos en el sistema
infectado:
\TEMP\Message
c:\windows\system\shimgapi.dll
c:\windows\system\taskmon.exe
NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
NOTA 2: En todos los casos, "c:\windows" y
"c:\windows\system" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system32", etc.).
Para autoejecutarse en cada reinicio, modifica las siguientes
entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
TaskMon = c:\windows\system\taskmon.exe
HKCU\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = c:\windows\system\taskmon.exe
Crea las siguientes entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion
\Explorer\ComDlg32\Version
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\ComDlg32\Version
Cuando se ejecuta, el gusano abre una puerta trasera por el
puerto TCP/3176, ejecutando el archivo SHIMGAPI.DLL como un
proceso hijo (child process) de EXPLORER.EXE, en el primer
reinicio de la computadora infectada. Para ello crea esta
entrada en el registro:
HKEY_CLASSES_ROOT\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
(Predeterminado) = c:\windows\system\shimgapi.dll
Un Child Process es un proceso originado por un proceso padre
con el que comparte recursos.
El gusano se copia también en la carpeta compartida del
KaZaa, con los siguientes nombres:
activation_crack.bat
activation_crack.pif
activation_crack.scr
icq2004-final.bat
icq2004-final.pif
icq2004-final.scr
nuke2004.bat
nuke2004.pif
nuke2004.scr
office_crack.bat
office_crack.pif
office_crack.scr
rootkitXP.bat
rootkitXP.pif
rootkitXP.scr
strip-girl-2.0bdcom_patches.bat
strip-girl-2.0bdcom_patches.pif
strip-girl-2.0bdcom_patches.scr
winamp5.bat
winamp5.pif
winamp5.scr
Las direcciones para el envío de los mensajes infectados, son
tomadas de archivos con las siguientes extensiones del equipo
infectado:
.adb
.asp
.dbx
.htm
.php
.sht
.tbb
.txt
.wab
También genera direcciones al azar, usando nombres de dominio
obtenidos de direcciones válidas.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\shimgapi.dll
c:\windows\system\taskmon.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
TaskMon
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
TaskMon
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
7. Pinche en la carpeta "InProcServer32" y cambie lo
siguiente:
(Predeterminado) = c:\windows\system\shimgapi.dll
Por lo siguiente:
En Windows 95, 98 y Me:
(Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL
En Windows NT, 2000 y XP:
(Predeterminado) = %SystemRoot%\System32\webcheck.dll
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Mimail.Q. Variante polimórfica de gran propagación
_____________________________________________________________
http://www.vsantivirus.com/mimail-q.htm
Nombre: W32/Mimail.Q
Tipo: Gusano de Internet, polimórfico
Alias: W32/Mimail.q@MM, I-Worm.Mimail.q, W32/Sysout.A.worm,
W32.Mimail.Q@mm, W32/Mimail.Q.worm, W32/Mimail.gen@MM
Tamaño: 32,768 bytes
Plataforma: Windows 32-bit
Puerto: TCP/3000
Fecha: 26/ene/04
Gusano detectado por primera vez el 26 de enero de 2004. Es
una variante de la familia del Mimail, capaz de robar
información personal y datos de tarjetas de crédito,
mostrándose como un falso formulario de Microsoft.
El gusano posee características polimórficas, y cada archivo
adjunto a los mensajes enviados, es diferente cada vez que se
propaga.
Cuando se ejecuta, muestra el siguiente mensaje de error
falso, para engañar al usuario:
Windows
ERROR: Bad CRC32
[ Aceptar ]
El gusano se copia con los siguientes nombres:
c:\windows\sys32.exe
c:\windows\outlook.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
Crea la siguiente entrada en el registro, para autoejecutarse
en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System = c:\windows\sys32.exe
El gusano hace una búsqueda de determinados "cookies" en las
carpetas del sistema, y si encuentra alguna relacionada con
el sitio "e-gold.com", crea una clave especial en el
registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
Explorer3
Se registra a si mismo como un proceso de servicio,
permaneciendo invisible de la lista de tareas (CTRL+ALT+SUPR)
en sistemas Windows 95, 98 y Me).
Después de su primera ejecución, el gusano muestra al
usuario, un falso mensaje con un formulario incluido, que
simula provenir de Microsoft, donde se le avisa que la
licencia de Windows ha expirado:
Your License Has Expired
The license for this copy of the Microsoft Windows
has expired. The software cannot be used until you
obtain a new license. The fastest and most convenient
way to obtain a license for your copy of Microsoft
Windows is to fill the form below. The licensing is
a quick an easy operation. Just follow these simple
steps:
[se pide ingresar datos de la tarjeta de créditos y
otra información personal en el formulario que se
muestra al usuario]
Si el usuario llena este formulario, los datos recogidos
serán enviados al autor del gusano.
La información obtenida es almacenada primero en el siguiente
archivo:
c:\mminfo.txt
El gusano crea también los siguientes archivos, que contienen
el mensaje con el formulario descriptos antes, y las imágenes
de los logos del mismo:
c:\mshome.hta
c:\logobig.gif
c:\wind.gif
El gusano comprueba la conexión a Internet, tratando de
resolver la dirección "www.google.com";. Si tiene éxito,
entonces inicia tres hilos diferentes de ejecución.
Mientras está activo, escucha por el puerto TCP/3000 el
tráfico entrante. Cuando ingresan datos por ese puerto, el
gusano crea un pipe (conexión directa de un canal de salida
estándar de un programa, al canal de entrada estándar de
otro), y ejecuta CMD.EXE (Windows NT, 2000 y XP), dando al
atacante un acceso de línea de comandos al equipo infectado.
La primera versión del gusano se envió en mensajes con las
siguientes características:
Asunto: Hi my sweet Nancy!
Texto del mensaje:
Hi my sweet Nancy,
I have been thinking about you all night...
I would like to apologize for the other night
when we made beautiful love and did not use
condoms. I know.. this was a mistake and I beg
you to forgive me.. Nancy, I miss you more than
anything, please call me, I need you... Do you
remember when we were having wild sex in my
house? I remember it all like it was only
yesterday.
You said that the photos would not come out good,
but you were wrong, they are great.
I didn't want to show you the pictures at first,
but.. now I think it's time for you to see them.
Please look in the attachment and you will see
what I mean.
I love you with all my heart,
Frank
Datos adjuntos: photos.scr
Cuando se propaga, el gusano crea los mensajes con una
selección de cadenas de texto incluidas en su código.
De: [remitentes variables]
Ejemplos:
Mike@[dominio]
Peter@[dominio]
sex@[dominio]
Donde [dominio] es el mismo del destinatario.
Asunto: [variable]
Ejemplos:
beautiful photo
smart photo
smart photos
very cool pics don't show
very nice picture
Texto del mensaje: [variable]
Algunos ejemplos:
Mensaje 1:
Good evening Ella
I shocked
My boss had best sex last evening with the mom
of Jeremy! I turned on my hp device and make cool
pictures! Please don't show it to somebody,
I rely on you.
Mensaje 2:
Good evening my darling Bertha!!!
I wondered
My dad had best sex I ever seen last night togather
with the mom of Joel %-( ) And I switched on my
digital canon videocamera and make good pictures %-)
Well do not send pictures to your bro, I rely on you.
Mensaje 3:
Good evening my dearest Johanna.
I shocked,
My boss had best sex last night with the dad of
Robert %-( ) And I turned on my digital siemens
device and make a lot of excellent images.
So don't show photos to your boss, ok?
El nombre del adjunto está compuesto de la siguiente forma:
[1]+[2]+[3].[extensión]
Donde [1] es uno de los siguientes componentes:
best
cool
fuck
great
my
priv
private
prv
sex
super
the
wild
El componente [2] es uno de los siguientes:
- (signo "-")
_ (subrayado)
__ (doble subrayado)
El componente [3] es uno de los siguientes:
act
action
images
img
imgs
pctrs
phot
photos
pic
plp
scene
La [extensión], es seleccionada de la siguiente lista:
.exe
.gif.exe
.gif.pif
.gif.scr
.jpg.exe
.jpg.pif
.jpg.scr
.pif
.scr
Ejemplos:
best-images.exe
best-scene.jpg.scr
fuck___pic.jpg.gif
my_pic.pif
privateimgs.gif.exe
El gusano obtiene las direcciones a las que se envía de los
archivos con las siguientes extensiones, encontrados en el
disco duro de la víctima:
.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip
Los datos recolectados son almacenados en el siguiente
archivo:
c:\windows\outlook.cfg
Para enviar los mensajes, intenta conectarse directamente a
los servidores SMTP de los destinatarios, resolviendo la
información necesaria con consultas al servidor DNS del
usuario, y a los servidores SMTP de los destinatarios.
Además del intento de robar información del usuario con el
falso formulario de Microsoft visto antes, el gusano intenta
robar los datos del usuario relacionados con el sitio e-
gold.com, dedicado al manejo de transacciones comerciales en
lingotes de oro.
Los datos recolectados son almacenados en el siguiente
archivo:
c:\tmpeg2.txt
Luego encripta dicho archivo, y el resultado lo copia en el
siguiente:
c:\tmpgld.txt
Este segundo archivo es enviado por correo electrónico al
autor del gusano, usando determinadas direcciones presentes
en su código.
El gusano contiene el siguiente texto, con una amenaza a las
compañías de hosting que filtren las direcciones del autor
del gusano:
*** GLOBAL WARNING: if any free email company or
hosting company will close/filter my emai l/site
accounts, it will be DDoS'ed in next version.
WARNING: centrum.cz will be DDoS'ed in next versions,
coz they have closed my mimail-email account.
Who next? ***
visit our friendly site www.blackgate.us
El sitio mencionado, da soporte a foros undergrounds, pero no
parece tener relación directa con el autor del gusano.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados por el
virus.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\logobig.gif
c:\mminfo.txt
c:\mshome.hta
c:\tmpeg2.txt
c:\tmpgld.txt
c:\wind.gif
c:\windows\outlook.cfg
c:\windows\outlook.exe
c:\windows\sys32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
System
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
5. Pinche en la carpeta "Explorer" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Explorer3
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - DVD-Jon: inocente y reincidente (Por Mercè Molist)
_____________________________________________________________
http://www.vsantivirus.com/mm-dvd-jon.htm
DVD-Jon: inocente y reincidente
El noruego absuelto de romper la protección de DVD ahora
"crackea" iTunes
Por Mercè Molist (*)
colaboradores@videosoft.net.uy
Los defensores y defensoras de la libertad de expresión en la
Red han recibido estas fiestas un gran regalo: la absolución
definitiva del joven noruego de 19 años, Jon Lech Johansen,
acusado de haber distribuido por Internet un programa que
rompe las protecciones anticopia del sistema DVD. Para
celebrarlo, a Johansen no se le ha ocurrido nada más original
que romper un nuevo sistema anticopia: el del exitoso
servicio de música de pago, iTunes.
DVD-Jon: inocente y reincidente
El noruego Jon Lech Johansen está de enhorabuena: después de
cuatro años luchando en los tribunales, un juez lo ha
absuelto de la acusación de distribuir un programa que rompe
las protecciones anticopia del sistema de visionado de
películas DVD y por el cual se ganó el apodo de "DVD-Jon".
Tenía 15 años cuando puso a disposición de la Red un
programa, llamado DeCSS, creado por programadores anónimos
del norte de Europa, con el objetivo de permitir el visionado
de películas en reproductores Linux. Centenares de webs
replicaron el código del programa en todo el mundo, hecho que
no gustó nada a la Motion Picture Association of America
(MPAA), que agrupa a la industria de Hollywood, ni a la DVD
Copy Control Association, que los denunciaron a todos,
amparándose en la ley anticopia norteamericana Digital
Millenium Copyright Act.
En la mayoría de los juicios hechos en los Estados Unidos,
contra gente que había publicado el DeCSS, ganó la industria.
Pero la cabeza de turco, Jon Johansen, no sería juzgado allí,
si no en Noruega, su país, donde lo detuvieron en enero del
2000. Tres años después, los jueces daban la campanada en
absolver a DVD-Jon. La Unidad Noruega de Crimen Económico,
que llevaba la denuncia en nombre de la MPAA, apeló y, en
estas fiestas, el chico volvía a ser declarado inocente, esta
vez por la Corte Suprema. La Unidad de Crimen Económico ya ha
dicho que no volverá a recurrir la sentencia y Jon Johansen,
que ahora tiene 19 años, "está muy contento", según su
abogado. La sentencia final considera probado que Johansen
compró legalmente sus DVD y tenía todo el derecho de hacer
copias de ellos porque "los DVD's son tan vulnerables que el
comprador tiene que poder hacer una copia de ellos".
Pero estos cuatro años de incertidumbre en los tribunales no
parecen haber asustado al chico. El pasado noviembre, en una
web que mantiene Johansen, se hacía público un programa,
llamado QTFairUse, con el mensaje "Pues denúncienme", que
rompe el sistema anticopia del servicio de música de pago de
Apple, iTunes. Pese a que ya han aparecido otros "cracks" que
hacen lo mismo, el de Johansen permite mantener totalmente la
calidad de la música copiada y, además, se publica bajo una
licencia libre. Esta semana, DVD-Jon anunciaba una mejora de
su "crack" a fin de que la música del iTunes de Apple se
pueda escuchar en sistemas operativos libres, como Linux o
BSD, ya que hasta ahora solamente tenían acceso a ella los
usuarios de Apple, Windows, y otros sistemas propietarios.
Norway throws in the towel in DVD Jon case
http://www.theregister.co.uk/content/6/34706.html
iTunes DRM cracked wide open for GNU/Linux. Seriously
http://www.theregister.co.uk/content/6/34712.html
'DVD Jon' Takes Crack at ITunes
http://www.wired.com/news/technology/0,1282,61387,00.html?tw=wn_tophead_3
(*) Copyright (C) 2004 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any medium, provided this notice is
preserved.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Carpetas falsas en Windows XP pueden ejecutar código
_____________________________________________________________
http://www.vsantivirus.com/vul-xp-carpetasfalsas.htm
Carpetas falsas en Windows XP pueden ejecutar código
Por Marcelo A. Rodriguez
marcelo-ar@videosoft.net.uy
Ejecución automática de código en Windows XP mediante
carpetas maliciosas.
Se ha reportado una vulnerabilidad en el Explorador de
Windows de Windows XP. Un usuario remoto puede crear una
carpeta que, al ser visualizada por el usuario atacado,
ejecutará código arbitrario en el sistema.
HTTP-EQUIV de malware.com, ha reportado que un usuario remoto
puede crear una "carpeta" maliciosa que incluya código HTML
con scripts y ejecutables de Windows (archivos ".exe") con
código arbitrario. Cuando el usuario atacado intente ver los
contenidos de la "carpeta" (lo cual puede considerarse algo
seguro), dicho código será ejecutado en forma automática por
el Explorador de Windows, con los privilegios del usuario
local.
Si la "carpeta" es un archivo HTML, el Explorador de Windows
(en Windows XP) ejecutará el archivo al verlo, extraerlo o
abrirlo. El código del script puede hacer referencia al
ejecutable contenido en la "carpeta", ocasionando que el
mismo se ejecute.
Existe un exploit de demostración en:
http://www.malware.com/my.pics.zip
[Nota VSA: Es importante hacer notar que el archivo contenido
como demostración (My Pics.folder), puede ser detectado como
infectado (TrojanDropper.JS.Mimail.b,
JScript/CodeBase.Exploit, TrojanDropper.JS.Mimail.b,
Exploit/CodeBase.A). Sin embargo no contiene virus, aunque
utiliza código que podría ser detectado como tal].
No existe solución para esta vulnerabilidad por el momento.
Sistemas afectados:
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Recomendación:
Permitir el acceso a los sistemas afectados solo a usuarios
confiables.
No abrir carpetas no confiables.
Usar un antivirus actualizado.
Publicado en:
http://www.securitytracker.com/alerts/2004/Jan/1008843.html
http://www.secunia.com/advisories/10708/
Descubierto por:
http-equiv (www.malware.com)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1299 Año 8, martes 27 de enero de 2004
|
VSantivirus No. 12
Responder a este mensaje
