Mostrando mensaje 358     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1309 Año 8, viernes 6 de febrero de 2004 Fecha: Viernes, 6 de Febrero, 2004  06:55:21 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1309 Año 8, viernes 6 de febrero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Fallos de RealPlayer permiten ejecución remota de código 2 - W32/Mimail.T. Simula enviar imágenes obscenas 3 - W32/Holar.F. Puede borrar archivos del duro 4 - W32/Gaobot.EE. Se copia como "spolsv.exe" _____________________________________________________________ 1 - Fallos de RealPlayer permiten ejecución remota de código _____________________________________________________________ http://www.vsantivirus.com/vul-realone-varios.htm Fallos de RealPlayer permiten ejecución remota de código Por Angela Ruiz angela@videosoft.net.uy RealNetworks alertó el miércoles de tres fallos que afectan diferentes versiones de sus reproductores, y que permiten el ataque mediante la creación de archivos de música o video, corruptos. Una vez ejecutados, por el usuario, el atacante podrá tomar el control de la computadora de aquel. El primero de los fallos, permite la ejecución de código Javascript de forma remota, desde el dominio de la URL abierta por un archivo SMIL o de otro tipo. Con el segundo, es posible que mediante la modificación de archivos .RMP, se pueda descargar y ejecutar archivos en forma arbitraria en el equipo vulnerable. Y finalmente el tercer fallo, permite aprovecharse de un desbordamiento de búfer para la ejecución de código. RealNetworks informa que no han existido ataques que se hayan aprovechado de estos fallos. Son afectados los siguientes productos: RealOne Player RealOne Player v2 (todos los idiomas y plataformas) RealPlayer 8 (en todos los idiomas) RealOne Enterprise Desktop RealPlayer Enterprise (todas las versiones) Versión beta de RealPlayer 10 (sólo en inglés) * Solución: Descargar e instalar las actualizaciones disponibles, como se explica en el siguiente enlace (en español): http://www.service.real.com/help/faq/security/040123_player/ES-XM/ * Relacionados: RealNetworks http://www.real.com/ Ejecución remota de scripts en RealOne Player http://www.vsantivirus.com/vul-smi-realone.htm * Glosario: Archivos SMIL (.SMI) - Synchronized Multimedia Integration Language, o Lenguaje de integración y sincronización de archivos multimedia. Es similar al HTML (un lenguaje de marcadores o TAGS), desarrollado como una extensión XML, que permite integrar archivos multimedia (.avi, .mov, .mpg, .rm, .rp, .rt, etc.). Soporta archivos de RealAudio, RealMedia, RealPix, RealText, etc., en Internet Explorer y otros. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Mimail.T. Simula enviar imágenes obscenas _____________________________________________________________ http://www.vsantivirus.com/mimail-t.htm Nombre: W32/Mimail.T Tipo: Gusano de Internet Alias: Mimail.T, I-Worm.Mimail.t, W32.Mimail.T@mm, W32/Mimail.T.worm, W32/Mimail.t@MM, W32/Mimail.T@mm, W32/Mimail.t@MM, Win32.Mimail.T, WORM_MIMAIL.T, W32/Mimail-T, W32/Mimail.gen@MM Tamaño: 14,880 bytes (.EXE), 13,503 bytes (.ZIP) Plataforma: Windows 32-bit Fecha: 5/feb/04 Gusano detectado por primera vez el 5 de febrero de 2004, distribuido originalmente como spam en un mensaje con las siguientes características: Asunto: Re:Gollum Texto del mensaje: Hi Gollum its Nancy. I was shocked, when I found out that it wasn't you but your twin brother, that's amazing, you're as like as two peas. No one in bed is better than you Gollum. I remember, I remember everything very well, that promised you to tell how it was, I'll give you a call today after 9. He took my skirt off, then my [...] [el resto del mensaje posee palabras obscenas] Datos adjuntos: fail.hta FAIL.HTA es un archivo .ZIP con contraseñas. Dicho archivo contiene otro llamado TEXT.EXE. El usuario recibe otro mensaje con la contraseña actual para el archivo ZIP. El gusano crea los siguientes archivos: c:\windows\kaspersky.exe c:\windows\ee98af.tmp NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KasperskyAv = c:\windows\kaspersky.exe También crea las siguientes entradas para almacenar datos internos: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer Explorer Explorer3 Mientras se ejecuta, el gusano se carga como un servicio, quedando oculto a los ojos del usuario en la lista de tareas activas de Windows 95, 98 y Me (CTRL+ALT+SUPR). El gusano comprueba la conexión a Internet, tratando de resolver la dirección "www.google.com";. Solo si tiene éxito crea y envía sus mensajes con adjuntos infectados. Para ello utiliza una selección de cadenas de texto incluidas en su código, de acuerdo a las siguientes características: De: [remitentes variables] Utiliza direcciones falsas, obtenidas de la máquina, o el nombre "john" seguido del dominio de cualquier dirección encontrada en la PC infectada. Ejemplo: john@dominio.com Asunto: [variable] Utiliza hasta cuatro componentes de las siguientes listas (no siempre incluye componentes de todas las listas): Componente 1: Re: Re[2]: Re[3]: Componente 2: smart cool sexy super Componente 3: pics images pictures photos photo picture Componente 4: private only for you just for you imortant very important Ejemplos: Re[2]: cool images Re: images only for you sexy pics Texto del mensaje: [variable] El texto del mensaje es construido con elementos tomados de las siguientes listas (no siempre incluye elementos de todas las listas): Lista 1: Hi Hello Good evening Lista 2: my dear my dearest my darling Lista 3: Adeline Alice Ann Annice Barbara Bertha Camilla Cassandra Catherine Christina Dorothea Edith Eleanor Elizabeth Ella Ellen Emma Emmeline Emily Grace Helen Isabel Jane Janet Jenny Joanna Johanna Julia Julian Jillian Katherine Leonora Lora Lucy Margaret Mary Nancy Sarah Valerie Lista 4: ! !!! . , Lista 5: I shocked I wondered It's amazing Lista 6: My mom My dad My boss My sister My brother Lista 7: wild best excellent Lista 8: sex sex I ever seen Lista 9: last evening last night Lista 10: with togather with with Lista 11: boss mom dad girlfriend friend sister brother Lista 12: Anthony Art Arthur Barry Bart Ben Benjamin Bill Bobby Brad Bradley Brendan Brett Brian Bruce Bryan Carlos Chad harles Chris Christopher Chuck Clay Corey Craig Dan Daniel Darren Dave David Dean Dennis Denny Derek Don Doug Duane Edward Eric Eugene Evan Frank Fred Gary Gene George Gordon Greg Harry Henry Hunter Ivan Jack James Jamie Jason Jay Jeff Jeffrey Jeremy Jim Joe Joel John Jonathan Joseph Justin Keith Ken Kevin Larry Logan Marc Mark Matt Matthew Michael Mike Nat Nathan Patrick Paul Perry Peter Philip Phillip Randy Raymond Ricardo Richard Rick Rob Robert Rod Roger Ross Ruben Russell Ryan Sam Scot Scott Sean Shaun Stephen Steve Steven Stewart Stuart Ted Thomas Tim Toby Todd Tom Troy Victor Wade Walter Wayne William Lista 13: ! !!! . :) :)) =) Lista 14: %-) %-( ) %-))) Lista 15: But And Lista 16: switched on power on turned on Lista 17: my digital Lista 18: canon hp samsung viewsonic acer toshiba LG siemens nokia sony panasonic philips Lista 19: photo video Lista 20: camera device cam Lista 21: make create Lista 22: many some a lot of Lista 23: good cool excellent Lista 24: photos pictures images Lista 25: Heh Please So I beg you Well And But Lista 26: don't do not Lista 27: show send Lista 28: it photos images pictures Lista 29: anybody else to somebody to your bro to your mom to your boss to my bf to your boyfriend to your b/f to my b/f Lista 30: ok? okay? deal? I trust you. I rely on you. Ejemplo: Hi my dear Alice !!! I shocked My mom had best sex I ever seen last night with the sister of Anthony!!! But switched on digital viewsonic photo device and make a lot of good images Please don't show it to somebody, ok? Datos adjuntos: [nombre variable] El nombre del adjunto está compuesto de la siguiente forma: [1]+[2]+[3].[extensión] Donde [1] es uno de los siguientes componentes: my priv private prv the best super great cool wild sex fuck El componente [2] es uno de los siguientes: - (signo "-") _ (subrayado) __ (doble subrayado) El componente [3] es uno de los siguientes: act action images img imgs pctrs phot photos pic plp scene La [extensión], es seleccionada de la siguiente lista: .exe .gif.exe .gif.pif .gif.scr .jpg.exe .jpg.pif .jpg.scr .pif .scr Ejemplos: best-images.exe best-scene.jpg.scr sex___pic.jpg.exe my_pic.pif private-imgs.gif.exe El gusano obtiene las direcciones a las que se envía de los archivos con las siguientes extensiones, encontrados en determinadas carpetas del disco duro: .avi .bmp .cab .com .dll .exe .gif .jpg .mp3 .mpg .ocx .pdf .psd .rar .tif .vxd .wav .zip Los datos recolectados son almacenados en el siguiente archivo: c:\windows\outlook.cfg Estos datos también son enviados a una dirección de correo. Para enviar los mensajes, intenta conectarse directamente a los servidores SMTP de los destinatarios, resolviendo la información necesaria con consultas al servidor DNS del usuario, y a los servidores SMTP de los destinatarios. El gusano puede lanzar ataques de denegación de servicio (DoS) a los siguientes sitios: darkprofits.cc darkprofits.com darkprofits.net spews.org www.darkprofits.cc www.darkprofits.com www.darkprofits.net www.spews.org Para ello genera miles de solicitudes HTTP (TCP/80), HTTPS (TCP/443) y tráfico ICMP (Protocolo de mensajes de control de Internet). El gusano contiene en su código, el siguiente texto de advertencia: *** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? *** * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\ee98af.tmp c:\windows\kaspersky.exe c:\windows\outlook.cfg Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: KasperskyAv 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Holar.F. Puede borrar archivos del duro _____________________________________________________________ http://www.vsantivirus.com/holar-f.htm Nombre: W32/Holar.F Tipo: Gusano de Internet Alias: Holar.J, W32/Holar-J, WORM_HOLAR.F, W32.Galil.F@mm, I- Worm.Holar.f Plataforma: Windows 32-bit Fecha: 5/feb/04 Tamaños: 67,934 bytes (dropper), 29,183 Bytes (mailer) Gusano que se propaga por correo electrónico, vía SMTP (directo), o vía Microsoft Outlook y Outlook Express. También intenta propagarse por MSN Messenger. Cuando se ejecuta, muestra un mensaje de error falso con el siguiente texto: The WinZip Wizard cannot open this file it does not apear to be a valid archive. if you downloaded this file, try downloading it again. if you want to add this file to an archive, first create or open the archive, then drop the file again. [ OK ] El gusano consta de dos componentes. El primero actúa como dropper (el que libera el archivo del gusano en el sistema). Este componente los siguientes archivos, y luego ejecuta al componente principal, SYSCHK.EXE: c:\windows\mizzabbat.exe c:\windows\system\smtp.ocx c:\windows\system\syschk.exe También crea la carpeta SYS32S y el siguiente archivo: c:\windows\sys32s\zacker.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Crea la siguientre entrada en el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemChecker = c:\windows\system\syschk.exe El gusano agrega también la siguiente entrada, que utiliza como contador: HKEY_CURRENT_USER Cya = "1" Cada vez que se ejecuta, el valor en CYA es aumentado en uno. El gusano también crea los siguientes archivos CAB, conteniendo el archivo RUNHELP.INF: c:\runhelp.cab c:\sys32s\runhelp.cab RUNHELP.INF intenta ejecutar el archivo ZACKER.EXE (el gusano propiamente dicho). También se crea un archivo llamado FOLDER.HTT en la carpeta Web de Windows: c:\windows\web\folder.htt NOTA: En esa carpeta puede existir un archivo legítimo de Windows con el mismo nombre. No lo borre hasta estar seguro de que se trata de un componente del gusano. Los mensajes enviados, poseen las siguientes características: Asunto: [uno de los siguientes] Another one? BYEEE Check this out ;) Have it all :) bye Here is the Emmy ;) Dont tell Sam abt it Hey Wussap? Heyyyy Heyyyyyyyy Lola Wussaaap?? I can't be online tonight :( I forgot to tell u , the other file is with Sam:) bye i have just got it , plz tell me if u need more. i haven't ever thought i should send u my briefcase to gain ur Trust . I lost the other email , anyway i sent u all u need I thought you trusted me but ... YO DUMP , IM SICK OF UR EMAILS , IF U LOSE IT AGAIN I WONT GIVE IT TO U, SAVE IT Texto del mensaje: [uno de los siguientes] Hey wussap? i lost Sara's Email plzz send this file to her :) and tell her i can't be online tonight heyyy Wait for more :) anyway , i sent u something u r gonna love ;) cya tomorrow i just wanted to say sorry for last night and .. i wish u accept this as an apology bye dear elegant ppl should satisfy thier taste with elegant things ;) I've got your email , but you forgot to upload the attachments. Don't be selfish , i sent you all the files i have, send me anything :( heyyyy i tried many times to send u this email but ur account was out of storage as i think any way , make sure that i didn't and i won't forget u :) Cya Forgotten :P i thing the subject is enough to describe the attached file ! check it out and replay your opinion Hiiiiiii i've got this surprise from a friend :) it really deserves a few minutes of your time. Never mind ! Attachments See the attatched file you seem to be mad @ me coz i didn't send u anything for along time, but unfortunately, i don't remember you i didn't forget u , but i was kinda busy , i've got all of ur emails thanx :) and i hope u accept this one as an apology. gift :) Surprise! i'm fine , thanx for asking :) and thanx for the nice attachments. i will be waiting for u emaill to remind me of your self. Hummm , i hope u accept this show as an apology. save it for hard times Happy Times :) Useful Very funny hey wuts up? i found this amazing file in my Recycled , i know u love this kind of things ;) cyaaa you have to see this! amazing! Datos adjuntos: [variables, con las siguientes extensiones] .bhx .exe .hqx .mim .uu .uue .xxe El gusano es capaz de borrar todos los archivos de la máquina infectada, que tengan las siguientes extensiones, o renombrarlos con las extensiones mostradas antes: .asf .avi .doc .jpg .mdb .mpe .mpeg .mpg .pps .ram .rar .rm .xls * Reparación manual NOTA: Si se activó la acción destructiva de este gusano, deberá restaurar el sistema desde una copia de respaldo, o reinstalándolo. Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\runhelp.cab c:\windows\mizzabbat.exe c:\windows\sys32s\runhelp.cab c:\windows\system\smtp.ocx c:\windows\system\syschk.exe Borre también la carpeta SYS32S y su contenido: c:\windows\sys32s\ * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada que contenga el siguiente: SystemChecker 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER 5. Pinche en la carpeta "HKEY_CURRENT_USER" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada que contenga el siguiente: Cya 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Gaobot.EE. Se copia como "spolsv.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-ee.htm Nombre: W32/Gaobot.EE Tipo: Gusano de Internet y caballo de Troya Alias: WORM_AGOBOT.AI, W32.HLLW.Gaobot.gen, Backdoor.Agobot.3.bv, W32/Gaobot.worm.gen.d Fecha: 5/feb/04 Plataforma: Windows NT, 2000 y XP Tamaño: 68,608 bytes Puertos: TCP/135, TCP/445 Variante del W32/Gaobot.AO, gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. El tamaño del ejecutable de esta versión, es de 68,608 bytes, y se ejecuta solo en Windows NT, 2000 y XP. Las principales diferencias con variantes anteriores son las siguientes: 1. Se copia con el siguiente nombre: c:\windows\system32\spolsv.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). 2. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SpoolService = spolsv.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices SpoolService = spolsv.exe 3. Esta versión no crea ningún nuevo servicio después de ejecutarse. Cómo variantes anteriores, posee un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. También intenta finalizar los procesos activos de una extensa lista de productos antivirus y cortafuegos (más de 450) y los procesos pertenecientes a otros gusanos, como el Blaster, etc. Las listas completas con todos los nombres de estos procesos, las puede consultar en la descripción de W32/Gaobot.AO. * Más información: W32/Gaobot.AO. Peligroso gusano y caballo de Troya http://www.vsantivirus.com/gaobot-ao.htm * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Editar el registro * NOTA IMPORTANTE: El gusano puede remover las unidades compartidas por defecto en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$). Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco puede ser finalizado desde el Administrador de tareas, ya que es capaz de lanzar un nuevo proceso antes de ser descargado de memoria el primero. En caso de querer detenerlo desde el Administrador, se despliega un mensaje de error, pero el servicio seguirá funcionando. También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o CMD.EXE). Para eliminarlo, renombre el archivo del editor del registro (REGEDIT.EXE), por ejemplo REG.EXE. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REG.EXE (si ese fuera el nuevo nombre), y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SpoolService 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SpoolService 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora en modo a prueba de fallas, y siga con las instrucciones que se dan a continuación. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system32\spolsv.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Vulnerabilidad en RPC (Remote Procedure Call) Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP. Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC). Descargue y ejecute el parche correspondiente (MS03-026, MS03-039), desde el siguiente enlace: MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1309 Año 8, viernes 6 de febrero de 2004