Mostrando mensaje 369     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1320 Año 8, martes 17 de febrero de 2004 Fecha: Martes, 17 de Febrero, 2004  06:15:04 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1320 Año 8, martes 17 de febrero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Exploit basado en fuga del código fuente de Windows 2 - Fallo en IE 5 al procesar archivos bitmap 3 - Fallo en eTrust antivirus al examinar archivos ZIP 4 - W32/Vesser.C (Deadhat.C). Se aprovecha del Mydoom 5 - W32/Netsky.A (Moodown). Asunto: Auction successful! _____________________________________________________________ 1 - Exploit basado en fuga del código fuente de Windows _____________________________________________________________ http://www.vsantivirus.com/ev-17-02-04.htm Exploit basado en fuga del código fuente de Windows Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Apenas dos días después de que partes del código fuente de Windows 2000 Service Pack 1, fueron publicadas en Internet, ha aparecido en varias listas de seguridad, el primer exploit que saca ventajas de un error descubierto en estas fuentes, ahora abiertas al público en general. La vulnerabilidad engaña al Internet Explorer sobre las direcciones donde almacena las imágenes en mapas de bits. Con un archivo bitmap (BMP) especialmente modificado, se puede causar un desbordamiento de búfer o hasta ejecutar código en forma arbitraria en el sistema vulnerable. El autor del reporte, publicado aparentemente con intenciones malévolas, indica que el error fue descubierto al analizar el archivo IMGBMP.CXX dentro del código fuente de Windows. Cómo la prensa ha publicado en los últimos días, parte del código fuente de Windows 2000 Service Pack 1, fue filtrado a la red, y distribuido masivamente a través de programas de intercambio de archivos. No se trata del código completo, como se sospechaba en un principio, sino de ciertas secciones que fueron licenciadas por Microsoft a un antiguo socio, Mainsoft, como parte de la iniciativa conocida como Windows Interface Source Environment (WISE), creada para permitir que diferentes desarrolladores transportaran aplicaciones originalmente para Windows, al código nativo de sistemas Unix (y Linux). Aún no está claro cómo pudo ocurrir esta fuga de datos, teniendo en cuenta además que este código ya tiene casi cuatro años de escrito. El hecho de que solo sea parte del código completo, además del tiempo que ya tiene el mismo, hace que el daño causado a Microsoft sea mucho menor del esperado en un primer momento. Básicamente, se trata de un golpe a la propiedad intelectual de la empresa, más que a su seguridad. Y ello, aún cuando acaba de aparecer un exploit que dice basarse maliciosamente en dicho código para causar cierto daño. Y es que éste exploit afecta solo a versiones ya obsoletas del Internet Explorer 5. Todas las posibles vulnerabilidades que allí puedan existir, fueron arregladas con la liberación del IE 6.0 o IE 6.0 Service Pack 1. Pero aunque el IE 6.0 es una actualización totalmente gratuita (y además integrada a Windows XP), el IE 5.0 y 5.5 (este último parte de Windows Me), continúan siendo utilizados por más del 25 por ciento de los internautas, según recientes estadísticas de sitios como OneStat.com. Según informa BetaNews, un vocero de la compañía ha confirmado que Microsoft está investigando este exploit. "Esta vulnerabilidad en particular, ha sido identificada y reparada en el IE 6.0 SP1, en agosto de 2002. Microsoft continúa recomendando a sus clientes que mantengan al día su software con los últimos parches y actualizaciones. Los usuarios de Windows XP SP1 o Windows Server 2003 que han instalado todas las últimas actualizaciones, no son impactados", dijo el vocero. Microsoft también ha dicho que las futuras versiones del Internet Explorer estarán disponibles solamente con las mejoras del sistema operativo, esperándose el IE 7.0 con el Longhorn, la futura nueva versión de Windows. Esta decisión podría plantear algunos problemas a los usuarios que no desean o no pueden actualizarse, o forzaría a Microsoft a publicar parches de seguridad para productos obsoletos, a medida que piratas informáticos encuentren otros agujeros en el código fuente que ha sido hecho público. "La exposición parcial de este código, puede proporcionar a los atacantes un limitado incremento en su habilidad de encontrar nuevos o desconocidos agujeros. Microsoft está revisando el material hecho público, para identificar aquellas áreas que pudieran ser explotadas, y luego tomar las medidas necesarias para proteger a nuestros clientes", dijo el vocero. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=3 94 * Más información: Fallo en IE 5 al procesar archivos bitmap http://www.vsantivirus.com/exp-ie5-bitmap.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Fallo en IE 5 al procesar archivos bitmap _____________________________________________________________ http://www.vsantivirus.com/exp-ie5-bitmap.htm Fallo en IE 5 al procesar archivos bitmap Por Marcelo A. Rodriguez marcelo-ar@videosoft.net.uy Se ha reportado una vulnerabilidad en Microsoft Internet Explorer 5 que podría permitir la ejecución de código arbitrario en un sistema atacado. Un usuario remoto puede crear un archivo de mapa de bits (bitmap) especialmente modificado, que al ser cargado por el IE ocasionará un "Integer Overflow". Un desbordamiento de entero o "integer overflow", es cuando una variable definida como entera, sobrepasa los valores asignados. Esto podría permitir la ejecución de código arbitrario con los privilegios del usuario atacado. El autor informa que esta falla la descubrió al revisar el código fuente de Microsoft Windows recientemente filtrado en Internet. [Nota VSA: ver http://www.vsantivirus.com/15-02- 04.htm] La falla reportada reside en 'win2k/private/inet/mshtml/src/site/download/imgbmp.cxx' El reporte indica que Internet Explorer 6 no está afectado. Se provee un exploit de demostración en el código del mensaje original (codificado en base64) http://lists.netsys.com/pipermail/full-disclosure/2004- February/017364.html [Nota VSA: Al intentar visualizar un mensaje como el indicado en el Outlook Express 5, dicho gestor falla y se cierra con un error] Descubierto por: .gta Publicado en: http://www.securitytracker.com/alerts/2004/Feb/1009067.html * Relacionados: Exploit basado en fuga del código fuente de Windows http://www.vsantivirus.com/ev-17-02-04.htm Fuga de código: se alejan los temores de desastre http://www.vsantivirus.com/16-02-04.htm Microsoft investiga fuga del código fuente de Windows http://www.vsantivirus.com/15-02-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Fallo en eTrust antivirus al examinar archivos ZIP _____________________________________________________________ http://www.vsantivirus.com/vul-etrust-scan-zip.htm Fallo en eTrust antivirus al examinar archivos ZIP Por Marcelo A. Rodriguez marcelo-ar@videosoft.net.uy Se reporta una vulnerabilidad en eTrust Antivirus 7.x para Windows NT/2000/XP que permite que archivos ZIP con virus no sean detectados. El motor de escaneo no maneja correctamente los archivos ZIP que contienen archivos protegidos con clave. El problema es que dicho motor no examina los archivos restantes luego que un archivo protegido por clave ha sido escaneado, lo cual puede permitir que un archivo infectado no sea detectado. Ejemplo: si un archivo ZIP contiene un archivo protegido por clave y uno infectado, luego de examinar el protegido, eTrust no revisará el que tiene virus. La solución es aplicar este parche para nivel 0302 (Build 139) o superior. ftp://ftp.ca.com/pub/unicenter/eTrust/AntiVirus/7.0/nt/qo5056 3/QO50563.exe ftp://ftp.ca.com/pub/unicenter/eTrust/AntiVirus/7.0/nt/qo5056 3/QO50563.CAZ Este fallo fue reportado por el fabricante. Mas información: http://support.ca.com/Download/patches/ilitnt/QO50563.html Publicado en: http://secunia.com/advisories/10874/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Vesser.C (Deadhat.C). Se aprovecha del Mydoom _____________________________________________________________ http://www.vsantivirus.com/vesser-c.htm Nombre: W32/Vesser.C Tipo: Gusano de Internet Alias: Vesser.C, Deadhat.C, Win32/Vesser.C, W32.HLLW.Deadhat.C, W32/Deadhat.worm.c, W32/Deadhat-C, Win32.Vesser.C, W32/Vesser.worm.c, New Malware.b, WORM_DEADHAT.C, W32/Deadhat.C.worm, W32/Vesser.worm.b Fecha: 16/feb/04 Plataforma: Windows 32-bit Tamaño: 55,808 bytes Puertos: TCP/2766, TCP/3127, TCP/3128 y TCP/1080 Esta nueva variante de Vesser (o Deadhat), fue reportada por primera vez el 16 de febrero de 2004. Cómo su predecesor, se propaga a través del acceso trasero (backdoor), creado por el gusano Mydoom A y B, en las máquinas infectadas por él, así como a través de las redes P2P de SoulSeek. Puede propagarse también, a través de unidades de red mapeadas como C, D, E o F. Son vulnerables todas las máquinas infectadas con el gusano Win32/Mydoom.A y Win32/Mydoom.B (más de un millón de equipos estimados en el mundo entero). El gusano posee características de caballo de Troya con acceso remoto por puerta trasera (backdoor), controlado vía IRC (Internet Relay Chat), lo que permite que un intruso pueda acceder a la computadora infectada y ejecutar comandos. También posee un servidor proxy HTTP, de modo que cualquier atacante puede utilizar la máquina infectada como lanzadera de otros programas, e incluso correo spam. El gusano puede finalizar numerosas aplicaciones de seguridad, incluyendo conocidos antivirus y cortafuegos. Además, intenta desinstalar las versiones A y B del Mydoom. En ocasiones, puede borrar ciertos archivos de Windows, dificultando su correcta ejecución al reiniciarse éste. Cuando el gusano se ejecuta, se copia en el siguiente archivo: c:\winnt\system32\lmss.exe NOTA: "c:\winnt\system32\lmss.exe" está escrito literalmente en su código. Agrega la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run KernelFaultChk = c:\winnt\system32\lmss.exe El gusano busca la carpeta compartida de la utilidad P2P SoulSeek, y se copia en ella con uno de los siguientes nombres por vez, cada vez que el gusano se ejecuta: ALL.SERIALS.COLLECTION.2003-2004.EXE BlindWrite.Suite.v4.5.2.Serial.Generator.exe FlashFXP.v2.1.FINAL.Crack.exe FRUITYLOOPS.SPYWIRE.FIX.EXE F-Secure.Antivirus.Keymkr.exe GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe mIRC.v6.12.Keygen.exe Norton.All.Products.KeyMkr.exe SecureCRTPatch.exe Serv-U.allversions.keymaker.exe TweakXPProKeyGenerator.exe WinAmp5.Crack.exe Windows2003Keygen.exe WinRar.exe WinRescue.XP.v1.08.14.exe WinXPKeyGen.exe WinZip.exe Cuando se ejecuta uno de estos archivos, se muestra una ventana con un mensaje de error falso: Corrupted File Error executing program! [ Aceptar ] Luego, se ejecuta el gusano. Intenta finalizar los siguientes procesos asociados con el software de conocidos antivirus y cortafuegos: _avp ackwin32 apvxdwin avconsol ave32 avgcc32 avgctrl avgw avkserv avnt avp avsched32 avwin95 avwupd32 Azonealarm blackd blackice dv95 ecengine efinet32 esafe espwatch f-agnt95 fprot f-prot f-prot95 f-prot95 fp-win frw f-stopw gibe iamapp iamserv ibmasn ibmavsp icload95 icloadnt icmon icmoon icssuppnt icsupp iface iomon98 kfp4gui kfp4ss kpfw32 navapw32 navlu32 navnt navsched navw nisum nmain normist nupdate nupgrade nvc95 zapro zonealarm Intenta finalizar además, los siguientes procesos asociados con el gusano Mydoom: attackXP-6.71 BlackIce_Firewall_Enterpriseactivation_crack body data doc document file message MS59-56_hotfix NessusScan_pro readme taskmon test text winamp0 xsharez_scanner zapSetup_95_693 También borra las siguientes entradas en el registro, creadas por el Mydoom: HKLM\Software\Microsoft\Windows \CurrentVersion\Run\TaskMon HKLM\Software\Microsoft\Windows \CurrentVersion\Run\Explorer HKCU\CLSID \{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32 HKCR\CLSID \{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32 Intenta conectarse a direcciones IP secuenciales, en los puertos 3127, 3128, y 1080 (utilizados por el Mydoom). Cuando se establece una conexión, el gusano envía una copia de si mismo, que reemplaza al servidor del propio Mydoom en la máquina remota. También puede propagarse a través de recursos compartidos en redes, mapeados como unidades C, D, E o F. El componente troyano, queda a la escucha por el puerto TCP/2766. Si un cliente remoto se conecta a este puerto, el troyano envía la siguiente respuesta falsa: SSH-2.0-OpenSSH_3.7.1p2 \m/ También se conecta a un servidor IRC por el puerto TCP/6667, y se une a un canal determinado, quedando a la espera de comandos, que le permiten a un usuario remoto, realizar las siguientes acciones: º Realizar flooding (inundar un servidor IRC de falsas solicitudes) º Agregar, borrar o listar servidores º Finalizar la conexión º Cambiar el nick (nombre de usuario) º Ejecutar comandos El gusano puede borrar los siguientes archivos: c:\autoexec.bat c:\boot.ini c:\config.sys c:\windows\system.ini c:\windows\win.ini c:\windows\wininit.ini c:\winnt\system.ini c:\winnt\win.ini c:\winnt\wininit.ini Cómo su antecesor, esconde en su código, parte de la letra, en este caso de otro tema de un concierto en vivo de The Doors, "Dead cat, dead rat...". Dead cats, dead rats, Can't see what they were at, all right, Dead cat in a top hat, wow, Sucking on the young man's blood, Wishing he could come, yeah, Sucking on the soldier's brain, Wishing it would be the same, Dead cat, dead rat, Can't you see what they were at?, Fat cat in a top hat, Thinks he's an aristocrat, Thinks he can kill and slaughter, Thinks he can shoot my daughter, Yeah right! Oh yeah!, Oh right! Yeeah!, Dead cats, dead rats, Think they're an aristocrat, Crap, now that's crap!. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\winnt\system32\lmss.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: KernelFaultChk 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Borrar gusano Mydoom Para eliminar todo rastro del Mydoom, siga estos pasos: W32/Mydoom.A. Gusano de gran propagación http://www.vsantivirus.com/mydoom-a.htm W32/Mydoom.B (Novarg.B). Segunda variante de este gusano http://www.vsantivirus.com/mydoom-b.htm * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Netsky.A (Moodown). Asunto: Auction successful! _____________________________________________________________ http://www.vsantivirus.com/netsky-a.htm Nombre: W32/Netsky.A (Moodown) Tipo: Gusano de Internet Alias: Netsky, Moodown, I-Worm.Moodown, W32/Netsky.A, W32/Netsky.a@MM, W32/Netsky.A.worm Fecha: 17/feb/04 Plataforma: Windows 32-bit Tamaño: 21,504 bytes Este gusano, escrito en Microsoft Visual C++ y comprimido con la utilidad UPX, fue reportado por primera vez el 16 de febrero de 2004, enviado masivamente en forma de spam, como archivo adjunto, dentro de un .ZIP. Cuando se ejecuta, muestra una ventana de error falsa con el siguiente texto: Error The file could not be opened! [ OK ] Luego, el gusano se copia a si mismo en el directorio de Windows: c:\windows\services.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea también, la siguiente entrada en el registro, para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run service = c:\windows\services.exe Además, crea las siguientes entradas: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Taskmon Explorer system. KasperskyAv HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Taskmon Explorer HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices system. HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87- 00AA005127ED}\InProcServer32 El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom: .adb .asp .dbx .doc .eml .htm .html .msg .oft .php .pl .rtf .sht .tbb .txt .uin .vbs .wab Si el gusano detecta alguna carpeta cuyo nombre contenga las palabras "sharing" o "share", se copia a si mismo a dichas carpetas con los siguientes nombres: angels.pif cool screensaver.scr dictionary.doc.exe dolly_buster.jpg.pif doom2.doc.pif e.book.doc.exe e-book.archive.doc.exe eminem - lick my pussy.mp3.pif hardcore porn.jpg.exe how to hack.doc.exe matrix.scr max payne 2.crack.exe nero.7.exe office_crack.exe photoshop 9 crack.exe porno.scr programming basics.doc.exe rfc compilation.doc.exe serial.txt.exe sex sex sex sex.doc.exe strippoker.exe virii.scr win longhorn.doc.exe winxp_crack.exe Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo. Primero genera un .ZIP conteniendo alguno de estos archivos: prod_info_04155.bat prod_info_04650.bat prod_info_33325.txt.exe prod_info_33462.cmd prod_info_33543.rtf.scr prod_info_33967.cmd prod_info_34157.htm.exe prod_info_42313.pif prod_info_42314.pif prod_info_42818.pif prod_info_43631.doc.exe prod_info_43859.htm.scr prod_info_47532.doc.scr prod_info_49146.exe prod_info_49541.exe prod_info_54234.scr prod_info_54235.scr prod_info_54433.doc.exe prod_info_54739.scr prod_info_55761.rtf.exe prod_info_56474.txt.exe prod_info_56780.doc.exe prod_info_65642.rtf.scr prod_info_77256.txt.scr prod_info_87968.htm.scr El nombre del ZIP será igual al del archivo contenido en él (pero con extensión .ZIP). Por ejemplo, el archivo PROD_INFO_49146.ZIP contiene el archivo: PROD_INFO_49146.EXE. El gusano crea mensajes con las siguientes características: De: [uno de los siguientes remitentes] EBay Auctions <responder@ebay.com> Yahoo Auctions <auctions@yahoo.com> Amazon automail <responder@amazon.com> MSN Auctions <auctions@msn.com> QXL Auctions <responder@qxl.com> Ebay Auctions <responder@ebay.com> Asunto: Auction successful! Texto del mensaje: #--------- message was sent by automail agent ---------# Congratulations! You were successful in the auction. Auction ID [número al azar] Product ID [número al azar] A detailed description about the product and the bill are attached to this mail. Please contact the seller immediately Thank you! Datos adjuntos: [Uno de los siguientes nombres] prod_info_04155.zip prod_info_04650.zip prod_info_33325.zip prod_info_33462.zip prod_info_33543.zip prod_info_33967.zip prod_info_34157.zip prod_info_42313.zip prod_info_42314.zip prod_info_42818.zip prod_info_43631.zip prod_info_43859.zip prod_info_47532.zip prod_info_49146.zip prod_info_49541.zip prod_info_54234.zip prod_info_54235.zip prod_info_54433.zip prod_info_54739.zip prod_info_55761.zip prod_info_56474.zip prod_info_56780.zip prod_info_65642.zip prod_info_77256.zip prod_info_87968.zip prod_info_04155.bat prod_info_04650.bat prod_info_33325.txt.exe prod_info_33462.cmd prod_info_33543.rtf.scr prod_info_33967.cmd prod_info_34157.htm.exe prod_info_42313.pif prod_info_42314.pif prod_info_42818.pif prod_info_43631.doc.exe prod_info_43859.htm.scr prod_info_47532.doc.scr prod_info_49146.exe prod_info_49541.exe prod_info_54234.scr prod_info_54235.scr prod_info_54433.doc.exe prod_info_54739.scr prod_info_55761.rtf.exe prod_info_56474.txt.exe prod_info_56780.doc.exe prod_info_65642.rtf.scr prod_info_77256.txt.scr prod_info_87968.htm.scr Para infectarse, el usuario debe abrir y ejecutar el adjunto. El gusano crea el mutex (semáforo), "AdmMoodownJklS003", para no ejecutarse más de una vez al mismo tiempo. Contiene la siguiente cadena ("This is the [W32.Skynet.cz] AnTiViRuS - we want to kill malware writers!"), que no es mostrada en ningún momento: #T#h#i#s# #i#s# #t#h#e# #[#W#3#2#.#S#k#y#n#e#t#.#c#z#]# #A#n#T#i#V#i#R#u#S# #-# #w#e# #w#a#n#t# #t#o# #k#i#l#l# #m#a#l#w#a#r#e# #w#r#i#t#e#r#s#!# * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\services.exe IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SERVICES.EXE, ya que es un archivo legítimo de Windows. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: service Taskmon Explorer system. KasperskyAv 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: system. 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Taskmon Explorer 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1320 Año 8, martes 17 de febrero de 2004