Mostrando mensaje 402     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1353 Año 8, sábado 20 de marzo de 2004 Fecha: Sabado, 20 de Marzo, 2004  07:59:48 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1353 Año 8, sábado 20 de marzo de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Fallo en Hotmail permite ataques XSS y otros 2 - W32/Lovgate.O. Gusano, troyano, virus 3 - W32/Lovgate.X. Gusano, troyano, virus 4 - W32/Lovgate.Y. Gusano, troyano, virus 5 - Troj/PWSteal.Bancos.H. Ataca a usuarios de bancos _____________________________________________________________ 1 - Fallo en Hotmail permite ataques XSS y otros _____________________________________________________________ http://www.vsantivirus.com/vul-hotmail-xss.htm Fallo en Hotmail permite ataques XSS y otros Por Marcelo A. Rodriguez marcelo-ar@videosoft.net.uy Fallo de validación en campo "Reply-To" de Hotmail permitiría ataques Cross-Site Scripting y otros Se ha descubierto una vulnerabilidad en el servicio de correo Hotmail. Un usuario remoto podría realizar ataques del tipo Cross-Site Scripting y otros ataques. Una vulnerabilidad CROSS-SITE-SCRIPTING (XSS), permite a un atacante introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado. Malware.com reporta que Hotmail no filtra el código HTML de los datos ingresados por un usuario en el campo "Subject" (Asunto) al responder a un mensaje recibido. Un usuario remoto puede enviar un mensaje de correo con una línea "Asunto" especialmente construida que contenga código script a un usuario atacado. Cuando el usuario atacado responda al mensaje, el código script será ejecutado por su navegador. El código se originará desde el sitio de Hotmail y se ejecutará en el contexto de seguridad de dicho sitio. Se provee un exploit de demostración en el reporte original: http://www.securityfocus.com/archive/1/357896 En el exploit, la línea asunto contiene un iframe que apunta a código malicioso, pero la referencia de dicho iframe está al final de una extensa línea en el asunto, por lo tanto, el usuario atacado podría no ser capaz de ver fácilmente dicha referencia. El código malicioso del ejemplo muestra una falsa pagina de "sign-in" a Hotmail solicitando el ingreso de E- mail y contraseña, pero envía esos datos de autenticación a un sitio remoto, lo cual permitiría robar la cuenta del usuario atacado. Descubierto por: 'http-equiv' ( www.malware.com ) Publicado en: http://www.securitytracker.com/alerts/2004/Mar/1009488.html NOTA: Hotmail parece haber solucionado esta vulnerabilidad, y estaría filtrando este tipo de asuntos, aunque no hay ningún comentario oficial al respecto. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Lovgate.O. Gusano, troyano, virus _____________________________________________________________ http://www.vsantivirus.com/lovgate-o.htm Nombre: W32/Lovgate.O Tipo: Gusano, caballo de Troya e infector de archivos Alias: Lovgate.O, I-Worm.LovGate.o, Win32.Lovgate.R, W32.Lovgate.Gen@mm, Win32/LovGate.R.Worm, W32/Lovgate.p@M, W32.HLLW.Lovgate.N@mm, Win32/Lovgate.W Plataforma: Windows 32-bit Tamaño: 105,586 bytes Fecha: 18/mar/04 Gusano que se propaga vía e-mail, a través de la utilidad de mensajería instantánea QQ Instant Messenger, y vía recursos compartidos en redes, liberando en este último caso las siguientes copias de si mismo en las carpetas compartidas con acceso de lectura y escritura: 100 free essays school.pif Age of empires 2 crack.exe AN-YOU-SUCK-IT.txt.pif Are you looking for Love.doc.exe autoexec.bat CloneCD + crack.exe How To Hack Websites.exe Mafia Trainer!!!.exe MoviezChannelsInstaler.exe MSN Password Hacker and Stealer.exe Panda Titanium Crack.zip.exe Sex_For_You_Life.JPG.pif SIMS FullDownloader.zip.exe Star Wars II Movie Full Downloader.exe The world of lovers.txt.exe Winrar + crack.exe Para aumentar las posibilidades de propagarse, crea un recurso compartido llamado "GAME", en la carpeta TEMP de Windows (TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo). Crea allí numerosas copias de si mismo, con nombres al azar y doble extensión: c:\windows\TEMP\[XXXX].avi.exe c:\windows\TEMP\[XXXX].dat.exe c:\windows\TEMP\[XXXX].doc.exe c:\windows\TEMP\[XXXX].gif.exe c:\windows\TEMP\[XXXX].htm.exe c:\windows\TEMP\[XXXX].jpg.exe c:\windows\TEMP\[XXXX].mp3.exe c:\windows\TEMP\[XXXX].rm.exe c:\windows\TEMP\[XXXX].txt.exe Donde [XXXX] es un nombre aleatorio escrito con mayúsculas. Crea un archivo AUTORUN.INF en el directorio raíz de cada unidad C: compartida, para ejecutarse automáticamente, conteniendo la siguiente instrucción: [Autorun] open="c:\sysboot.exe" /startexplorer El gusano también es capaz de copiarse a la carpeta compartida por la utilidad de intercambio de archivos entre usuarios, KaZaa, utilizando los siguientes nombres: [nombre con caracteres al azar] blackicepcpsetup_creak herosoft orcard_original_creak passware5.3 rainbowcrack-1.1-win realone setup w32dasm word_pass_creak wrar320sc Las extensiones de estos archivos serán cualquiera de las siguientes: .bat .exe .pif .scr A través del correo electrónico, se envía a si mismo como respuesta automática a todo mensaje recibido por el usuario infectado en el Outlook y Outlook Express, con el siguiente mensaje: De: [nombre del usuario infectado] Para: Asunto: RE: [asunto original] Texto: "<nombre del usuario infectado>" wrote: ==== > [Mensaje original, solo los primeros 512 caracteres] > ==== [dominio del remitente] account auto-reply: If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. > Get your FREE [dominio del remitente] account now! < Como archivo adjunto, uno de los siguientes: britney spears nude.exe.txt.exe deutsch bloodpatch!.exe dreamweaver mx (crack).exe dsl modem uncapper.rar.exe how to crack all gamez.exe i am for u.doc.exe industry giant ii.exe joke.pif macromedia flash.scr me_nude.avi.pif s3msong.mp3.pif setup.exe sex in office.rm.scr shakira.zip.exe starwars2 - cloneattack.rm.scr the hardcore game-.pif El gusano también recoge direcciones de correo desde archivos con extensión .HTA, .HTM y .HTML, que busca en el directorio actual y en las carpetas "Windows", y "Mis documentos", enviando un mensaje infectado consigo mismo, a todas dichas direcciones. El mensaje enviado puede ser cualquiera de los siguientes: Asunto: Reply to this! Texto: For further assistance, please contact! Datos adjuntos: About_Me.txt.pif Asunto: Let's Laugh Texto: Copy of your message, including all the headers is attached. Datos adjuntos: driver.exe Asunto: Last Update Texto: This is the last cumulative update. Datos adjuntos: Doom3 Preview!!!.exe Asunto: for you Texto: Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy) Datos adjuntos: enjoy.exe Asunto: Great Texto: Send reply if you want to be official beta tester. Datos adjuntos: YOU_are_FAT!.TXT.pif Asunto: Help Texto: This message was created automatically by mail delivery software (Exim). Datos adjuntos: Source.exe Asunto: Attached one Gift for u.. Texto: It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West). Datos adjuntos: Interesting.exe Asunto: Hi Texto: Adult content!!! Use with parental advisory. Datos adjuntos: README.TXT.pif Asunto: Hi Dear Texto: Patrick Ewing will give Knick fans something to cheer about Friday night. Datos adjuntos: images.pif Asunto: See the attachement Texto: Send me your comments... Datos adjuntos: Pics.ZIP.scr Cuando se instala por primera vez, el gusano crea los siguientes archivos: c:\sysboot.exe c:\windows\system\111.dll c:\windows\system\iexplore.exe c:\windows\system\ily668.dll c:\windows\system\internet.exe c:\windows\system\kernel66.dll c:\windows\system\ravmond.exe c:\windows\system\reg678.dll c:\windows\system\svch0st.exe c:\windows\system\task688.dll c:\windows\system\windriver.exe c:\windows\system\winexe.exe c:\windows\system\wingate.exe c:\windows\system\winhelp.exe c:\windows\systra.exe Note que el archivo "svch0st.exe" contiene un número CERO en lugar de una letra "O". El verdadero SVCHOST.EXE (con la "O"), es un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre este archivo. En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Los archivos .DLL corresponden a los componentes troyanos del gusano. Se agrega al registro, creando las siguientes entradas. Esto le permite auto ejecutarse cada vez que Windows se reinicie (no todas estas entradas pueden estar presentes): HKLM\Software\Microsoft\Windows\CurrentVersion\Run NetMeeting Remote Sharing = "Rundll32.exe msjdbc11.dll ondll_server" Network Associates, Inc. = "internet.exe" Program In Windows = "c:\windows\system\iexplore.exe" Remote Procedure Call Locator = "rundll32.exe reg678.dll ondll_reg" S0undMan = "c:\windows\system\svch0st.exe" VFW Encoder/Decoder Settings = "rundll32.exe mssign30.dll ondll_reg" WinGate initialize = "c:\windows\system\wingate.exe -remoteshell" WinHelp = "c:\windows\system\winhelp.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices SystemTra = "c:\windows\systra.exe /systra:kernel32.dll" HKLM\System\CurrentControlSet\Services\LanmanServer\Shares GAME = "CSCFlags=0" HKLM\System\CurrentControlSet\Services\ll_reg ImagePath = "rundll32.exe task688.dll ondll_server" En Windows NT, 2000 y XP, crea la siguiente entrada: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Run = "ravmond.exe" En Windows 95, 98 y Me, también cambia el archivo de inicio de Windows, WIN.INI, alterando la entrada "Run" bajo la etiqueta "[windows]": [Windows] run=c:\windows\system\ravmond.exe El componente troyano que se encuentra en los archivos .DLL, abre ciertos puertos e inmediatamente envía un mail de notificación a un usuario remoto, avisándole que la computadora infectada está conectada y puede ser accedida. Mediante comandos enviados por el intruso a través del puerto abierto, se puede obtener toda la información sensible de la computadora atacada, además de poder modificar la configuración del propio troyano. Puede crear hasta 10 hilos simultáneos, que intentan conectarse a otras máquinas remotas compartidas como IPC$ y lanzar entonces un ataque de fuerza bruta para poder acceder con nombre y usuario a las mismas. Para ello, utiliza una lista de contraseñas predefinidas: !@#$ !@#$% 000000 00000000 007 110 111 111111 11111111 121212 123 123123 1234 12345 123456 1234567 12345678 123456789 123abc 123asd 2002 2003 2600 321 54321 654321 666666 888888 88888888 aaa abc abc123 abcd abcdef abcdefg Admin admin123 administrator alpha asdf asdfgh computer database enable god godblessyou guest home Internet login love mypass mypass123 mypc mypc123 oracle owner pass passwd password pw123 pwd root secret server sex sql super sybase temp temp123 test test123 win xxx yxcv zxcv Si el ataque tiene éxito, copia el archivo "NetServices.exe" en la carpeta "\admin$\system32", y ejecuta dicho archivo como servicio con el nombre de "Microsoft NetWork FireWall Services". Otro componente, WIN32VXD.DLL, es utilizado para el robo de contraseñas, exportando la función "SetHook()" para localizar en todos los procesos abiertos que contengan "@" y "<>", la cadena "password" y "username". La información obtenida es almacenada en el siguiente archivo, y luego enviada a una dirección de correo electrónico: c:\netlog.txt Una vez activo en memoria, el gusano finaliza cualquier proceso que contenga una de las siguientes cadenas, con la intención de acabar con la ejecución de ciertos antivirus: duba gate kav kill kv mcafee nav ravmon.exe rfw.exe rising skynet symantec El gusano también puede infectar archivos .EXE en todas las unidades de disco duro, actuando como infector directo de archivos ejecutables de Windows. Los archivos infectados contienen tres componentes, el propio infector, el archivo original, y el cuerpo del gusano. En cada infección, el virus queda "dormido" por una hora y 30 segundos, antes de continuar infectando otros archivos. Cuando se ejecutan, se crean procesos separados para el ejecutable "normal" y el gusano. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\netlog.txt c:\sysboot.exe c:\windows\system\111.dll c:\windows\system\iexplore.exe c:\windows\system\ily668.dll c:\windows\system\internet.exe c:\windows\system\kernel66.dll c:\windows\system\ravmond.exe c:\windows\system\reg678.dll c:\windows\system\svch0st.exe c:\windows\system\task688.dll c:\windows\system\windriver.exe c:\windows\system\winexe.exe c:\windows\system\wingate.exe c:\windows\system\winhelp.exe c:\windows\systra.exe Note que el archivo "svch0st.exe" contiene un número CERO en lugar de una letra "O". El verdadero SVCHOST.EXE (con la "O"), es un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre este archivo. Borre todos estos archivos del directorio temporales de Windows: c:\windows\TEMP\[XXXX].avi.exe c:\windows\TEMP\[XXXX].dat.exe c:\windows\TEMP\[XXXX].doc.exe c:\windows\TEMP\[XXXX].gif.exe c:\windows\TEMP\[XXXX].htm.exe c:\windows\TEMP\[XXXX].jpg.exe c:\windows\TEMP\[XXXX].mp3.exe c:\windows\TEMP\[XXXX].rm.exe c:\windows\TEMP\[XXXX].txt.exe Donde [XXXX] es un nombre aleatorio escrito con mayúsculas. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas: NetMeeting Remote Sharing Network Associates, Inc. Program In Windows Remote Procedure Call Locator S0undMan VFW Encoder/Decoder Settings WinGate initialize WinHelp 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre las siguientes entradas: SystemTra 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \LanmanServer \Shares 7. Pinche en la carpeta "Shares" y en el panel de la derecha busque y borre la siguiente entrada: GAME 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \ll_reg 9. Pinche en la carpeta "ll_reg" y bórrela. 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 11. Pinche en la carpeta "Windows" y en el panel de la derecha busque y borre la siguiente entrada: Run = "ravmond.exe" 12. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [Windows] Run = [nombre del gusano] Debe quedar como: [Windows] Run = 3. Grabe los cambios y salga del bloc de notas. 4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Lovgate.X. Gusano, troyano, virus _____________________________________________________________ http://www.vsantivirus.com/lovgate-x.htm Nombre: W32/Lovgate.X Tipo: Gusano, caballo de Troya e infector de archivos Alias: Lovgate.X, I-Worm.LovGate.o, Win32.Lovgate.R, W32.Lovgate.Gen@mm, Win32/LovGate.R.Worm, W32/Lovgate.p@M, W32.HLLW.Lovgate.N@mm, Win32/Lovgate.X Plataforma: Windows 32-bit Tamaño: 105,472 bytes Fecha: 18/mar/04 Variante del gusano Lovgate.O, que se propaga vía e-mail, a través de la utilidad de mensajería instantánea QQ Instant Messenger, y vía recursos compartidos en redes. Es similar a la versión "O", salvo en el tamaño y en algunas entradas del registro. La descripción completa, incluidas todas las diferencias, en el siguiente enlace: W32/Lovgate.O. Gusano, troyano, virus http://www.vsantivirus.com/lovgate-o.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Lovgate.Y. Gusano, troyano, virus _____________________________________________________________ http://www.vsantivirus.com/lovgate-y.htm Nombre: W32/Lovgate.Y Tipo: Gusano, caballo de Troya e infector de archivos Alias: Lovgate.Y, I-Worm.LovGate.o, Win32.Lovgate.R, W32.Lovgate.Gen@mm, Win32/LovGate.R.Worm, W32/Lovgate.p@M, W32.HLLW.Lovgate.N@mm, Win32/Lovgate.Y Plataforma: Windows 32-bit Tamaño: 124,928 bytes Fecha: 18/mar/04 Variante del gusano Lovgate.O, que se propaga vía e-mail, a través de la utilidad de mensajería instantánea QQ Instant Messenger, y vía recursos compartidos en redes. Es similar a la versión "O", salvo en el tamaño y en algunas entradas del registro. La descripción completa, incluidas todas las diferencias, en el siguiente enlace: W32/Lovgate.O. Gusano, troyano, virus http://www.vsantivirus.com/lovgate-o.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Troj/PWSteal.Bancos.H. Ataca a usuarios de bancos _____________________________________________________________ http://www.vsantivirus.com/troj-bancos-h.htm Nombre: Troj/PWSteal.Bancos.H Tipo: Caballo de Troya robador de contraseñas Alias: PWSteal.Bancos.F Fecha: 16/mar/04 Plataforma: Windows 32-bit Reportado por: Symantec Tamaño: 1,671,168 bytes Es un caballo de Troya que se mimetiza con la interfase de acceso on-line de ciertos bancos de origen brasileño, para intentar robar los datos de las cuentas de sus clientes. Cuando se ejecuta, el troyano se copia en la siguiente ubicación: c:\windows\system\netadm7.exe Agrega los siguientes valores al registro de Windows, para auto ejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run NetAdm7 = c:\windows\system\netadm7.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices NetAdm7 = c:\windows\system\netadm7.exe NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003. Si existe el siguiente archivo: C:\BancoBrasil\officeIE\officeIE.CAB Entonces el troyano lo mueve a la siguiente ubicación: C:\officeIE.CAB Cuando está activo, el troyano monitorea todas las ventanas del Internet Explorer que sean abiertas. Cuando la página visitada corresponda a ciertas instituciones bancarias, el troyano muestra otra ventana, de acuerdo al título de la página y del banco visitado. Las páginas e instituciones afectadas son las siguientes: Banco do Brasil (Teclado virtual) Itaú Bankline Internet Banking Caixa (Ministerio da Fazenda) Bradesco Internet Banking (Banco Bradesco) Gerenciador Financeiro (Banco do Brasil) En todas, la ventana falsa pretende obtener datos como nombre de usuario, contraseñas, etc. Estos datos podrían ser subidos luego a un sitio FTP controlado por el autor del troyano. El troyano copia también su propia versión de la librería de Visual Basic 6, MSVBVM60.DLL: c:\windows\system\MSVBVM60.DLL No posee rutina de propagación, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargada de sitios maliciosos, o a través de redes P2P. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados: c:\windows\system\netadm7.exe c:\windows\system\MSVBVM60.DLL * Cómo recuperar MSVBVM60.DLL En Windows 98: 1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter. 2. Marque "Extraer un archivo del disco de instalación" 3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar: MSVBVM60.DLL 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC"). En Windows Me: 1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. 2. Pinche en el botón "Extraer archivo" 3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar: MSVBVM60.DLL 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups"). En Windows XP: 1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. 2. Pinche en el botón "Expandir archivo" 3. En "Archivo para restaurar" escriba el nombre del archivo a restaurar: MSVBVM60.DLL 4. En "Restaurar desde" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM32" (sin las comillas). 7. Pinche en "Expandir". * Cómo recuperar OFFICEIE.CAB Si existe el siguiente archivo en el raíz de la unidad C: C:\officeIE.CAB Muévalo a la siguiente ubicación para recuperar la funcionalidad de su software de conexión al banco: C:\BancoBrasil\officeIE\officeIE.CAB * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: NetAdm7 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: NetAdm7 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Si usted es usuario de alguna de las instituciones mencionadas, y su equipo ha sido infectado con este troyano, póngase de inmediato en contacto con dichas instituciones pues podría ser la víctima de un fraude. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1353 Año 8, sábado 20 de marzo de 2004