Mostrando mensaje 404     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1355 Año 8, lunes 22 de marzo de 2004 Fecha: Lunes, 22 de Marzo, 2004  06:39:34 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1355 Año 8, lunes 22 de marzo de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - W32/Netsky.Q. Puede ejecutarse sin abrir el mensaje 2 - Windows XP incorporará "centro de seguridad" _____________________________________________________________ 1 - W32/Netsky.Q. Puede ejecutarse sin abrir el mensaje _____________________________________________________________ http://www.vsantivirus.com/netsky-q.htm Nombre: W32/Netsky.Q Tipo: Gusano de Internet Alias: Netsky.Q, I-Worm.NetSky.q, Win32/Netsky.Q, W32.Netsky.P@mm, W32/Netsky.p@MM, WORM_NETSKY.P, Win32/Netsky.P.Worm, W32/Netsky.P@mm, W32/Netsky.p@MM, WORM_NETSKY.GEN Fecha: 22/mar/04 Plataforma: Windows 32-bit Tamaño: 29,568 bytes (UPX) Variante del gusano Netsky reportada el 22 de marzo de 2004. Se propaga por correo electrónico con numerosos asuntos, textos y nombres de adjuntos, y a través de redes P2P. El gusano se vale de una antigua vulnerabilidad del Internet Explorer (5.x), que permite que se ejecute el adjunto por solo leer el mensaje o verlo en el panel de vista previa (MIME header vulnerability). El mensaje modifica el encabezado MIME del mail, especificando que el adjunto se corresponde con uno de los tipos de extensión que el programa maneja en forma incorrecta, ejecutándolo. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados (fue corregido por Microsoft en marzo de 2001). Cuando se ejecuta, el gusano se copia a sí mismo en el directorio de Windows: c:\windows\fvprotect.exe c:\windows\userconfig9x.dll El .EXE llama al archivo .DLL (que incluye una sola función), y lo ejecuta. También crea los siguientes archivos: c:\windows\base64.tmp c:\windows\zip1.tmp c:\windows\zip2.tmp c:\windows\zip3.tmp c:\windows\zipped.tmp NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). El gusano crea la siguiente entrada en el registro, para auto ejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Norton Antivirus AV = c:\windows\fvprotect.exe También puede crear las siguientes entradas para ejecutarse como servicio: HKLM\SYSTEM\CurrentControlSet\Services\NPF HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom: .adb .asp .cgi .dbx .dhtm .doc .eml .htm .html .jsp .msg .oft .php .pl .rtf .sht .shtm .tbb .txt .uin .vbs .wab .wsh .xml Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo, enviando mensajes con las siguientes características, a las direcciones obtenidas antes: De: [remitente falso] Cualquier dirección de las obtenidas por el gusano en la máquina infectada. Asunto: [uno de los siguientes] approved corrected hello here hi important improved patched Re: Administration Re: Bad Request Re: Delivery Protection Re: Delivery Server Re: Encrypted Mail Re: Error Re: Extended Mail Re: Extended Mail System Re: Failure Re: Mail Authentification Re: Mail Server Re: Message Error Re: Notify Re: Protected Mail Delivery Re: Protected Mail Request Re: Protected Mail System Re: Secure delivery Re: Secure SMTP Message Re: SMTP Server Re: Status Re: Test Re: Thank you for delivery read it immediately thanks! Algunos de estos asuntos agregan un "Re:" al comienzo (aún los que ya lo tienen). Ejemplos: Re: Re: Mail Authentification Re: hello Texto del mensaje: [1]+[2]+[3] Donde [1] es uno de los siguientes elementos: Bad Gateway: The message has been attached. Delivered message is attached. Encrypted message is available. ESMTP [Secure Mail System #334]: Secure message is attached. First part of the secure mail is available. Follow the instructions t read the message. For further details see the attachment. For more details see the attachment. Forwarded message is available. New message is available. Now a new message is available. Partial message is available. Waiting for a Response. Please read the attachment. Please authenticate the secure message. Please confirm my request. Please read the attachment t get the message. Protected Mail System Test. Protected message is attached. Protected message is available. Secure Mail System Beta Test. SMTP: Please confirm the attached message. Waiting for authentification. You got a new message. You have received an extended message. Please read the instructions. Your requested mail has been attached. [2] es una de las siguientes líneas: Authentication required. I have attached your document. I have received your document. The corrected document is attached. Please confirm the document. Please read the attached file! Please read the document. Please read the important document. Please see the attached file for details. Requested file. See the file. Your details. Your document is attached t this mail. Your document is attached. Your document. Your file is attached. Y [3] es uno de los siguientes textos: +++ Attachment: N Virus found +++ MessageLabs AntiVirus - www.messagelabs.com +++ Attachment: N Virus found +++ Bitdefender AntiVirus - www.bitdefender.com +++ Attachment: N Virus found +++ MC-Afee AntiVirus - www.mcafee.com +++ Attachment: N Virus found +++ Kaspersky AntiVirus - www.kaspersky.com +++ Attachment: N Virus found +++ Panda AntiVirus - www.pandasoftware.com ++++ Attachment: N Virus found ++++ Norman AntiVirus - www.norman.com ++++ Attachment: N Virus found ++++ F-Secure AntiVirus - www.f-secure.com ++++ Attachment: N Virus found ++++ Norton AntiVirus - www.symantec.de Datos adjuntos: [varios nombres] Los nombres de los archivos adjuntos, son seleccionados de la siguiente lista (pueden existir otros): data details document message msg readme Puede agregar el nombre de usuario del correo electrónico al que se envía, separado por el carácter "_". Por ejemplo, si la dirección es jose@dominio.com, el adjunto podría tener uno de estos nombres: data_jose details_jose document_jose message_jose msg_jose readme_jose Los adjuntos utilizan algunas de estas extensiones: .doc [espacios vacíos].exe .doc [espacios vacíos].pif .doc [espacios vacíos].scr .doc.exe .doc.pif .doc.scr .exe .pif .scr .txt [espacios vacíos].exe .txt [espacios vacíos].pif .txt [espacios vacíos].scr .txt.exe .txt.pif .txt.scr .zip Donde [espacios vacíos] son de 60 a 80 caracteres en blanco. Ejemplos de nombres de adjuntos (enviados al usuario jose@dominio.com): details.doc .scr msg_jose.scr readme.txt.exe data.txt .pif Cuando el adjunto tiene extensión .ZIP, su contenido puede ser uno de los siguientes: data.rtf [espacios vacíos].scr details.txt [espacios vacíos].pif document.txt [espacios vacíos].exe El adjunto puede ejecutarse al leer el mensaje o al verlo en el panel de vista previa, en equipos con Internet Explorer 5.5 o inferior, sin los parches correspondientes. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados (fue corregido por Microsoft en marzo de 2001). Ver: Grave vulnerabilidad en extensiones MIME en IE http://www.vsantivirus.com/vulms01-020.htm El gusano posee su propio motor SMTP, y para el envío de los mensajes consulta al servidor de nombres configurado en la conexión actual. Evita enviarse a direcciones que contengan estas cadenas: @antivi @avp @bitdefender @fbi @f-pro @freeav @f-secur @kaspersky @mcafee @messagel @microsof @norman @norton @pandasof @skynet @sophos @spam @symantec @viruslis abuse@ noreply@ ntivir reports@ spam@ El gusano también examina el sistema en busca de carpetas que contengan en su nombre alguna de las siguientes cadenas (suelen ser carpetas compartidas por utilidades P2P de intercambio de archivos entre usuarios, como KaZaa y otras): bear donkey download ftp htdocs http icq kazaa lime morpheus mule my shared folder shar shared files upload En cada una de las carpetas cuyo nombre contenga algunas de esas cadenas, creará una copia de si mismo con los siguientes nombres, buscando propagarse a través de redes P2P: 1001 Sex and more.rtf.exe 3D Studio Max 6 3dsmax.exe ACDSee 10.exe Adobe Photoshop 10 crack.exe Adobe Photoshop 10 full.exe Adobe Premiere 10.exe Ahead Nero 8.exe Altkins Diet.doc.exe American Idol.doc.exe Arnold Schwarzenegger.jpg.exe Best Matrix Screensaver new.scr Britney sex xxx.jpg.exe Britney Spears and Eminem porn.jpg.exe Britney Spears blowjob.jpg.exe Britney Spears cumshot.jpg.exe Britney Spears fuck.jpg.exe Britney Spears full album.mp3.exe Britney Spears porn.jpg.exe Britney Spears Sexy archive.doc.exe Britney Spears Song text archive.doc.exe Britney Spears.jpg.exe Britney Spears.mp3.exe Clone DVD 6.exe Cloning.doc.exe Cracks & Warez Archiv.exe Dark Angels new.pif Dictionary English 2004 - France.doc.exe DivX 8.0 final.exe Doom 3 release 2.exe E-Book Archive2.rtf.exe Eminem blowjob.jpg.exe Eminem full album.mp3.exe Eminem Poster.jpg.exe Eminem sex xxx.jpg.exe Eminem Sexy archive.doc.exe Eminem Song text archive.doc.exe Eminem Spears porn.jpg.exe Eminem.mp3.exe Full album all.mp3.pif Gimp 1.8 Full with Key.exe Harry Potter 1-6 book.txt.exe Harry Potter 5.mpg.exe Harry Potter all e.book.doc.exe Harry Potter e book.doc.exe Harry Potter game.exe Harry Potter.doc.exe How to hack new.doc.exe Internet Explorer 9 setup.exe Kazaa Lite 4.0 new.exe Kazaa new.exe Keygen 4 all new.exe Learn Programming 2004.doc.exe Lightwave 9 Update.exe Magix Video Deluxe 5 beta.exe Matrix.mpg.exe Microsoft Office 2003 Crack best.exe Microsoft WinXP Crack full.exe MS Service Pack 6.exe netsky source code.scr Norton Antivirus 2005 beta.exe Opera 11.exe Partitionsmagic 10 beta.exe Porno Screensaver britney.scr RFC compilation.doc.exe Ringtones.doc.exe Ringtones.mp3.exe Saddam Hussein.jpg.exe Screensaver2.scr Serials edition.txt.exe Smashing the stack full.rtf.exe Star Office 9.exe Teen Porn 15.jpg.pif The Sims 4 beta.exe Ulead Keygen 2004.exe Visual Studio Net Crack all.exe Win Longhorn re.exe WinAmp 13 full.exe Windows 2000 Sourcecode.doc.exe Windows 2003 crack.exe Windows XP crack.exe WinXP eBook newest.doc.exe XXX hardcore pics.jpg.exe Crea dos mutex, "'D'r'o'p'p'e'd'S'k'y'N'e't'" y "_-oO]xX|-S- k-y-N-e-t-|Xx[Oo-_", para no ejecutarse más de una vez en memoria. El gusano intenta eliminar los datos agregados en el registro por otros gusanos. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\base64.tmp c:\windows\fvprotect.exe c:\windows\userconfig9x.dll c:\windows\zip1.tmp c:\windows\zip2.tmp c:\windows\zip3.tmp c:\windows\zipped.tmp Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Norton Antivirus AV 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \NPF 5. Pinche en la carpeta "NPF" y bórrela. 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Enum \Root \LEGACY_NPF 7. Pinche en la carpeta "LEGACY_NPF" y bórrela. 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Windows XP incorporará "centro de seguridad" _____________________________________________________________ http://www.vsantivirus.com/dt22-03-04.htm Windows XP incorporará "centro de seguridad" Fuente: diarioti.com (*) http://www.diarioti.com/ Microsoft está haciendo los ajustes finales a su gran –y probablemente última– actualización de Windows XP. La gran novedad es una nueva central común de seguridad en Service Pack 2. La última versión disponible (Release Candidate 1) se diferencia bastante de la versión beta distribuida por Microsoft en diciembre de 2003. La mayor diferencia radica en que XP ahora es administrado por una herramienta única que controla elementos como las preferencias de Internet Explorer, la configuración de redes en el panel de control y la actualización en línea del sistema operativo. XP también incluye una aplicación denominada Centro de Seguridad de Windows, integrada por una serie de herramientas que facilitan el balance entre seguridad y facilidad de uso en zonas como Internet y la red interna. Comentando las novedades de la próxima actualización de Windows XP, Greg Sullivan, portavoz de Microsoft, comentó a News.com que "El Windows actual contiene tecnologías que protegen a los usuarios de los riesgos informáticos. Sin embargo, admito que quizás no hemos hecho un buen trabajo comunicando lo anterior a los usuarios". La versión definitiva de Service Pack 2 para Windows XP se espera para el próximo verano boreal. (*) Este artículo fue publicado originalmente en DiarioTI, y se reproduce en VSAntivirus respetando las condiciones legales exigidas por dicha publicación: http://www.diarioti.com/gate/legal.php (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1355 Año 8, lunes 22 de marzo de 2004