Mostrando mensaje 421     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1372 Año 8, jueves 8 de abril de 2004 Fecha: Jueves, 8 de Abril, 2004  08:06:37 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1372 Año 8, jueves 8 de abril de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - WinAmp puede permitir la ejecución de código malicioso 2 - RealPlayer y RealOne Player pueden ejecutar código 3 - W32/Netsky.V. Puede descargar y ejecutar archivos 4 - W32/Bagle.X. Instala un servidor proxy 5 - Troj/Down.Small.HG. Descarga y ejecuta troyano _____________________________________________________________ 1 - WinAmp puede permitir la ejecución de código malicioso _____________________________________________________________ http://www.vsantivirus.com/vul-winamp-in_mod.htm WinAmp puede permitir la ejecución de código malicioso Por Angela Ruiz angela@videosoft.net.uy NGSSoftware ha descubierto una vulnerabilidad crítica en WinAmp, que puede ser explotada por un usuario malicioso para comprometer al sistema del usuario, pudiendo incluso ejecutar código en forma arbitraria, simplemente al intentar éste reproducir un determinado tipo de archivo musical. WinAmp es un reproductor multimedia utilizado ampliamente por millones de usuarios. La versión 5.02 (y posiblemente todas las anteriores), posee un desbordamiento de pila en el módulo IN_MOD.DLL, un plugin que procesa los archivos de música MOD en formato Fasttracker 2, los que generalmente poseen extensión .XM. El fallo puede ser explotado, engañando al usuario para la descarga de un archivo de esas características, de modo que cuando el WinAmp intente reproducirlo, se produzca la ejecución arbitraria de un código no esperado, lo que abre un nuevo terreno para los autores de virus y troyanos. Cómo la mayoría de los reproductores, WinAmp no utiliza la extensión para identificar el tipo de archivo a reproducir. De ese modo, un atacante podría enviar un .XM modificado para explotar la falla, renombrado como cualquier otra clase de archivos soportados por el programa (por ejemplo MP3). Al abrirlo el WinAmp, lo intentaría ejecutar como lo que realmente es, un archivo .XM, utilizando el plugin vulnerable (IN_MOD.DLL), lo que causaría a sui vez, la ejecución del código malicioso. Como los archivos MP3 son ampliamente distribuidos en redes P2P, el fallo puede ser muy grave si surge alguna clase de gusano que lo explote. Se aconseja descargar e instalar urgentemente la última versión de WinAmp (5.03 o superior), que corrige esta vulnerabilidad. Alternativamente, se puede desactivar el soporte para Fasttracker 2. Para ello siga estos pasos: 1. Botón derecho en la ventana del reproductor WinAmp, seleccione "Options" y luego "Preferences...". 2. Seleccione en la nueva ventana, "Plug-ins" e "Input". 3. Seleccione de la lista "Nullsoft Module Decoder" y haga doble clic sobre esa opción para acceder a la ventana de preferencias (Nullsoft Module Decoder Preferences). 4. Seleccione el cargador "Fasttracker 2" y desmarque la opción "Enabled" a la derecha de la lista de cargadores. 5. Cierre todas las ventanas de opciones del programa. * Descarga de WinAmp: http://www.winamp.com/player/ * Fuente: Nullsoft WinAmp 'in_mod.dll' Heap Overflow http://www.nextgenss.com/advisories/winampheap.txt (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - RealPlayer y RealOne Player pueden ejecutar código _____________________________________________________________ http://www.vsantivirus.com/vul-realplayer-r3t.vul RealPlayer y RealOne Player pueden ejecutar código Por Angela Ruiz angela@videosoft.net.uy RealNetworks Inc. ha publicado una actualización de seguridad para resolver puntos vulnerables en sus productos. Estos fallos, pueden provocar que un intruso ejecute código en forma arbitraria en un equipo remoto, debido a un desbordamiento de búfer en un componente compartido por los productos de la compañía. Según RealNetworks, su software es vulnerable solamente si el usuario ha descargado o posee instalado el plug-in "Rich Text 3D" (R3T). Son vulnerables RealPlayer 8, RealOne Player, RealOne Player v2 para Windows (en todos los idiomas), versión beta de RealPlayer 10 (sólo en inglés) y RealPlayer Enterprise (en todas las versiones, independiente y configurado por RealPlayer Enterprise Manager). RealPlayer 10 Gold no es vulnerable, ya que el componente afectado, en caso de estar presente, se elimina durante la instalación. Se recomienda la actualización a las nuevas versiones a la brevedad posible, desde el siguiente enlace: http://www.service.real.com/realplayer/downloads/ Para actualizar desde el propio reproductor, siga estos pasos: 1. Usuarios de RealOne Player, RealOne Player v2 y la versión beta de RealPlayer 10: a. En el menú Herramientas, seleccione Buscar actualizaciones. b. Seleccione la casilla junto al componente "Security Update - Remove Rich Text 3D" (Actualización de seguridad - Eliminar Rich Text 3D). Si el componente no aparece en la lista, no tiene el plug-in vulnerable. c. Si el componente está presente, haga clic en Instalar para descargar e instalar la actualización. 2. Usuarios de RealPlayer v8 (versión 6.0.9.584): a. En el menú Ayuda, seleccione Buscar actualizaciones. b. Seleccione la casilla junto al componente "Security Update - Remove Rich Text 3D" (Actualización de seguridad - Eliminar Rich Text 3D). Esta opción está disponible para todos los usuarios de RealPlayer 8. Aunque solamente un pequeño porcentaje de usuarios tendrán Rich Text 3D instalado, el uso de esta actualización de seguridad como precaución no tendrá ningún efecto negativo en su reproductor actual. c. Si el componente está presente, haga clic en Instalar para descargar e instalar la actualización. * Más información: RealNetworks Inc. lanza una actualización de seguridad para resolver puntos vulnerables. www.service.real.com/help/faq/security/040406_r3t/es-xm/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Netsky.V. Puede descargar y ejecutar archivos _____________________________________________________________ http://www.vsantivirus.com/netsky-v.htm Nombre: W32/Netsky.V Tipo: Gusano de Internet Alias: Netsky.V, I-Worm.NetSky.v, Win32/Netsky.U, W32/Netsky- U, W32.Netsky.U@mm, W32/Netsky.u@MM, WORM_NETSKY.U, Win32/Netsky.U.Worm, W32/Netsky.U@mm, W32/Netsky.u@MM, Worm/Netsky.#1 Fecha: 7/abr/04 Plataforma: Windows 32-bit Tamaño: 18,432 bytes (UPX) Puerto: TCP/6789 Variante del gusano Netsky, basada en las versiones "T" y "U", y reportada el 7 de abril de 2004. Algunos fabricantes reconocen esta versión como "Netsky.U". Se propaga por correo electrónico con numerosos asuntos y textos. El adjunto es un archivo con extensión .PIF. No se propaga por redes P2P, ni intenta desinstalar a ningún otro gusano. Posee un componente troyano de acceso remoto por puerta trasera (backdoor), que permite a un atacante descargar y ejecutar un archivo en la máquina infectada. Cuando se ejecuta por primera vez, el gusano crea los siguientes archivos en el directorio de Windows: c:\windows\symav.exe c:\windows\fuck_you_bagle.txt NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). El gusano crea la siguiente entrada en el registro, para auto ejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SymAV = c:\windows\symav.exe El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom: .adb .asp .cfg .cgi .dbx .dhtm .doc .eml .htm .html .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .ppt .rtf .sht .shtm .stm .tbb .txt .uin .vbs .wab .wsh .xls .xml Si la fecha actual es 14, 15, o 16 de abril de 2004, el gusano no se propaga. En cualquier otra fecha, utiliza su propio motor SMTP para enviarse a si mismo, enviando mensajes con las siguientes características, a las direcciones obtenidas antes: De: [remitente falso] Cualquier dirección de las obtenidas por el gusano en la máquina infectada. En ocasiones puede usar la siguiente: hanta@chiva.net Asunto: [uno de los siguientes] Again Hello Hey Hi It's me Re: Hello Re: Hi Reply Texto del mensaje: [uno de los siguientes] Abou you? Are you naked? Change your password! I have stolen some text, excuse me! Check your document, errors are there! Could I have more texts about you? Dictionary attacks are good. Your password not! Do not distribute your naked photos! Do not use personal information for your password! Do you have a digicam to make your private photos? Do you have more of that? Eat my shit! Your photo is bad. Go to hell an burn with your bad document! Hello, here. Here is a sample of your private documents I have stolen! Hey ya, nice document. Do you have more? Hey, easy passwords! Hey, have you ever seen your photo? Hey, naked one! Hey, private or private..naked? I believe from the document you are a child! I do not accept documents from bad guys! I do not want your document! I don't want to see your photo! I have sent your private photo to the police. I needed only 2 hours to get your password. I noticed your password for administrative purpuses. I used the brute-force method to get your password.. I 've got your password! take it easy... I will send your list to the police!!!! It's the truth, your document not!!! Jooooooooo.... document? Yours????? Wehaaa! More naked...your body is sexy! More private photos of you? no! Naked, you? Need a better password? my advice.... Needed? No, here I give it back! Nice, nice, more and more? do you? Not with me! Oh! Excuse me, your password is too easy!!! Oh, I got it! Oh... your password! Oh.....puh, your story is very strong! One, two three, more, I have many questions to you document! Pah!...take your private photo, naked and so, and go away. Passwordlist? yours? Please, please, Give me another sexy document about you! Private photos...mmmhh. I like it. Post me more please! Sexy pic abou you? Shit... your photo! naked? Short and good, your document! Should I believe it? No, however, your story is bad. Take it easy... Your password is too short. Thus is enough. Stop sending your shitty documents!!! To less characters! Take it easy... Uhaaa! naked... are you cranky? What is when I show your private illegal photo the police? Yet another password! Need a better one? You? Very funny! More available? Your are naked? Tell me more...please! Your password on a website? Your privacy! lol, youre not protected! Your pwd is critical, too short, to low! Yours is very nice! Datos adjuntos: [uno de los siguientes] about_you.pif abusedocument.pif abuses.pif alldoc.pif anotherdocument.pif approvdoc.pif correct_pass.pif cracked_password.pif detailed.pif details.pif doc.pif doc_ed.pif doc04.pif document.pif document_part.pif document3.pif easypassword.pif founddocument.pif illegaldocument.pif img05.pif letter.pif listed.pif mail.pif morepasswords.pif morestory.pif mydocument.pif not_permitted.pif onedocument.pif pass01.pif password.pif password02.pif passwords.pif photo03.pif pic04.pif posteddocument.pif private.pif private_photo.pif private_pic.pif pwd.pif pwd_list.pif pwds04.pif sexydocument.pif shortdoc.pif story.pif trieddocument.pif xxx_yours_naked.pif yetanotherdocument.pif your_bad_photo.pif your_doc04.pif your_password.pif your_photo.pif your_private_document.pif your_pwd.pif yourdoc.pif yourdocument.pif yourimage.pif yournakedpic.pif yourpassword.pif yourphoto.pif yourpic.pif yours.pif yours_funny.pif yours_naked.pif yours_naked_img.pif yoursnaked.pif yourspwd.pif En un hilo de ejecución independiente, el gusano examina la fecha y hora actual del sistema. Cómo ya vimos, entre los días 14 y 16 de abril de 2004 no enviará mensajes infectados. Entre los días 14 y 23 de abril de 2004, intentará ataques de denegación de servicio a los siguientes sitios: www.cracks.am www.emule.de www.freemule.net www.kazaa.com www.keygen.us Durante los ataques, en cada máquina infectada el gusano ejecuta múltiples hilos de ejecución, con solicitudes al puerto TCP/80 de dichos sitios. Una vez activado, el componente backdoor del gusano, queda a la escucha por el puerto TCP/6789, pudiendo recibir comandos de un usuario remoto. El atacante también puede enviar un archivo, y luego ejecutarlo. Crea el siguiente mutex para no ejecutarse más de una vez en memoria: SyncMutex_USUkUyUnUeUtUU Debido a errores en su código, esta versión puede hacer que en algunos casos, el sistema se cuelgue o se vuelva inestable. * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\symav.exe c:\windows\fuck_you_bagle.txt Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: SymAV 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Bagle.X. Instala un servidor proxy _____________________________________________________________ http://www.vsantivirus.com/bagle-x.htm Nombre: W32/Bagle.X Tipo: Caballo de Troya y gusano Alias: Bagle.X, Bagle.x!proxy, I-Worm.Bagle.v, Mitglieder.AI, Troj/Bagle-X, Troj/Lohav-Fam, TrojanProxy.Win32.Mitglieder.AI, W32/Bagle.x!proxy, W32/Bagle.X.worm, W32/Mitglieder.AI, Win32.Bagle.X, Win32/Bagle.Variant.Worm, WORM_BAGLE.X, Win32/Bagle.X Plataforma: Windows 32-bit Tamaño: 7,824 bytes (FSG) Puerto: TCP/14247 (por defecto), 2000 o superior Fecha: 7/abr/04 Variante del Bagle detectada el 7 de abril de 2004. Similar al Bagle.W, no posee rutinas propias para propagarse en forma directa por medio del correo electrónico. En lugar de ello, apela a su componente troyano con puerta trasera a través de un puerto TCP aleatorio (14247 por defecto, y siempre superior al 2000), que funciona como un servidor proxy. Esto le permite el envío masivo de correo basura (mensajes infectados entre ellos), controlado por un usuario o proceso remoto. También intenta conectarse a determinados sitios para enviar información. A diferencia de la versión "W", no finaliza la ejecución de ninguna aplicación. Los primeros reportes indican que el troyano fue distribuido en forma de spam, en un mensaje con el siguiente texto (note que esto no significa que se siga propagando por este medio, ya que no posee rutinas propias para hacerlo): We agree with your terms. The deal is acceptable. For more information please read attached document. Thank you. Lisa Marlow. Cuando se ejecuta, crea el siguiente archivo en la carpeta System de Windows: c:\windows\system\window.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada en el registro, para auto ejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run window.exe = c:\windows\system\window.exe También crea la siguiente clave, donde guarda información del sistema infectado: HKCU\Software\Timeout pid = (valores) port = (valores) uid = (valores) Una vez que el troyano se ejecuta, el mismo actuará como un servidor proxy, quedando a la escucha para una conexión remota, por el puerto TCP/14247 (puede ser también cualquier otro en forma aleatoria y siempre superior al 2000). El proxy es utilizado como plataforma de lanzamiento de correo electrónico no solicitado, y es identificado como una variante del troyano "Mitglieder". La información almacenada en la clave "HKCU\Software\Timeout" (los datos de la actual dirección IP del equipo infectado, y el puerto usado por el proxy), es enviada a varios servidores y páginas supuestamente controladas por el autor del virus: http:/ /bohema. amillo. net /host.php http:/ /abc517. net /host.php http:/ /www. abc986. net /host.php * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Borrar manualmente archivos agregados por el virus * Eliminación de procesos del virus en memoria 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecutar Administrador de tareas. a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización de la herramienta "Process Explorer") b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta "Procesos" 3. En la lista de programas (nombre de imagen) localice el siguiente proceso: window.exe 4. Seleccione ese nombre y pinche en "Terminar proceso" o "Finalizar tarea". 5. Para asegurarse de haberlo quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario. 6. Con el Explorador de Windows, busque y borre el siguiente archivo: c:\windows\system\window.exe * Utilización de la herramienta "Process Explorer" Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Para la finalización de los procesos indicados, localice y "mate" (Kill Process), cada proceso cuyo nombre se menciona en los pasos anteriores (ver "Eliminación de procesos del virus en memoria"), buscándolo bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: window.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Timeout 5. Pinche en la carpeta "Timeout" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Troj/Down.Small.HG. Descarga y ejecuta troyano _____________________________________________________________ http://www.vsantivirus.com/troj-down-small-hg.htm Nombre: Troj/Down.Small.HG Tipo: Caballo de Troya (downloader) Alias: Back/Webber.H, Troj/Backdoor.Webber.H, Troj/Webber-H, Win32/TrojanProxy.Webber.H, TrojanDownloader.Win32.Small.hg, Trojan.Download.Berbew, Downloader-DI trojan, Win32/TrojanDownloader.Small.EE Fecha: 07/abr/04 Plataforma: Windows 32-bit Caballo de Troya escrito en Microsoft Visual C, y comprimido con la herramienta UPX, que descarga y ejecuta otros archivos desde Internet. No posee mecanismo de propagación, y los reportes recibidos indican que fue distribuido en forma de spam, a una gran cantidad de usuarios, en la mañana del 7 de abril de 2004, adjunto a un mensaje. Cuando se ejecuta, el troyano descarga de Internet (y ejecuta a su vez), un archivo que copia luego en la carpeta de Windows con el siguiente nombre: c:\windows\usermade.exe El archivo descargado es un troyano robador de contraseñas, que intenta extraer información sensible de lugares específicos, para luego enviarlos a computadoras remotas. Además, intenta extraer información de la máquina infectada y enviarla a un script de CGI en una dirección determinada. El troyano busca toda la información almacenada en el caché de contraseñas de Windows, lo que incluye contraseñas de accesos a Internet, etc. El componente descargado, se copia a si mismo en diversas ubicaciones con nombres al azar, para luego instalar y ejecutar un archivo DLL también con un nombre al azar (6 a 8 caracteres). Para auto ejecutarse, el troyano crea las siguientes entradas en el registro: HKCR\CLSID\{79FA9088-19CE-715D-D85A-216290C5B738} InProcServer32 = [nombre del componente DLL] ThreadingModel = Apartment HKLM\Software\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad Web Event Logger = {79FA9088-19CE-715D-D85A-216290C5B738} Básicamente, la librería .DLL del troyano se identifica como clase con un valor específico, de 128 bits, el denominado Class ID (la clave CLSID en el registro de Windows). Luego, se apunta la subclave "InprocServer32" a dicha librería para ponerla en funcionamiento cuando se ejecuta un evento determinado. El valor "ThreadingModel" con el dato "Apartment", indica que el objeto solo puede ejecutar un solo hilo. Finalmente se suplanta el valor correspondiente al "Monitor de sitios Web" del Internet Explorer (que entre otras cosas carga la página de Inicio del Explorer), por una llamada a la Class ID creada por el troyano. Como resultado, de acuerdo a ciertos eventos, el troyano será activado. El componente principal es un proxy que queda "escuchando" hasta 100 conexiones informando la dirección IP de la máquina infectada. Además envía la información capturada antes por el robador de contraseñas, a una dirección específica de Internet. También modifica las siguientes entradas en el registro que afectan al Internet Explorer para obligar al usuario a ingresar siempre las contraseñas y otros datos, con la intención de capturarlos: HKCU\Software\Microsoft\Internet Explorer\Main FormSuggest Passwords = Yes FormSuggest PW Ask = Yes Use FormSuggest = Yes * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \ShellServiceObjectDelayLoad 3. Pinche en la carpeta "ShellServiceObjectDelayLoad" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Web Event Logger 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID 5. Pinche en la carpeta "CLSID" y borre la siguiente entrada: {79FA9088-19CE-715D-D85A-216290C5B738} 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main 7. Pinche en la carpeta "Main", y en la ventana de la derecha, localice y modifique las siguientes entradas: a. Borre "FormSuggest Passwords" b. Cambie a "no" el contenido de "FormSuggest PW Ask" c. Deje o cambie a "yes" el contenido de "Use FormSuggest" 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1372 Año 8, jueves 8 de abril de 2004