| Asunto: | VSantivirus No. 1374 Año 8, sábado 10 de abril de 2004 | | Fecha: | Sabado, 10 de Abril, 2004 03:29:03 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1374 Año 8, sábado 10 de abril de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Nueva vulnerabilidad en el sistema de ayuda de Windows
2 - MP3Concept. Primer virus para plataformas Mac OS X
3 - VBS/Gaggle.E. Datos adjuntos: "filezip.zip"
_____________________________________________________________
1 - Nueva vulnerabilidad en el sistema de ayuda de Windows
_____________________________________________________________
http://www.vsantivirus.com/hi-vul-its-protocol.htm
Nueva vulnerabilidad en el sistema de ayuda de Windows
Por Xavier Caballé (Hispasec) (*)
http://www.hispasec.com/
[Publicado con autorización de Hispasec]
El CERT ha anunciado la existencia de una importante
vulnerabilidad de Internet Explorer y que afecta al sistema
utilizado por la ayuda on-line de Windows. En el momento de
redactar este boletín no existe todavía ninguna actualización
que corrija este problema, a pesar de que están circulando
algunos exploits que se aprovechan de la misma. Debido a que
la vulnerabilidad se encuentra en el sistema de ayuda de
Windows, esta vez incluso aquellos usuarios que no utilizan
Internet Explorer o Microsoft Outlook son también
vulnerables.
Microsoft Internet Explorer no valida de forma correcta el
origen del script que forma parte de los archivos CHM
(Compiled Help) cuando éstos son procesados por los
manejadores del protocolo ITS (Microsoft InfoTech Storage),
que es el sistema utilizado por la ayuda on-line de Windows.
Las ayudas de Windows son una serie de archivos compilados
donde están integrado el código fuente HTML, gráfico y,
opcionalmente, scripts, controles ActiveX, funciones Java...
Para la visualización de estas ayudas se utiliza Internet
Explorer mediante la invocación de una URL con los protocolos
its://, ms-its://, ms-itss:// o mhtml:// (entre otros).
El problema consiste en que Internet Explorer no aplica
correctamente la protección de zona que impide la ejecución
de código en páginas ubicadas en páginas remotas. Si se le
pasa a Internet Explorer una URL del tipo mhtml:// que apunta
a un archivo no existente, se puede forzar la ejecución de un
archivo CHM remoto que contiene código hostil y que será
ejecutado como si fuera un archivo local.
La vulnerabilidad puede, por tanto, ser explotada mediante la
visita a una página web o al visualizar un mensaje que
contenga el código que se aprovecha de la vulnerabilidad y
que provocará la ejecución automática del código asociado
dentro de la zona local. Lo que significará que se ejecutará
con los mismos privilegios del usuario activo en el sistema.
Es importante señalar que incluso aquellos usuarios de
Windows que no utilicen Internet Explorer como navegador
pueden verse afectados por este problema. Debido a que, en la
configuración por defecto, el sistema operativo asocia
Internet Explorer como aplicación que gestiona este
protocolo, el acceso a un enlace que utilice este protocolo
provocará la ejecución del mismo. La forma más fácil de
determinar la aplicación asociada al protocolo consiste en
ejecutar una URL del tipo mthtml://localhost a través del
menú Inicio->Ejecutar.
* Gusanos que sacan provecho de esta vulnerabilidad
Las características de esta vulnerabilidad, que permite la
ejecución de código simplemente visitando una página web con
una versión vulnerable de Internet Explorer, lo hacen
especialmente atractivo como sistema para la infección y
propagación de gusanos. En estos momentos tenemos constancia
de la existencia de diversos gusanos que utilizan esta
vulnerabilidad como mecanismo de distribución.
Ya son varios los programas antivirus que detectan e
identifican las páginas que contienen el código que aprovecha
la vulnerabilidad. Por ejemplo, una página HTML que contiene
el exploit ya es identificada por diversos antivirus, tal
como podemos determinar según el sistema de monitorización
24hx7d del laboratorio de Hispasec, son los siguientes:
Sybari :: [Exploit.HTML.Mht]
eTrustAV-Inoc :: No detectado
NOD32 :: [HTML/Exploit.Mht.A]
Kaspersky :: [Exploit.HTML.Mht]
Symantec :: [Bloodhound.Exploit.6]
Panda :: [Exploit/MIE.CHM]
McAfee :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado
eTrustAV-Inoc :: No detectado
Los archivos CHM que incluyen la vulnerabilidad también son
identificados por diversos antivirus:
Sybari :: [TrojanDownloader.VBS.Psyme.p]
eTrustAV-Inoc :: No detectado
NOD32 :: No detectado
Kaspersky :: [TrojanDownloader.VBS.Psyme.p]
McAfee :: [VBS/Psyme]
Symantec :: [Download.Trojan]
Panda :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado
En el caso del exploit incluido en un archivo CHM, Sybari,
Kaspersky, McAfee y Symantec detectan la presencia del código
malévolo.
* Prevención
Microsoft no ha publicado todavía ninguna actualización que
corrija este problema, por lo que la única forma de evitar la
infección consiste en desactivar el manejador del protocolo.
Para ello es preciso renombrar las siguientes claves del
registro, dentro de
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
ms-its
ms-itss
its
mk
Es importante indicar que realizar este cambio puede tener un
impacto en el funcionamiento del sistema de ayuda de Windows.
Otra forma de detectar las páginas vulnerables consiste en
disponer de un programa antivirus convenientemente
actualizado que reconozca los intentos de utilización de esta
vulnerabilidad.
* Más información
Vulnerability in Internet Explorer ITS Protocol Handler
http://www.us-cert.gov/cas/techalerts/TA04-099A.html
Vulnerability Note VU#323070:
Microsoft Internet Explorer does not properly validate source
of CHM components referenced by ITS protocol handlers
http://www.kb.cert.org/vuls/id/323070
Microsoft Internet Explorer
ITS Protocol Zone Bypass Vulnerability
http://www.securityfocus.com/bid/9658
Prueba de concepto de la vulnerabilidad
http://www.securityfocus.com/bid/9658/exploit/
Nova vulnerabilitat al sistema d'ajuda de Windows
http://www.quands.info/stories/2004/04/09/itsie.html
(*) Este artículo, original de Hispasec
http://www.hispasec.com/, es publicado en VSAntivirus.com con
la respectiva autorización.
Artículo original:
http://www.hispasec.com/unaaldia/1993
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - MP3Concept. Primer virus para plataformas Mac OS X
_____________________________________________________________
http://www.vsantivirus.com/mp3concept.htm
Nombre: MP3Concept
Tipo: Caballo de Troya
Alias: MP3Virus.Gen
Plataforma: Solo Macintosh (Mac OS X)
Tamaño: 88,121 bytes
Fecha: 20/mar/04
Se trata de una prueba de concepto, más que de un código
maligno, y tiene como blanco a los usuarios del sistema
operativo Mac OS X, una plataforma que hasta ahora parecía
estar a salvo del ataque de virus.
El troyano no se encuentra en la calle, y no posee ninguna
rutina para propagarse por si solo. Tampoco contiene código
malicioso alguno y solo muestra una ventana con un texto
relacionado, además de reproducir un archivo de sonido.
No afecta a usuarios de Windows o de Linux, ni de ningún otro
entorno, salvo Macintosh.
El archivo tiene la apariencia de un archivo MP3 ordinario,
incluyendo su icono.
Cuando se hace doble clic sobre el MP3, se despliega una
ventana con el siguiente texto:
Yep, this is an application (So what is
your iTunes playing right now?)
El texto le informa al usuario (y lo demuestra), que se trata
de una aplicación, además de ser un archivo MP3.
Al mismo tiempo se ejecuta el reproductor iTunes y se escucha
el sonido de un hombre riendo.
Cuando el archivo es cargado directamente por iTunes, usando
la opción "Add to Library...", queda registrado como un tema
musical llamado "Wild Laugh".
Al ejecutar esta canción, solo se reproduce el sonido del
hombre riendo, y no se muestra la ventana del mensaje.
El código explota una vulnerabilidad en el sistema operativo
Mac OS X, que permite que las aplicaciones ejecutables
parezcan ser otra clase de archivos.
Esta técnica podría ser utilizada en el futuro para esconder
cualquier otra clase de código malicioso, como virus,
troyanos o gusanos, en otros tipos de archivos, tales como
JPEG, GIF o QuickTime.
El código se esconde dentro de la etiqueta ID3 del archivo
MP3 (en este caso), y es capaz de ejecutarse en cualquier
computadora Mac con el sistema OS X instalado.
* Más información:
Primer virus para Mac OS X ataca a usuarios de MP3
www.enciclopediavirus.com/noticias/verNoticia.php?id=421
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - VBS/Gaggle.E. Datos adjuntos: "filezip.zip"
_____________________________________________________________
http://www.vsantivirus.com/gaggle-e.htm
Nombre: VBS/Gaggle.E
Tipo: Gusano de Internet y virus
Alias: VBS.Gaggle.D, I-Worm.Gedza, VBS/Gedza.A
Plataforma: Windows 32-bits
Fecha: 6/abr/04
Tamaño: (varios) 260 Kb, 30,721 bytes, 17,409 bytes
Reportado por: Symantec
Este gusano se propaga a través del correo electrónico, del
IRC utilizando el mIRC, del ICQ y también a través de algunas
redes P2P.
Cuando se ejecuta, crea las siguientes copias de si mismo:
c:\windows\system\backup.vbs
c:\windows\system\file.vbs
c:\windows\system\filezip.zip
c:\windows\system\gedzac.vbs
c:\windows\system\israfel.vbs
c:\windows\system\kernel32.win
c:\windows\system\mouse_configurator.win
c:\windows\system\pubprn.vbs
c:\windows\system\template.htm
c:\windows\system\winmgd.win
El archivo .HTM contiene el gusano embebido en su código, y
el archivo .ZIP lo contiene comprimido dentro de él.
También crea los siguientes archivos:
c:\estigma.hta
c:\windows\system\avrillavigne.jpg
c:\windows\system\iw.dat
c:\windows\system\iwn.dat
c:\windows\system\ix.dat
c:\windows\system\ixn.dat
c:\windows\system\pkzip.exe
c:\windows\system\regsrv.exe
c:\windows\system\sendi.exe
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden
variar de acuerdo al sistema operativo instalado (con esos
nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
También copia el archivo COMMAND.COM o CMD.EXE de Windows
(según el sistema operativo), a todos los discos duros, con
el nombre ISRAFEL.EXE, en la siguiente ubicación:
\inetpub\scripts\israfel.exe
Crea el archivo IISROOT.ASP en las siguientes carpetas y
subcarpetas:
\inetpub\wwwroot\iisroot.asp
Crea las siguientes entradas en el registro de Windows para
auto ejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Kernel32 = c:\windows\system\kernel32.win
Israfel = c:\windows\system\israfel.vbs
También crea o modifica las siguientes entradas:
HKEY_CLASSES_ROOT\regfile\shell\open\command
(Predeterminado)= "GEDZAC"
HKEY_CLASSES_ROOT\keyfile\shell\open\command
(Predeterminado)= "GEDZAC"
HKCU\Software\Microsoft
\Windows Scripting Host\Settings
Timeout = "0"
HKLM\Software\Microsoft
\Windows Scripting Host\Settings
Timeout = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKLM\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKLM\Software\GEDZAC LABS\Israfel\Parent
HKLM\Software\GEDZAC LABS\VBS.Israfel\Info
Crea o modifica la entrada SHELL bajo [boot] en
C:\WINDOWS\SYSTEM.INI:
[boot]
shell = explorer.exe c:\windows\system\winmgd.win
Crea o modifica la entrada RUN bajo [windows] en
C:\WINDOWS\WIN.INI:
[windows]
run = c:\windows\system\mouse_configurator.win
Cuando se ejecuta, despliega el archivo AVRILLAVIGNE.JPG, una
imagen con la popular cantante:
[ver imagen en http://www.vsantivirus.com/gaggle-e.htm]
Si la fecha del sistema es el tercer día de cualquier mes, se
despliega el archivo C:\ESTIGMA.HTA, el cuál solo contiene un
texto.
Si la fecha actual es el día 19 de cualquier mes, se muestra
una ventana con el siguiente texto:
19/12/2003 - Saludos a Cienciano Campeon
2003 de la Copa Sudamericana
Si la fecha es el día 11 de cualquier mes, se muestra una
ventana con el siguiente texto:
Luego del alevoso ataque de eeuu y sus aliados
contra Iraq, aun tiene bush el descaro de decir
que lo hizo por libertar al pueblo o por la
democracia, como si eso le interesara, solo le
interesa tener gobiernos titeres y el petroleo
(investiguen sobre su dizque reconstruccion
de Iraq), desde los 90 que se pretendia derrocar
al gobierno de Iraq, quien le dio el derecho de
decidir que gobiernos deben ser derrocados o no,
acaso se cree el policia del mundo, una de las
frases favoritas del Asesino de bush, es el
'origen del mal' el es eso. Y para terminar otra
de sus frases 'que Dios bendiga a los eeuu' ojala
lo haga porque lo van a nesecitar, porque algun
dia eeuu pagara por querer decirle al mundo como
tiene que vivir (Mensage en contra del Gobierno
de eeuu, no del pueblo)
Si la fecha es 26 de cualquier mes, se muestra el siguiente
mensaje:
Soy una ballena de color azúl mi espalda sopla y
tu ves esa fuente de agua limpia aún. Nuestra casa
abierta, era el ancho mar Viajábamos en paz, sin
manchas de petróleo que evitar Busco un sitio puro
donde descansar no hay muchas como yo me tengo que
cuidar de ti. Nubes blancas, cielo transparente y el
humano compartiendo con otros, un sueño que quizás
ya no regrese pues ya es tarde para todos nosotros
Soy el cóndor majestuoso del Perú, mi cuello gira y
tú me miras con ojos de luz. Busco un sitio alto
donde recordar que hubo un tiempo mejor, pues como
yo no quedan más Si tus hijos te preguntan cómo fui,
no sé que les dirás, me tuve que alejar de ti
Cordilleras blancas dominando, todo ser que se
alimenta del río hombres en aldeas cultivando, sin
decirle al campo dame lo que es mío Estás equivocado,
no sabes dónde vas guanacos, osos panda, renos,
águilas, delfines y todo lo demás Estás equivocado
no sabes dónde vas un espíritu ronda por la selva
llorando lo que fue el jaguar bienvenido al mundo
del hombre construído con detergentes y también con
alquitrán Soy una ballena de color azúl mi espalda
sopla y tú ves esa fuente de agua limpia aún
(Cancion perteneciente a 'Los Nosequien y Los
Nosecuantos') El 26 de Abril es el día de la Tierra,
protegela
Su la fecha actual es 29 de cualquier mes, el gusano abre el
sitio de la cantante Avril Lavigne:
www.avril-lavigne.com
Consulta al registro por si existe la utilidad P2P, SoulSeek.
Si la encuentra, obtiene la ubicación de la carpeta
compartida con otros usuarios de esta aplicación P2P, y copia
allí el archivo FILEZIP.ZIP conteniendo una copia de si
mismo. También lo copia en las siguientes carpetas (aquellas
que existan):
c:\my downloads
c:\my shared folder
c:\program files\applejuice\incoming
c:\program files\bearshare\shared
c:\program files\edonkey2000\incoming
c:\program files\gnucleus\downloads
c:\program files\grokster\my grokster
c:\program files\icq\shared files
c:\program files\kazaa\my shared folder
c:\program files\kazaa lite\my shared folder
c:\program files\kmd\my shared folder
c:\program files\limewire\shared
c:\program files\morpheus\myshared folder
c:\program files\overnet\incoming
c:\program files\shareaza\downloads
c:\program files\swaptor\download
c:\program files\winmx\my shared folder
c:\program files\tesla\files
c:\program files\xolox\downloads
c:\program files\rapigator\share
c:\archivos de programa\applejuice\incoming
c:\archivos de programa\bearshare\shared
c:\archivos de programa\edonkey2000\incoming
c:\archivos de programa\gnucleus\downloads
c:\archivos de programa\grokster\my grokster
c:\archivos de programa\icq\shared files
c:\archivos de programa\kazaa\my shared folder
c:\archivos de programa\kazaa lite\my shared folder
c:\archivos de programa\kmd\my shared folder
c:\archivos de programa\limewire\shared
c:\archivos de programa\morpheus\myshared folder
c:\archivos de programa\overnet\incoming
c:\archivos de programa\shareaza\downloads
c:\archivos de programa\swaptor\download
c:\archivos de programa\winmx\my shared folder
c:\archivos de programa\tesla\files
c:\archivos de programa\xolox\downloads
c:\archivos de programa\rapigator\share
Utiliza para la copia de FILEZIP.ZIP, los siguientes nombres:
acdsee 5.5.zip
age of empires 2 crack.zip
ana kournikova sex video.zip
animated screen 7.0b.zip
aol cracker.zip
aol instant messenger.zip
aol password cracker.zip
aquanox2 crack.zip
audiograbber 2.05.zip
avp antivirus pro key crack.zip
babefest 2003 screensaver 1.5.zip
babylon 3.50b reg_crack.zip
battlefield1942_bloodpatch.zip
battlefield1942_keygen.zip
britney spears sex video.zip
buffy vampire slayer movie.zip
business card designer plus 7.9.zip
cable modem ultility pack.zip
clone cd 5.0.0.3 (crack).zip
clone cd 5.0.0.3.zip
coffee cup free zip 7.0b.zip
cool edit pro v2.55.zip
counter-strike.zip
crack passwords mail.zip
credit card numbers generator(incl visa,mastercard,...).zip
cristina aguilera sex video.zip
delphi.zip
diablo 2 crack.zip
directdvd 5.0.zip
directx buster (all versions).zip
directx infotool.zip
divx pro.zip
divx video bundle 6.5.zip
divx_pro.zip
download accelerator plus 6.1.zip
dvd copy plus v5.0.zip
dvd region-free 2.3.zip
edonkey2000-speed me up scotty.zip
fifa2003 crack.zip
final fantasy vii xp patch 1.5.zip
flash mx crack (trial).zip
flashget 1.5.zip
freeram xp pro 1.9.zip
game cube real emulator.zip
getright 5.0a.zip
global divx player 3.0.zip
gothic2 licence.zip
gta 3 crack.zip
gta 3 serial.zip
guitar chords library 5.5.zip
hentai anime girls movie.zip
hitman_2_no_cd_crack.zip
hot babes xxx screen saver.zip
hotgirls.zip
hotmail hacker 2003-xss exploit.zip
hotmail_hack.zip
icq pro 2003a.zip
icq pro 2003b (new beta).zip
imesh 3.6.zip
imesh 3.7b (beta).zip
irfanview 4.5.zip
jenifer lopez sex video.zip
kazaa hack 2.5.0.zip
kazaa sdk + xbit speedup for 2.xx.zip
kazaa speedup 3.6.zip
links 2003 golf game (crack).zip
living waterfalls 1.3.zip
macromedia dreamweaver key generator.zip
mafia_crack.zip
matrix movie.zip
matrix screensaver 1.5.zip
mcafee antivirus scan crack.zip
mediaplayer update.zip
microsoft keygenerator-allmost all microsoft stuff.zip
mirc 6.40.zip
mp3trim pro 2.5.zip
msn messenger 5.2.zip
nba2003_crack.zip
need 4 speed crack.zip
nero burning rom crack.zip
netbios nuker 2003.zip
netfast 1.8.zip
network cable e adsl speed 2.0.5.zip
nhl 2003 crack.zip
nimo codecpack (new) 8.0.zip
norton anvirus key crack.zip
paltalk 5.01b.zip
pamela_anderson.zip
panda antivirus titanium crack.zip
play station emulator.zip
popup defender 6.5.zip
pop-up stopper 3.5.zip
ps2 playstation simulator.zip
quick time key crack.zip
quicktime_pro_crack.zip
sakura card captor movie.zip
screen saver christina aguilera naked.zip
screen saver christina aguilera.zip
security-2003-update.zip
serials 2003 v.8.0 full.zip
serials2000.zip
sex live simulator.zip
sex passwords.zip
smartftp 2.0.0.zip
smartripper v2.7.zip
space invaders 1978.zip
spiderman movie.zip
splinter_cell_crack.zip
starcraft serial.zip
start wars trilogy movies.zip
steinberg_wavelab_5_crack.zip
stripping mp3 dancer+crack.zip
subseven.zip
thalia sex video.zip
trillian 0.85 (free).zip
tweakall 3.8.zip
unreal2_bloodpatch.zip
unreal2_crack.zip
ut2003_bloodpatch.zip
ut2003_keygen.zip
ut2003_no cd (crack).zip
ut2003_patch.zip
vb6.zip
virtua girl - adriana.zip
virtua girl - bailey short skirt.zip
virtua girl (full).zip
virtualsex.zip
visual basic 6.0 msdn plugin.zip
visual basic 6.zip
warcraft 3 crack.zip
warcraft 3 serials.zip
warcraft_3_crack.zip
winamp 3.8.zip
winamp plugin pack.zip
windowblinds 4.0.zip
windows xp complete + serial.zip
windows xp exploit.zip
winoncd 4 pe_crack.zip
winrar 3.xx password cracker.zip
winzip 9.0b.zip
winzip full version key generator.zip
winzip keygenerator crack.zip
winzipped visual c++ tutorial.zip
xnuker 2003 2.93b.zip
yahoo messenger 6.0.zip
zelda classic 2.00.zip
El gusano busca direcciones electrónicas en la libreta de
direcciones y en archivos con las siguientes extensiones de
la máquina infectada:
.hta
.htm
.html
.htx
.mht
.mhtml
.php
.phtm
.phtml
.plg
.shtm
.shtml
Las direcciones encontradas, son almacenadas en los
siguientes archivos dentro de la carpeta TEMP:
\TEMP\imh.dat
\TEMP\iml.dat
\TEMP\imv.dat
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
El gusano es capaz de sobrescribir archivos con las
siguientes extensiones, con una copia de si mismo:
.hta
.htm
.html
.htx
.js
.jse
.mht
.mhtml
.php
.phtm
.phtml
.plg
.shtm
.shtml
.vbe
.vbs
Si existe, sobrescribe el archivo MIRC.INI, para poder
enviarse a otros usuarios de los canales de chat visitados
por el usuario infectado.
También genera direcciones IP al azar, e intenta conectarse a
dichas direcciones, utilizando los siguientes nombres de
usuario y contraseñas:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
<en blanco>
<Enter>
<nombre de la computadora>
<nombre de usuario>
000000
00000000
1
111
11111
111111
11111111
123
1234
12345
123456
1234567
12345678
1234qwer
123abc
123asd
123qwe
22
5201314
54321
654321
888888
88888888
abc
abc123
abcd
admin
asdf
asdfgh
computer
database
default
intel
Internet
KKKKKKK
manager
name
nombre_de_usuario
nombre_de_usuario12
nombre_de_usuario123
nombre_de_usuario1234
nulo
oracle
passwd
password
private
public
root
secret
security
server
sql
super
sybase
test
user
Se copia a si mismo a la máquina remota con el nombre de
AUTORUN.VBS, y sobrescribe el archivo AUTOEXEC.BAT.
También en la máquina remota, agrega la siguiente entrada en
el archivo WIN.INI bajo la etiqueta [windows]:
[windows]
run = autorun.vbs
Si hay un disquete insertado, intenta sobrescribir todos los
archivos con extensión .VBS en la unidad de disquetes A, con
una copia de si mismo. Si no existen archivos .VBS, se copia
en el disquete con alguno de los siguientes nombres (algunos
con doble extensión):
a:\document.txt.vbs
a:\image.jpg.vbs
a:\israfel.vbs
a:\loreley.jpg.vbs
a:\vigilancia.txt.vbs
Utiliza luego el componente SENDI.EXE, copiado antes en la
carpeta System, para enviarse a todos los correos
electrónicos previamente recolectados. Para ello utiliza el
servidor SMTP de la víctima, o en su defecto alguno de los
siguientes:
mx1.latinmail.com
mx1.hotmail.com
Los mensajes poseen las siguientes características:
De: [seleccionado al azar de la lista de direcciones]
Datos adjuntos: filezip.zip
Asunto: [al azar]
Texto del mensaje: [al azar]
El texto puede comenzar con alguna de las siguientes cadenas:
========================Mcaffe Virus Scan========================
Resultado del Análisis: Mensaje y Adjunto libre de virus
=================================================================
========================Mcaffe Virus Scan========================
Result gives the Analysis: Message and Added free he gives virus
=================================================================
Ejemplos:
Asunto: Postal Animada
Texto del mensaje:
Ha recibido una postal desde esta direccion
para verla descarguela antes de 7 dias de recibido
este e-mail Un Servicio de FreeCards
Asunto: Cartoons
Texto del mensaje:
Nuestra pagina de Cartoons viene recargada
mira este que se titula: El inofensivo pajarito
Asunto: Free ScreenSaver
Texto del mensaje:
Mira este screensaver, y si te gusta, visita
nuestra page :)
Asunto: FordWare
Texto del mensaje:
Sabes lo que es el FordWare?, entonces mira este
Asunto: Espero te guste
Texto del mensaje:
Mira la postal =)
Asunto: Esta es buena
Texto del mensaje:
Haber que te parece a ti?
Asunto: Aviso Importante
Texto del mensaje:
Debido a la nueva politica del servidor, se pide a
los usuarios completar el nuevo registro a fin de
poder conservar sus cuentas de correo
Asunto: Sexo Tantrico
Texto del mensaje:
Conoces el sexo tantrico?
Tantra: Antigua disciplina oriental para mejorar
el rendimiento sexual
Aprendelo y nota la diferencia.
Asunto: Significado de los nombres
Texto del mensaje:
Quieres saber el significao de tu nombre, o
apellido o de donde proviene?
Asunto: Manual Seduccion
Texto del mensaje:
Quieres conquistar una pareja?, prueba con estos
consejos
Asunto: ilusiones
Texto del mensaje:
Mira la foto adjunta 20 segundos y veras algo
Asunto: Hi
Texto del mensaje:
Te envio las imagenes que pediste, bye
Asunto: Help me
Texto del mensaje:
please open file
Asunto: Mail Return System
Texto del mensaje:
El correo no pudo ser enviado a uno o más
destinatarios.
Asunto: Fotos en tu email
Texto del mensaje:
XXX Todo Vale XXX
En todos los casos el adjunto es FILEZIP.ZIP
* Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos
duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Borrar manualmente los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
\inetpub\scripts\israfel.exe
\inetpub\wwwroot\iisroot.asp
\TEMP\imh.dat
\TEMP\iml.dat
\TEMP\imv.dat
c:\estigma.hta
c:\windows\system\avrillavigne.jpg
c:\windows\system\backup.vbs
c:\windows\system\file.vbs
c:\windows\system\filezip.zip
c:\windows\system\gedzac.vbs
c:\windows\system\israfel.vbs
c:\windows\system\iw.dat
c:\windows\system\iwn.dat
c:\windows\system\ix.dat
c:\windows\system\ixn.dat
c:\windows\system\kernel32.win
c:\windows\system\mouse_configurator.win
c:\windows\system\pkzip.exe
c:\windows\system\pubprn.vbs
c:\windows\system\regsrv.exe
c:\windows\system\sendi.exe
c:\windows\system\template.htm
c:\windows\system\winmgd.win
Pinche con el botón derecho sobre el icono de la 'Papelera de
reciclaje' en el escritorio, y seleccione 'Vaciar la papelera
de reciclaje'.
* Reparar el registro con REPARA4.VSA
REPARA4.VSA es un archivo .REG renombrado, creado para
limpiar los cambios realizados en el registro por este
gusano. Para usarlo, sigua este procedimiento:
1. Pinche con el botón DERECHO sobre el siguiente enlace y
seleccione "Guardar destino como":
http://www.videosoft.net.uy/repara4.vsa
2. Cuando aparezca la ventana "Guardar como", seleccione la
carpeta C:\WINDOWS o C:\WINNT o la que corresponda a su
sistema, para guardar el archivo REPARA4.VSA y pulse en el
botón "Guardar".
3. Desde Inicio, Ejecutar, escriba lo siguiente más Enter:
REGEDIT REPARA4.VSA
4. Responda afirmativamente la consulta "¿Está seguro que
desea agregar la información de REPARA2.VSA al Registro?".
* Modificar SYSTEM.INI
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo SYSTEM.INI en la carpeta
C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los
siguientes cambios. Para ello, desde el Explorador de
Windows, abra la carpeta C:\Windows\Recent, y en el panel de
la derecha, seleccione y borre SYSTEM.INI. Este archivo se
regenerará como una copia del archivo que a continuación
modificaremos, al grabar los cambios hechos.
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell = explorer.exe c:\windows\system\winmgd.win
y déjelo así:
[boot]
shell = explorer.exe
3. Grabe los cambios y salga del bloc de notas
* Modificar WIN.INI
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo WIN.INI en la carpeta
C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los
siguientes cambios. Para ello, desde el Explorador de
Windows, abra la carpeta C:\Windows\Recent, y en el panel de
la derecha, seleccione y borre WIN.INI. Este archivo se
regenerará como una copia del archivo que a continuación
modificaremos, al grabar los cambios hechos.
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Si existe alguna referencia a los archivos del en la
línea "run=" bajo la sección [windows], bórrelo.
Por ejemplo:
[windows]
run = c:\windows\system\mouse_configurator.win
Debe quedar como:
[windows]
run =
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1374 Año 8, sábado 10 de abril de 2004
|
VSantivirus No. 13
Responder a este mensaje
