Mostrando mensaje 386     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1337 Año 8, viernes 5 de marzo de 2004 Fecha: Viernes, 5 de Marzo, 2004  03:40:35 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1337 Año 8, viernes 5 de marzo de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Que no nos distraiga una simple pelea callejera 2 - Ejecución de código con Acrobat Reader 3 - W32/Netsky.G. Propagación masiva vía e-mail 4 - W32/Nachi.E. Intenta borrar Mydoom y Doomjuice _____________________________________________________________ 1 - Que no nos distraiga una simple pelea callejera _____________________________________________________________ http://www.vsantivirus.com/05-03-04.htm Que no nos distraiga una simple pelea callejera Por Jose Luis Lopez videosoft@videosoft.net.uy Seguramente muchos de nuestros lectores ya están enterados de la guerra declarada entre los autores de los virus Bagle, Mydoom y Netsky. En los últimos días, han surgido a una velocidad pasmosa, nuevas variantes de cada uno de estos gusanos, y seguramente surgirán muchos más en los próximos días. Cada uno de ellos busca eliminar al otro en las computadoras infectadas. Además, cada nueva versión incorpora un nuevo texto ofensivo hacia el autor de los otros gusanos. Sin embargo, en VSAntivirus hemos decidido no dar mayor relevancia a este hecho, salvo lo que se publique en las descripciones de dichos virus. La razón, es que esto sería darles a estas personas, lo que ellos pretenden, una trascendencia que no justificamos, en una guerra personal que jamás tendrá un ganador. Además, es una pelea que se está llevando a cabo en el patio de nuestras casas, y por lo tanto, somos nosotros, los usuarios, los más perjudicados. Consideramos que cualquier artículo sobre el tema, más allá de aquél que sirva para la protección de nuestros equipos, sería algo así como echar más leña al fuego, e incentivar una trascendencia mediática, que pensamos, solo nos perjudicaría a todos. Ya de por sí, una situación de este tipo provoca otro fenómeno que no es nada beneficioso, como bien explica Fernando de la Cuadra en su artículo "Oleadas de virus y falsa percepción de seguridad" (ver http://www.vsantivirus.com/fdc-falsa-seguridad.htm). La sucesión de alertas sobre esta serie de virus, va bajando el nivel de atención, y nos puede llevar a una situación preocupante en el momento que debamos estar preparados para algún nuevo peligro. Lo importante, como bien se explica en ese artículo, es estar lo más atentos posibles a las amenazas en si mismas, y no a una simple pelea callejera (ya hay medios que se están encargando de ello), que además en nada nos beneficia, pero que mucho menos lo haría si le dedicáramos la atención que en absoluto se merece. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Ejecución de código con Acrobat Reader _____________________________________________________________ http://www.vsantivirus.com/vul-acrobat-reader-xml.htm Ejecución de código con Acrobat Reader Por Marcelo A. Rodriguez marcelo-ar@videosoft.net.uy Desbordamiento de búfer en Adobe Acrobat Reader, al procesar formularios XML permite la ejecución de código arbitrario. Adobe Acrobat Reader (ahora llamado Adobe Reader), es una aplicación que permite visualizar e imprimir documentos PDF (Portable Document Format), un popular formato para transporte de documentos, creado por Adobe. NGSSoftware ha descubierto una vulnerabilidad del tipo desbordamiento de búfer en Adobe Acrobat Reader al procesar formularios XML, la cual permite la ejecución de código arbitrario en un sistema atacado. "XML Forms Data Format" o XFDF es un formato para representar datos de formularios o anotaciones en un documento PDF. Los archivos XFDF tienen extensión ".xfdf" y un tipo MIME "application/vnd.adobe.xfdf". Este tipo de archivos son abiertos automáticamente luego de ser descargados al usar aplicaciones como Internet Explorer. NGSSoftware reporta que un usuario remoto puede crear un archivo XFDF (XML Forms Data Format) especialmente malformado que al ser cargado por un usuario atacado, ocasionará un desbordamiento de pila (stack overflow) y podrá ejecutar código arbitrario en su sistema. Según el reporte, el procesador de archivos XFDF realiza un llamado inseguro sprintf() en la función OutputDebugString() (depuración de cadena de salida), independientemente de que la depuración se lleve a cabo o no. El fabricante fue avisado de esta vulnerabilidad el pasado 7 de febrero de 2004. Versión afectada: Adobe Acrobat Reader 5.1 La versión actual, Adobe Acrobat Reader 6.0 (Adobe Reader 6.0), no está afectada por esta vulnerabilidad. Actualizaciones disponibles en el sitio del fabricante: http://www.adobe.com/support/downloads/main.html * Publicado en: http://www.securitytracker.com/alerts/2004/Mar/1009312.html http://www.nextgenss.com/advisories/adobexfdf.txt * Glosario Desbordamiento de búfer (buffer overflow). El búfer es un área determinada en la memoria, usada por una aplicación para guardar ciertos datos necesarios para su funcionamiento. Esta área tiene un tamaño previamente definido en el programa, pero si se envían más bytes de los permitidos, la información sobrepasa los límites impuestos, cayendo en muchos casos sobre partes ejecutables del código principal. Un uso malintencionado de estos datos, puede hacer que esa parte contenga instrucciones preparadas para activar ciertas acciones no pensadas por el programador de la aplicación. Desbordamiento de stack (stack overflow). La pila (stack), es el espacio de memoria reservada para almacenar las direcciones de retorno en la ejecución de cada rutina y otra información importante para la ejecución de los programas. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Netsky.G. Propagación masiva vía e-mail _____________________________________________________________ http://www.vsantivirus.com/netsky-g.htm Nombre: W32/Netsky.G Tipo: Gusano de Internet Alias: Netsky.G, Moodown.G, I-Worm.Moodown.g, Win32/Netsky.G, W32/Netsky.g@MM, W32/Netsky.G.worm, WORM_NETSKY.G, W32/Netsky-G, W32/Netsky.e@MM, Win32.Netsky.G Fecha: 4/mar/04 Plataforma: Windows 32-bit Tamaño: 27,648 bytes (PE-Patch más TELock) Variante de Netsky, reportada el 4 de marzo de 2004. Cuando se ejecuta, el gusano se copia a si mismo en el directorio de Windows: c:\windows\avguard.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). El gusano crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Special Firewall Service = c:\windows\avguard.exe -av service También borra las siguientes entradas en el registro, las que corresponden a otros gusanos: Mydoom.A HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run Taskmon HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run Taskmon Mydoom.B HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run Explorer HKEY_ CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run Explorer Mydoom.A y B HKEY_CLASSES_ROOT\CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32 Mimail.T HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run KasperskyAv HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run KasperskyAv Netsky.A o Netsky.B HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run service Deadhat.B HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run msgsvr32 Bagle.A HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run d3dupdate.exe Bagle.B HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run au.exe Nachi.B, Nachi.C HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services WksPatch Parite.A HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer PINF Bagle.C y D: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run gouday.exe Bagle.E, F, G, H e I: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run rate.exe Bagle.J: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run srate.exe Bagle.K: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run ssate.exe También borra las siguientes entradas: HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\RunServices system. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run system. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Runservices System. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run DELETE ME HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run OLE HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run Sentry HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run Windows Services Host HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run Windows Services Host HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run sysmon.exe El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom: .adb .asp .cgi .dbx .dhtm .doc .eml .htm .html .msg .oft .php .pl .rtf .sht .shtm .tbb .txt .uin .vbs .wab Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo. Para aumentar su grado de propagación, lanza varios hilos simultáneos de ejecución, en cada uno de los cuáles puede enviar mensajes con las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] Re: Approved Re: Details Re: Document Re: Excel file Re: Hello Re: Here Re: Here is the document Re: Hi Re: My details Re: Re: Document Re: Re: Message Re: Re: Re: Your document Re: Re: Thanks! Re: Thanks! Re: Word file Re: Your archive Re: Your bill Re: Your details Re: Your document Re: Your letter Re: Your music Re: Your picture Re: Your product Re: Your software Re: Your text Re: Your website Texto del mensaje: [uno de los siguientes] Here is the file. Please have a look at the attached file. Please read the attached file. See the attached file for details. Your document is attached. Your file is attached. El mensaje también puede contener texto sin sentido (basura). Datos adjuntos: [seleccionado al azar de la siguiente lista]: all_document.pif application.pif document.pif document_4351.pif document_excel.pif document_full.pif document_word.pif message_details.pif message_part2.pif mp3music.pif my_details.pif my_details.pif your_archive.pif your_bill.pif your_details.pif your_document.pif your_document.pif your_document.pif your_file.pif your_letter.pif your_picture.pif your_picture.pif your_product.pif your_text.pif your_website.pif yours.pif Puede ser también un archivo .ZIP con el mismo nombre del ejecutable al cuál contiene. Por ejemplo: all_document.zip (contiene all_document.pif) application.zip (contiene application.pif) document_4351.zip (contiene document_4351.pif) El gusano evita enviar mensajes a direcciones que contengan cualquiera de las siguientes cadenas: abuse andasoftwa antivi antivir aspersky avp cafee fbi f-pro freeav f-secur icrosoft iruslis itdefender messagelabs orman orton skynet sophos spam ymantec Posee su propio motor SMTP, y si durante el envío de los mensajes, falla en consultar al servidor de nombres configurado en la conexión actual, entonces lo intenta con servidores DNS localizados en las siguientes direcciones: 194.25.2.129 194.25.2.129 194.25.2.130 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 212.44.160.8 217.5.97.137 145.253.2.171 151.189.13.35 193.141.40.42 213.191.74.19 212.7.128.162 212.7.128.165 195.20.224.234 62.155.255.16 193.193.144.12 193.193.158.10 212.185.253.70 212.185.252.73 193.189.244.205 195.185.185.195 195.185.185.195 212.185.252.136 El gusano crea el mutex (semáforo) "Netsky AV Guard", para no ejecutarse más de una vez en memoria. Si la fecha es 10 de marzo de 2004, y el gusano se ejecuta entre las 6 y las 9 de la mañana, se emiten por el PC Speaker una serie de sonidos (beeps) en forma continua. El código del gusano contiene el siguiente texto: Netsky AntiVirus - Give up, bagle & mydoom, dude! You are fucking your mother! I want to meet you in the U,S.A, Road-App time enc:[fg.od.jgij], and the you will know what pain is * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\avguard.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Special Firewall Service 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Nachi.E. Intenta borrar Mydoom y Doomjuice _____________________________________________________________ http://www.vsantivirus.com/nachi-e.htm Nombre: W32/Nachi.E Tipo: Gusano de Internet Alias: Nachi.E, Welchia.E, WORM_NACHI.E, W32/Nachi.worm.e, Win32/Nachi.E, W32.Welchia.E.Worm Fecha: 4/mar/04 Plataforma: Windows 2000 y XP Tamaño: 36,864 bytes Puertos: TCP/80, 137, 445, 3127 Variante del Nachi.C (también conocido como Welchia), comprimido con la utilidad UPX. Solo se ejecuta en Windows 2000 y XP. Borra archivos de las versiones anteriores del propio Nachi, además de los de versiones del Mydoom y del Doomjuice. Se vale de conocidas vulnerabilidades, para las cuáles existen parches o actualizaciones disponibles. Crea el siguiente semáforo (mutex), para no ejecutar más de una copia de si mismo al mismo tiempo: WksPathc_Mutex Una vez residente en memoria, se copia como SVCHOST.EXE en la carpeta DRIVERS del sistema de Windows: c:\windows\system32\drivers\svchost.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Agrega la siguiente entrada en el registro para autoejecutarse como un servicio (WksPatch), en cada reinicio de Windows: HKLM\System\CurrentControlSet\Services\WksPatch El nombre mostrado por el servicio, es obtenido al azar con los siguientes componentes: [Lista 1]+[Lista 2]+[Lista 3] Donde: Lista 1: Internet License Network Performance Remote Routing Security System Lista 2: Accounts Event Logging Manager Procedure Lista 3: Client Messaging Provider Sharing Ejemplos: Internet Logging Client, Network Event Sharing, etc. El gusano se aprovecha de múltiples vulnerabilidades: Vulnerabilidad RPC/DCOM (MS03-026) http://www.vsantivirus.com/vulms03-026-027-028.htm Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) http://www.vsantivirus.com/vulms03-007.htm Vulnerabilidad en el Servicio Localizador (MS03-001) http://www.vsantivirus.com/vulms03-001-002-003.htm MS03-049 Falla en servicio Estación de Trabajo (828749) http://www.vsantivirus.com/vulms03-049.htm La primera (MS03-026), es la misma falla de la que se aprovecha el Lovsan (Blaster) y otros. Utiliza el puerto TCP/135. La falla se produce por un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El parche existe desde julio de 2003. El segundo fallo (MS03-007), es un desbordamiento de búfer existente en la librería "ntdll.dll" utilizada por el componente WebDAV de Microsoft IIS 5.0, que permite que al enviar una solicitud al servidor, un intruso puede ser capaz de ejecutar código arbitrariamente en el contexto de seguridad local, menos crítico, dándole al atacante el control completo sobre el sistema. La vulnerabilidad en el Servicio Localizador (MS03-001), fue solucionada con un parche publicado en enero de 2003. Este fallo permite la ejecución remota de programas. El servicio Localizador de Microsoft es un servicio que mapea nombres lógicos a nombres específicos de una red, y se encuentra disponible en la instalación de Windows NT 4.0, 2000 y XP. La última vulnerabilidad (MS03-049), es causada en las funciones de administración de red del servicio DCE/RPC y en una función de inicio de sesión implementada en el Servicio de Estación de Trabajo. Un atacante puede ejecutar código en forma arbitraria, con privilegios de sistema, o causar una denegación de servicio. El parche existe desde noviembre de 2003. El gusano genera direcciones IP al azar, y envía datos a cada una de esas direcciones, al puerto TCP/135, para explotar la vulnerabilidad RPC/DCOM mencionada antes, o al puerto TCP/80 para explotar la vulnerabilidad en el componente WebDav. También al puerto TCP/139 y 445 para explotar el fallo en el servicio "Estación de Trabajo", en todos los casos, con la intención de propagarse e infectar esos sistemas. El gusano examina la versión del sistema operativo, número del Service Pack instalado si existiera, y otra información similar, así como la existencia o no del parche correspondiente para la vulnerabilidad RPC/DCOM, en las siguientes ramas del registro (según el sistema): HKLM\SOFTTWARE\Microsoft\Updates \Windows 2000\SP5\KB823980 HKLM\SOFTTWARE\Microsoft\Updates \Windows XP\SP1\KB823980 HKLM\SOFTTWARE\Microsoft\Updates \Windows XP\SP2\KB823980 Si no existe por lo menos alguna de éstas entradas, intenta descargar y ejecutar dicha actualización del sitio de Microsoft, siempre que el idioma del sistema operativo sea Chino, Coreano o Inglés, tanto para Windows 2000 como para XP (32 bits). Si el sistema infectado está en otro idioma (incluido español), no descarga el parche. Para comprobar si existe una conexión activa con Internet, intenta acceder a los siguientes sitios: google.com intel.com microsoft.com Si logra descargar e instalar el parche, reinicia el sistema. También intenta eliminar a los gusanos Mydoom A y B, y Doomjuice A y B, si estos estuvieran instalados. Para ello, intenta borrar los siguientes archivos: c:\windows\system32\Explorer.exe (Mydoom.B) c:\windows\system32\intrenat.exe (Doomjuice.A) c:\windows\system32\Regedit.exe (Doomjuice.B) c:\windows\system32\Taskmon.exe (Mydoom.A) c:\windows\system32\ctfmon.dll (Mydoom.B) c:\windows\system32\shimgapi.dll (Mydoom.A) Sin embargo, estos archivos no pueden ser borrados si el Mydoom o el Doomjuice se encuentran residentes en memoria (el equipo deber ser iniciado en modo a prueba de fallos antes). El gusano borra los valores "Explorer", "Gremlin", "NeroCheck" y "Taskmon" de las siguientes claves del registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run Restaura los valores originales de la siguiente entrada: HKLM\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32 Sobrescribe el archivo HOSTS con el siguiente texto: # # 127.0.0.1 localhost También intenta finalizar y borrar del registro, los servicios creados por versiones anteriores del propio gusano. Luego, ejecuta un servidor Web en un puerto TCP al azar de la nueva máquina infectada, para que los sistemas vulnerables puedan descargar y ejecutar el archivo WKSPATCH.EXE desde la máquina atacante. Si el sistema operativo está en japonés, el gusano busca archivos con las siguientes extensiones en el servidor IIS, si existiera uno instalado (en "Virtual Roots" y "IIS Help folders): .asp .cgi .htm .html .php .shtm .shtml .stm Sobrescribe los archivos que encuentre con un código HTML que contiene el siguiente texto relacionado con la Segunda Guerra Mundial y algunas fechas sobre las bombas atómicas: LET HISTORY TELL FUTURE ! 1931.9.18 1937.7.7 1937.12.13 300,000 ! 1941.12.7 1945.8.6 Little boy 1945.8.9 Fatso 1945.8.15 Let history tell future ! Al igual que versiones anteriores, posee fecha de expiración: 1 de julio de 2004, o 120 días después de su primera ejecución (lo que ocurra primero). * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\drivers\svchost.exe IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SVCHOST.EXE, ya que es un archivo legítimo de Windows. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \WksPatch 3. Pinche en la carpeta "WksPatch" y bórrela. 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Recuperar archivos sobrescritos en el servidor IIS En caso de haberse sobrescrito los archivos mencionados de un servidor IIS, se deberán recuperar éstos desde un respaldo anterior. * Información adicional * Sobre RPC y DCOM RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows para permitir que un programa que se ejecuta en un equipo, pueda acceder a los servicios de otro equipo conectado en red. El fallo ocurre en el intercambio de mensajes entre procesos que se realiza sobre protocolos TCP/IP al utilizarse RPC, por un desbordamiento de búfer, y afectan la interface DCOM con RPC, que controla las solicitudes de activación de objetos de DCOM que las máquinas clientes envían al servidor. DCOM (Distributed Component Object Model o Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse entre sí. Los objetos de programa de un cliente pueden solicitar los servicios de objetos de programas servidores, en otras computadoras dentro de una red. Solo es necesario que todos se estén ejecutando en Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP). Usando una interface DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (Remote Procedure Call o RPC) a un objeto de otro programa especializado, que proporciona el procesamiento necesario y devuelve el resultado. DCOM emplea a su vez protocolos TCP/IP y HTTP, y está incluido en las versiones posteriores a Windows 98 y NT. DCOM escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445 y 593 de TCP. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1337 Año 8, viernes 5 de marzo de 2004