|
Mostrando mensaje 418
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1369 Año 8, lunes 5 de abril de 2004 | | Fecha: | Lunes, 5 de Abril, 2004 07:13:12 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1369 Año 8, lunes 5 de abril de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
W32/Sober.F. Se propaga con asuntos y textos al azar
_____________________________________________________________
http://www.vsantivirus.com/sober-f.htm
Nombre: W32/Sober.F
Tipo: Gusano de Internet
Alias: Sober.F, W32.Sober.F@mm, Win32/Sober.F, Win32/Sober.F,
I-Worm.Sober.f, W32/Sober.f@MM, WORM_SOBER.F, Win32.Sober.F,
W32/Sober.F@mm, Win32/Sober.F.Worm, I-Worm.VB.C
Fecha: 4/abr/04
Plataforma: Windows 32-bit
Tamaño: 42,496 bytes
Variante del Sober.E, detectado el 4 de abril de 2004.
Escrito en Microsoft Visual Basic y comprimido con la
herramienta UPX, se propaga en forma masiva por correo
electrónico.
Los mensajes tienen asuntos y textos al azar, que varían en
cada infección.
Utiliza su propio motor SMTP, de modo que no depende del
cliente utilizado por la víctima.
Puede llegar en mensajes con asunto, texto y nombre del
adjunto totalmente al azar y diferente en cada infección:
De: [Una dirección formada con estos elementos]
account
admin
Administrator
AutoMailer
Error_Info
Fehler-Info
Home
Info
Information
Kundenservice
Liste
Passwort
Register
RobotMailer
Schwarze-Liste
Service
User-info
Webmaster
webmaster
También utiliza algunas direcciones coleccionadas en el
sistema, y que tengan el siguiente dominio:
@abuse.de
@freenet.de
@gmx.de
@gmx.net
@lycos.de
@web.de
@yahoo.com
@yahoo.de
Asunto: [uno de los siguientes]
Bad Gateway
Best
Confirmation Required
Connection failed
damn!
Datenbank-Fehler
Details
Einzelheiten
Faulty mail delivery
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo Du!
Hallo!
Hey
Hey Du
hey you
Hi!
Hi, Ich bin's
Hi, it's me
Ich bin es .-)
Ihr neues Passwort
Ihr Passwort
Illegal signs in Mail-Routing
Illegale Zeichen in Mail-Routing
Info
Information
Invalid mail sentence length
Mail delivery failed
Mail Delivery failure
mail delivery status
Mail Error
Mailzustellung fehlgeschlagen
Message Error
Na,
Oh my God
Registrierungs-Best
Ung
Verbindung fehlgeschlagen
Verdammt
Warning!
Warnung!
Well, surprise?!
Your document
Your mail account
Your mail-account
Your password
Texto del mensaje: [uno de los siguientes]
Ich war auch ein wenig
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann
Alles klaro bei dir?
Schau mal was Ich gefunden habe!
Meinst Du das wirklich?
Dokument
KurzText
Sieh mal nach ob du den Scheiss auch bei dir drauf
hast! Ist ein ziemlich nervender Virus. Mach genau
das, wie es im Text beschrieben ist!
Bye
AntiVirus-Text
Anleitung
Ich habs dir doch gesagt, irgendwann schaffe ich es
deine Passw
Passwoerter.txt
Details entnehmen Sie bitte dem Attachment Dokumente
Text-Inhalt
*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen
werden.
Bitte
attach:
AMD-System.txt
* End Transmission
--- Web: http://www.(domain name)
--- Mail To: User-Hilfe
Passwort und Benutzername wurde erfolgreich ge
Ihre Benutzernamen und Passw
++++ Im www erreichbar unter: http://www.(domain name)
++++ E-Mail: KundenInfo
Benutzer-Daten
Wegen eines Datenbank- Fehlers k
Wenn Sie Unregelm
Vielen Dank f
+++ Ein Service von
+++ http://www .(domain name)
+++ E-Mail: Kundenservice
Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet-
Seiten besuchen.
Bitte beachten Sie folgende Liste:
Liste
Schwarze-Liste
***
Mail- Anhang: Keine verd
Mail Scanner: Kein Virus gefunden
Anti- Virus: Es wurde kein Virus erkannt
Virenschutz
*** http://www.(domain name)
I was surprised, too! :-(
Who could suspect something like that?
shock
All OK :)
see, what i've found!
hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye
I 've told you!:-) sometime I grab your passwords!
your_passwords
I hope you accept the result!
Follow the instructions to read the message.
Please read the document
Your password was changed successfully.
Protected message is attached.
++++ Service: http://www.(domain name)
++++ Mail To: User-info
67.28.114.32_failed_after_I_sent_the_message./
Remote_host_said:_554_delivery_error:_dd_
Sorry_your_message_cannot_be_delivered._
This_account_has_been_disabled_or_discontinued_[#102].
_-_mta134.mail.dcn.com
** End of Transmission
The original message is a separate attachment.
--- Mail To: UserHelp
Error_Info
_attach
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ Mail: home
Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha
Mail- Attachment: No suspicious Virus signatures
Mail Scanner: No Virus found
Anti-Virus: No Virus!
Datos adjuntos: [uno de los siguientes]
Administrator
AMD-System.txt
anitv_text
AntiVirus-Text
attach-message
AutoMailer
Benutzer-Daten
block-lists
check_this
corrected_text-file
database
database_partial
Datenbank_Auszug
dokument
error
Error_Info
error-message
Fehler-Info
help
instructions
kurztext
message
Money-Help
partial
pass-message
pmessage-text
RobotMailer
Schwarze-Liste
textdocument
Text-Inhalt
User-info
webmaster
your_article
your_passwords
La extensión del archivo puede ser .PIF o .ZIP, en este
último caso, conteniendo uno de los archivos .PIF.
Los nombres pueden contener un número al azar al comienzo, y
"_attach" al final. Ejemplos:
3message.pif
AutoMailer_attach.zip
Cuando se ejecuta, el gusano se copia en la carpeta System (o
System32) de Windows con nombres al azar. También puede crear
una copia con un nombre al azar, el que está formado por la
combinación de algunos de los siguientes elementos más la
extensión .EXE:
32
crypt
data
diag
dir
disc
explorer
host
log
run
service
smss32
spool
sys
win
Por ejemplo: "data32.exe". También crea otros archivos:
c:\windows\system\[nombre].exe
c:\windows\system\bcegfds.lll
c:\windows\system\spoofed_recips.ocx
c:\windows\system\syst32win.dll
c:\windows\system\winhex32xx.wrm
c:\windows\system\winsys32xx.zzp
c:\windows\system\zhcarxxi.wx
c:\windows\system\zmndpgwf.kxx
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "c:\winnt\system32" en Windows NT/2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Mantiene dos procesos activos en memoria, para permanecer
siempre residente. Si se elimina uno, se crea otro. Dos de
los archivos copiados en el sistema (los que poseen nombres
al azar), se encargan de monitorear esto, y de crear de
inmediato una nueva copia, por lo que la limpieza debe
hacerse en modo a prueba de fallos.
Crea las siguientes entradas para auto ejecutarse en cada
reinicio de Windows:
HKLM\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run\[nombre al azar]
[nombre al azar] = c:\windows\system\[nombre al azar]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
[nombre al azar] = c:\windows\system\[nombre al azar] %1
En Windows XP crea la siguiente entrada:
HKU\S-1-5-21-??????????-??????????-?????????-???
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system32\[nombre al azar]
Luego, se envía a direcciones electrónicas obtenidas de
determinados archivos de la máquina infectada, en mensajes
con asuntos, textos y nombres de adjuntos variables. Los
adjuntos poseen extensiones .PIF y .ZIP.
Si el sistema no está conectado a Internet, el gusano intenta
conectarse utilizando cualquier conexión telefónica
disponible. Puede mostrar también una ventana con el
siguiente mensaje:
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
El gusano busca las direcciones de correo electrónico para
enviarse, en archivos con las siguientes extensiones, en
todas las unidades de disco duro:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bas
.cfg
.cgi
.cls
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.ods
.oft
.php
.pl
.pp
.ppt
.pst
.rtf
.shtml
.sln
.tbb
.txt
.uin
.vap
.vbs
.wab
.wsh
.xls
.xml
Las direcciones obtenidas, son almacenadas en el siguiente
archivo:
c:\windows\system\syst32win.dll
El gusano evita enviarse a direcciones que contengan alguno
de los siguientes textos:
@arin
@avp
@ca.
@foo.
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@ntp.
@panda
@sophos
abuse
antivir
clock
domain.
emsisoft
ewido.
free-av
freeav/
freenet.de
gmx.de
gmx.net
google
host.
linux
lycos.de
mailer-daemon
microsoft.
mozilla
ntp-
ntp@
office
password
postmas
redaktion
service
support
symant
time
variabel
verizon.
viren
virus
web.de
winrar
winzip
yahoo.com
yahoo.de
* Reparación manual
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados por el virus
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\[nombre].exe
c:\windows\system\bcegfds.lll
c:\windows\system\spoofed_recips.ocx
c:\windows\system\syst32win.dll
c:\windows\system\winhex32xx.wrm
c:\windows\system\winsys32xx.zzp
c:\windows\system\zhcarxxi.wx
c:\windows\system\zmndpgwf.kxx
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares a los
descriptos antes.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
\[nombre al azar]
3. Pinche en la carpeta "[nombre al azar]" y bórrela
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Pinche en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
[nombre al azar] = c:\windows\system\[nombre al azar] %1
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_USERS
\S-1-5-21-??????????-??????????-?????????-???
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
[nombre al azar] = c:\windows\system32\[nombre al azar]
Donde [nombre al azar] está formado por la combinación de
algunos de estos elementos:
32
crypt
data
diag
dir
disc
explorer
host
log
run
service
smss32
spool
sys
win
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1369 Año 8, lunes 5 de abril de 2004
|
Responder a este mensaje
