| Asunto: | VSantivirus No. 1405 Año 8, martes 11 de mayo de 2004 | | Fecha: | Martes, 11 de Mayo, 2004 08:54:20 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1405 Año 8, martes 11 de mayo de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - ¿Elucubraciones o intento de sensibilización?
2 - W32/Sasser.F. Variante modificada del Sasser.A
3 - Vulnerabilidad en el gusano Sasser puede ser explotada
4 - W32/Cycle.A. Se propaga usando vulnerabilidad LSASS
_____________________________________________________________
1 - ¿Elucubraciones o intento de sensibilización?
_____________________________________________________________
http://www.vsantivirus.com/cs-hack.htm
¿Elucubraciones o intento de sensibilización?
Por Carlosues (*)
carlosues@videosoft.net.uy
Esta mañana he recibido, como todos los días, varias Alertas
de Virus a las que estoy suscrito, me llaman poderosamente la
atención dos de ellas, ambas de la misma empresa (una muy
conocida y solvente empresa antivirus) en las que nos
desglosa lo que podría calificarse de guión para una película
de Tarantino.
Aprovechando la popularidad del Sasser, veo que se monta una
historia en la cual un gusano abre un puerto, una herramienta
para detectar vulnerabilidades (DSScan), localiza el
ordenador "abierto", mediante herramientas para reventar
contraseñas (Brutus A y John The Ripper) se consigue la
pertinente y entonces se le introduce un Troyano (Briss A),
con funciones de Keylogger y capaz de múltiples barbaridades.
Pienso que esto es una exageración y que tampoco hay que
crear paranoias.
Tanto DSScan como Brutus y The Ripper, que en la noticia y
cito textualmente... "tres nuevas herramientas de hacking
llamadas DSScan, JohnTheRipper y Brutus.A, así como al
troyano Briss.A."
¿Quien no ha "jugado" en su propio ordenador con Brutus?. Y
recuerdo todavía la primera vez que descargué el John The
Ripper... saltaron todas las alarmas de mi PC!!!. Claro, es
una herramienta "hacker" bastante conocida, antigua y de
prestigio en el mundo "Ander".
En fin que es una situación posible pero improbable, tomarse
tanto trabajo para entrar en un ordenador que no se sabe que
contiene no es frecuente y hay modos mas fáciles una vez
utilizado el DSScan y localizada una maquina vulnerable.
Desde la obligación que tienen los administradores de
mantener a la hora, diría yo y no al día, sus sistemas y
recomendando que no descuiden ningún parche o actualización
no podemos por menos que rechazar estos "argumentos" que
quizás se hayan visto influenciados por la visión de a
película Troya de renombre en las carteleras.
No es válido crear alarma innecesaria aunque el hecho de que
los autores sean críos de 18 años de pie a historias de las
que gustan y llaman la atención.
Mucho ha llovido desde que se hackeó a las Bells para donar
el dinero a comedores y asilos, hoy se crackea (que no
hackea) por destruir y hacer daño, se envían virus sin
comprender las consecuencias ni valorar el alcance de dicha
acción.
Ante estos "cerebros" solo vale la prevención, la
información, recibir todos los boletines posibles sobre el
tema y todas las Alertas... pero por favor... sin novelas que
nada mas consiguen llevar a la mente del lector la falsa idea
de la invencibilidad de los atacantes, cuando tal idea es
falsa y normalmente triunfan donde alguien se ha descuidado.
Saludos y recuerden consultar sus boletines cada poco.
(*) Carlosues (seudónimo en la red de Carlos Sues), es un
antiguo colaborador de VSAntivirus.com, quien además mantiene
su "Weblog" http://www.filmica.com/carlosues/, con su crítica
y sagaz visión sobre acontecimientos de la vida diaria del
ciudadano español y de la red.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Sasser.F. Variante modificada del Sasser.A
_____________________________________________________________
http://www.vsantivirus.com/sasser-f.htm
Nombre: W32/Sasser.F
Tipo: Gusano de Internet
Alias: Sasser.F, Win32/Sasser.F, W32/Sasser-F,
W32/Sasser.worm.f, WORM_SASSER.F, Exploit-dcomrpc,
W32.Sasser.F.Worm
Fecha: 11/may/04
Plataforma: Windows NT, 2000, XP, 2003
Tamaño: 74,752 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996
Se trata de una variante modificada del "Sasser.A",
seguramente creada por un imitador del autor original,
capturado recientemente.
Esta vatiante modifica el nombre de algunos archivos, el de
la entrada en el registro, y el método de compresión
(recomprimido con PECompact).
Es un gusano de redes, programado en Visual C++, que se
propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm).
Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.
LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático como Sasser, capaz de propagarse por las
redes.
El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:
c:\windows\napatch.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
También crea los siguientes archivos:
c:\winlog2
c:\windows\system32\#_up.exe (varias copias)
Donde # es un número de cuatro o cinco dígitos, ejemplos:
c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe
Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
napatch.exe = c:\windows\napatch.exe
El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables. TCP/445 es el puerto por
defecto para el servicio vulnerable, SMB (Server Message
Block).
Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.
Cuando ello ocurre, se muestra una ventana con un mensaje muy
similar al siguiente:
LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos los inconvenientes ocasionados.
Luego, aparece una ventana casi idéntica a la provocada en
Windows XP por el gusano Blaster (Lovsan), y un minuto
después el sistema se reinicia:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINDOWS\system32\lsass.exe ha
finalizado inesperadamente y muestra el
error de código 0
Windows debe reiniciar ahora.
El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).
Windows 9x, Me y NT, no son vulnerables.
Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.
A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE, donde # es un número de cinco dígitos), provocando
la infección.
El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.
El archivo C:\WINLOG2 registra todas las direcciones IP de
las transacciones FTP realizadas con las máquinas infectadas.
El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria:
billgate
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* IMPORTANTE:
Instalar parches para la vulnerabilidad LSASS (MS04-011)
antes de cualquier otra acción a tomar para la limpieza del
gusano.
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* NOTA:
Debido a que los equipos infectados se reinician
constantemente cada 60 segundos, las tareas de limpieza,
incluida la descarga de antivirus, herramientas y parches de
Microsoft, pueden verse dificultadas.
Uno de lo trucos para evitar esto, consiste en atrasar la
hora del sistema. Para ello, cuando aparezca la ventana que
indica que el sistema será reiniciado por un error, haga
doble clic sobre el reloj que aparece en la parte inferior
del escritorio de Windows, y atrase la hora en la pantalla de
configuración que se despliega (una o dos horas es
suficiente). Recuerde volver a actualizar el reloj, una vez
que su equipo esté libre del gusano.
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Herramientas específicas de limpieza
Descargue y ejecute cualquiera de estas herramientas en su
computadora, para una limpieza automática de la misma. Siga
las instrucciones en pantalla.
http://www.vsantivirus.com/sasser-f.htm
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\winlog2
c:\windows\napatch.exe
c:\windows\system32\#_up.exe (varias copias)
Donde # es un número de cuatro o cinco dígitos, ejemplos:
c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
napatch.exe
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Más información:
El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm
Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Vulnerabilidad en el gusano Sasser puede ser explotada
_____________________________________________________________
http://www.vsantivirus.com/vul-ftp-sasser.htm
Vulnerabilidad en el gusano Sasser puede ser explotada
Por Jose Luis Lopez
videosoft@videosoft.net.uy
El gusano Sasser instala en las máquinas que infecta, un
servidor FTP que utiliza para sus propias rutinas de
propagación.
El servidor FTP escucha por el puerto TCP/5554 (o TCP/1023 en
la versión "E" del gusano), en todos los equipos infectados.
Según se ha detectado, este servidor posee una vulnerabilidad
del tipo desbordamiento de búfer.
En las últimas horas, un pequeño programa se ha empezado a
distribuir por Internet, el cuál puede aprovecharse de este
fallo, para abrir un shell remoto en el puerto TCP/530 (por
defecto).
Aunque se desconocen otros detalles acerca de la idea de este
exploit, hay que considerar que si bien existen miles de
máquinas infectadas, estas ya son vulnerables al fallo en el
proceso LSASS (Local Security Authority Subsystem), (ver
"MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm), lo que de por si
ya es un riesgo mayor.
LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema.
Si bien Sasser se vale de la misma, ya existe otro gusano que
saca provecho del fallo (Cycle.A).
De todos modos, existe un riesgo grande en la existencia del
programa que se vale de una vulnerabilidad en el gusano que
tantos estragos ha hecho en los últimos días, considerando
además que el propio Sasser se vale también de otra
vulnerabilidad (en ese caso en Windows) para propagarse.
Esta sería una de las primeras vulnerabilidades explotadas de
un virus.
* Relacionados:
La experiencia de un usuario con el Sasser
http://www.vsantivirus.com/experiencias-sasser.htm
Capturados autores del Sasser, del Netsky y del Agobot
http://www.vsantivirus.com/ev-captura-sasser.htm
Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm
W32/Sasser.C. Variante recompilada del Sasser.B
http://www.vsantivirus.com/sasser-c.htm
W32/Sasser.D. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-d.htm
W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm
El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm
Las consecuencias inmediatas del gusano Sasser
http://www.vsantivirus.com/ev04-05-04.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Cycle.A. Se propaga usando vulnerabilidad LSASS
_____________________________________________________________
http://www.vsantivirus.com/cycle-a.htm
Nombre: W32/Cycle.A
Tipo: Gusano de Internet
Alias: Cycle.A, Win32/Cycle.A, WORM_CYCLE.A, Exploit-
DcomRpc.gen, Win32.Cycle.A, Cycle.A, W32/Cycle.A.worm
Fecha: 10/may/04
Plataforma: Windows 32-bit
Tamaño: 10,240 bytes (UPX)
Este gusano, programado en Visual C++, explota la misma
vulnerabilidad en el proceso LSASS (Local Security Authority
Subsystem), reparada por Microsoft en su parche MS04-011 (ver
"MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm), de la que se
vale el gusano Sasser.
Afecta computadoras que estén ejecutándose bajo Windows XP o
2000, sin el parche MS04-011 instalado. Sin embargo, aunque
no las infecta, si puede ejecutarse en máquinas con Windows
95, 98 y Me, donde solo ejecuta su rutina para infectar otras
máquinas.
LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema.
El gusano escanea direcciones IP y una vez que detecta un
sistema vulnerable, libera un archivo de texto (CYCLONE.TXT),
con contenido político.
El gusano escucha por el puerto TCP/3332. Eso lo hace para
reconocer máquinas que ya han sido infectadas. Cada vez que
se inicia un escaneo por otros equipos vulnerables, intenta
conectarse antes a ese puerto y si puede hacerlo, no intenta
infectar ese equipo.
El gusano también es capaz de lanzar un ataque de denegación
de servicio (DoS) a sitios específicos, además de finalizar
los procesos asociados con otros gusanos (Sasser y Netsky).
Cuando se ejecuta, el gusano crea el siguiente archivo en la
carpeta del sistema de Windows:
c:\windows\system32\svchost.exe
Crea el servicio "Host Service" para dicho archivo:
HKLM\SYSTEM\CurrentControlSet\Services\Host Service
ObjectName = c:\windows\system32\svchost.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000.
Un paquete especialmente creado es enviado al puerto TCP/445
de la máquina vulnerable. Este puerto es un puerto usado
legítimamente por Windows 2000 y para el servicio SMB (Server
Message Block), tanto sobre TCP como UDP.
Este paquete provoca un desbordamiento de búfer que permite
la creación de un shell (consola de comandos) en el equipo
vulnerable, quedando este a la escucha para recibir ordenes,
por un puerto TCP seleccionado al azar.
El sistema invitado ejecuta un servidor TFTP, un cliente FTP,
incluido por defecto en la instalación de Windows 2000, XP y
Server 2003.
TFTP (Trivial File Transfer Protocol), es una versión
simplificada de FTP (File Transfer Protocol), un protocolo
que permite la transferencia de archivos entre dos
computadoras conectadas en red.
Este servidor permite que los equipos infectados puedan
descargar una copia del gusano propiamente dicho, utilizando
el puerto TCP/69. La copia es guardada en el directorio del
sistema de Windows.
El gusano crea el siguiente archivo de texto:
cyclone.txt
Este archivo contiene el siguiente texto con referencias
políticas:
Hi,
My name is Cyclone and I live in Iran,
and I want to speak with you about problems that we have
in iran:
A.In Iran we don't have any kind of freedom, because we
have islamic republic in iran:
1.we can't speak freely about regime, we can't speak even
a little bit against them!!!
2.I have to be a moslem otherwise they don't care about
me!
3.we CAN'T even wear the clothes and styles that we
wants!
4.women MUST wear a cloth that no one can even see their
hair!!!
5.they do not allow our national celebrations to be held,
they beat us!!
6.Many more...
B.The human rights is not implemented in Iran and there
is no justice,
1.Lynch is very common in Iran. If you are against the
regime then you may silently killed, or if there is a
tribunal, you can't say anything, everyone works against
you there.
2.1985-1990, the Islamic Republic of IRAN has been killed
more than 10,000 Iranian youngs. that has been comfirmed
by the documentations! This people killed without any
tribunal or any proof.
3.there is a punishment that is used so much during this
years, in this punishment, the person who must be killed
stand in a hole then others attack him with stones, this
will continue until he/she dead. there is some pictures
and videos that shows this terrible torture!
4.Many more...
C.Misery and poverty grows in Iran, because the islamic
republic leaders steal the money, they stolen the money
that provided by selling oil, and then the people must
die because they don't have enough money to even buy a
bread!!!
D.Misery and poverty cause vice to grow, you see many
young people in Iran using drugs and I think this is also
a trick by the government to not allow us to arise
against them!
E.Islamic republic gave Iran a bad name. before islamic
republic we can travel anywhere in the world without any
problem but now we have so much problems if we want to
travel a foreign country, anyone think that we are
terrorist. THE PEOPLE OF IRAN ARE NOT TERRORIST, THE
ISLAMIC REPUBLIC OF IRAN IS TERRORIST.
The people of Iran trying to arise, but failed to do.
About one year ago, Iranian people try to say to the
world that we don't need Islamic republic but the
government and police beat the people who try to tell the
truth and they killed some people.
You see that they don't even care about their own people,
think what happen if they gain access to an ATOMIC
BOMB!!! it's very dangerous for the world.
With all of this conditions and injustices, european
governments still support islamic republic, they say that
they just care about their own country!
and I want to show them our WRATH!
All of the european people are my friends and I never
want to harm them, just government and the Politicians!
If you protest against iraq war and say why there must be
a war against iraq, and if you do this for humanity,
please do anything that you can do for helping iranian
people.
at least make your country not to support islamic
republic anymore, I'm deadly sure that if european
countries do not support islamic republic. it will be
destroyed after 3-6 months! so please help!
I don't want to damage, I just want my country to grow,
to improve!!! I have no other way to tell this words to
world, sorry!!
El gusano también puede lanzar un ataque de denegación de
servicio (DoS) a los siguientes sitios de Internet, siempre
que la fecha actual del sistema no se encuentre entre el 1 y
el 18 de mayo, ambos inclusive:
www.bbc.com (British Broadcasting Company)
www.irna.com (Islamic Republic News Agency)
También finaliza los procesos asociados con los gusanos
Sasser.A y Netsky.A:
avserve.exe
avserve2.exe
msblast.exe
skynetave.exe
Cómo el gusano provoca un desbordamiento de búfer en el
archivo LSASS.EXE de Windows, como en el caso del Sasser,
ello provoca el fallo de este componente con el consiguiente
reinicio del sistema, mostrando mensajes como el siguiente:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINDOWS\system32\lsass.exe ha
finalizado inesperadamente y muestra el
error de código 0
Windows debe reiniciar ahora.
El gusano también crea los siguientes mutex para evitar que
el gusano Sasser se ejecute:
Jobaka3
Jobaka3l
JumpallsNlsTillt
SkynetSasserVersionWithPingFast
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* IMPORTANTE:
Instalar parches para la vulnerabilidad LSASS (MS04-011)
antes de cualquier otra acción a tomar para la limpieza del
gusano.
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* NOTA:
Debido a que los equipos infectados se reinician
constantemente cada 60 segundos, las tareas de limpieza,
incluida la descarga de antivirus, herramientas y parches de
Microsoft, pueden verse dificultadas.
Uno de lo trucos para evitar esto, consiste en atrasar la
hora del sistema. Para ello, cuando aparezca la ventana que
indica que el sistema será reiniciado por un error, haga
doble clic sobre el reloj que aparece en la parte inferior
del escritorio de Windows, y atrase la hora en la pantalla de
configuración que se despliega (una o dos horas es
suficiente). Recuerde volver a actualizar el reloj, una vez
que su equipo esté libre del gusano.
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Herramientas específicas de limpieza
Descargue y ejecute cualquiera de estas herramientas en su
computadora, para una limpieza automática de la misma. Siga
las instrucciones en pantalla.
McAfee AVERT Stinger
http://download.nai.com/products/mcafee-avert/stinger.exe
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Host Service
3. Pinche en la carpeta "Host Service" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
ObjectName = c:\windows\system32\svchost.exe
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1405 Año 8, martes 11 de mayo de 2004
|
VSantivirus No. 14
Responder a este mensaje
