|
Mostrando mensaje 419
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1370 Año 8, martes 6 de abril de 2004 | | Fecha: | Martes, 6 de Abril, 2004 07:57:46 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1370 Año 8, martes 6 de abril de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Netsky.T. Puede descargar y ejecutar un archivo
2 - Fallo en eMule, permite la ejecución remota de código
_____________________________________________________________
1 - W32/Netsky.T. Puede descargar y ejecutar un archivo
_____________________________________________________________
http://www.vsantivirus.com/netsky-t.htm
Nombre: W32/Netsky.T
Tipo: Gusano de Internet
Alias: Netsky.T, I-Worm.NetSky.t, Win32/Netsky.T, W32/Netsky-
S, W32.Netsky.S@mm, W32/Netsky.s@MM, WORM_NETSKY.S,
Win32/Netsky.S.Worm, W32/Netsky.S@mm, W32/Netsky.s@MM,
WORM_NETSKY.GEN
Fecha: 5/abr/04
Plataforma: Windows 32-bit
Tamaño: 18,432 bytes (UPX)
Puerto: TCP/6789
Variante del gusano Netsky reportada el 5 de abril de 2004.
Se propaga por correo electrónico con numerosos asuntos y
textos. El adjunto es un nombre al azar seguido de un número
del cero al 9, y la extensión .PIF.
A diferencia de las anteriores, esta variante no se propaga
por redes P2P, ni intenta desinstalar a ningún otro gusano.
También agrega un componente troyano de acceso remoto por
puerta trasera (backdoor), que permite a un atacante
descargar y ejecutar un archivo en la máquina infectada.
Cuando se ejecuta por primera vez, el gusano crea los
siguientes archivos en el directorio de Windows:
c:\windows\easyav.exe
c:\windows\uinmzertinmds.opm
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
El gusano crea la siguiente entrada en el registro, para auto
ejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
EasyAV = c:\windows\easyav.exe
El gusano busca direcciones electrónicas en archivos con las
siguientes extensiones, en todas las unidades de disco y
mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.msg
.nch
.ods
.oft
.oft
.php
.pl
.ppt
.rtf
.sht
.shtm
.stm
.sys
.tbb
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xls
.xml
Si la fecha actual es 14, 15, o 16 de abril de 2004, el
gusano no se propaga. En cualquier otra fecha, utiliza su
propio motor SMTP para enviarse a si mismo, enviando mensajes
con las siguientes características, a las direcciones
obtenidas antes:
De: [remitente falso]
Cualquier dirección de las obtenidas por el gusano en la
máquina infectada. En ocasiones puede usar la siguiente:
hanta@chiva.net
Asunto: [uno de los siguientes]
[cadena al azar]
Approved
Hello!
Hi!
Important
My details
Re: <random strings>
Re: Approved
Re: Hello
Re: Hi
Re: Important
Re: My details
Re: Request
Re: Thanks you!
Re: Your details
Re: Your document
Re: Your information
Request
Thank you!
Your details
Your document
Your information
Texto del mensaje: [1]+[2]+[3]+[4]
Donde [1] es uno de los siguientes componentes:
[nada]
Hello!
Hi!
El componente [2] es seleccionado de esta lista:
Approved, here is the document.
For more details see the attached document.
For more information see the attached document.
Here is the [nombre del adjunto].
Here is the document.
I have found the [nombre del adjunto].
I have sent the [nombre del adjunto].
I have spent much time for the [nombre del adjunto].
I have spent much time for your document.
My [nombre del adjunto] is attached.
My [nombre del adjunto].
Note that I have attached your document.
Please have a look at the [nombre del adjunto].
Please have a look at the attached document.
Please notice the attached [nombre del adjunto].
Please notice the attached document.
Please read quickly.
Please read the [nombre del adjunto].
Please read the attached document.
Please see the [nombre del adjunto].
Please, [nombre del adjunto].
See the document for details.
The [nombre del adjunto] is attached.
The [nombre del adjunto].
The requested [nombre del adjunto] is attached!
Your [nombre del adjunto] is attached.
Your [nombre del adjunto].
Your file is attached to this mail.
El componente [3] puede ser uno de los siguientes (o no
existir):
Thank you
Thanks
Yours sincerely
Y el componente [4] es uno de los siguientes:
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Panda OnlineAntiVirus
+++ Website: www.pandasoftware.com
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new MCAfee OnlineAntiVirus
+++ Homepage: www.mcafee.com
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new F-Secure OnlineAntiVirus
+++ Visit us: www.f-secure.com
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Norton OnlineAntiVirus
+++ Free trial: www.norton.com
Datos adjuntos: [caracteres al azar]+[número al azar 0 a
9].pif
Donde [caracteres al azar] puede ser alguno de los siguientes
textos:
abuse_list
account
answer
approved_document
approved_file
archive
concept
contact_list
corrected_document
description
detailed_document
details
developement
diggest
document
e-mail
excel_document
final_version
homepage
icq_number
important_document
improved_document
improved_file
information
instructions
letter
message
movie_document
new_document
notice
number_list
old_document
order
personal_message
phone_number
photo_document
picture_document
postcard
powerpoint_document
presentation_document
release
report
requested_document
sample
secound_document
story
summary
textfile
user_list
word_document
En un hilo de ejecución independiente, el gusano examina la
fecha y hora actual del sistema. Entre los días 14 y 23 de
abril de 2004, intentará ataques de denegación de servicio a
los siguientes sitios:
www.cracks.am
www.emule.de
www.freemule.net
www.kazaa.com
www.keygen.us
Posee un componente backdoor, que una vez ejecutado, queda a
la escucha por el puerto TCP/6789, pudiendo recibir comandos
de un usuario remoto. El atacante también puede enviar un
archivo, y luego ejecutarlo.
Crea dos mutex, uno para cada uno de los procesos simultáneos
que ejecuta. Utiliza dos hilos simultáneos de ejecución, de
tal forma que si se finaliza uno, el otro lo reinicia de
forma inmediata. Los nombres de los mutex son los siguientes:
Protect_USUkUyUnUeUtU_Mutex
SyncMutex_USUkUyUnUeUtU
El gusano contiene el siguiente texto oculto encriptado en su
código:
SOW WE HAVE PROGRAMMED OUR BACKDOOR,
IT CANNOT BE USED FOR SPAM RELAYING
,ONLY FOR NKYNET DISTRIBUTION,
OUR ADVICE: EDUCATE THE USERS OR
UPDATE THE SMTP PROTOCOL, AND HEURISTICS
CANNOT DETECT NKYNET, BECAUSES
NUMEROUS SCAMBLER, COMPRESSORS, AND
PROTECTORS EXISTS INCLUDING PROGRAMMING
NEW FEATURES.
OHANKS TO RUSSIA, AND THANKS TO WWW
FOR SUPPORT.
09:34 J.H, XUSSIA
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\easyav.exe
c:\windows\uinmzertinmds.opm
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
EasyAV
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Fallo en eMule, permite la ejecución remota de código
_____________________________________________________________
http://www.vsantivirus.com/vul-stack-emule.htm
Fallo en eMule, permite la ejecución remota de código
Por Marcelo A. Rodriguez
marcelo-ar@videosoft.net.uy
Un desbordamiento de pila en eMule, permite la ejecución de
código arbitrario.
eMule es un popular programa de intercambio de archivos entre
usuarios, empleando para ello el mismo protocolo P2P de
eDonkey.
Esta vulnerabilidad que fuera detectada en eMule 0.42d,
ocurre al decodificar cadenas hexadecimales. Mediante este
fallo, un usuario remoto puede provocar la ejecución de
código arbitrario en el sistema atacado.
Kostya Kortchinsky reportó una vulnerabilidad del tipo
desbordamiento de pila (stack overflow) en la función
DecodeBase16() de eMule, invocada por el código del servidor
web y del cliente IRC.
La pila (stack), es el espacio de memoria reservada para
almacenar las direcciones de retorno en la ejecución de cada
rutina y otra información importante para la ejecución de los
programas. Si se sobrescriben datos en esa área, se pueden
producir bloqueos de las aplicaciones o del propio Windows; o
puede manipularse dicho fallo para ejecutar un programa.
La función DecodeBase16() toma una cadena hexadecimal, su
tamaño, y el búfer de destino (en el stack) como parámetros.
Sin embargo, esta función decodifica lo que se le suministre
sin controlar el tamaño en la cadena proporcionada, ni el
tamaño del búfer, lo cual hace posible el desbordamiento de
la pila.
Por ejemplo, un usuario remoto puede explotar este fallo,
enviando al usuario atacado, un comando IRC SENDLINK
especialmente alterado.
Está disponible en Internet un exploit de demostración.
Según el reporte, el fabricante fue notificado de este fallo
el 30 de marzo de 2004, y pocos días después, ya existe una
versión actualizada que lo corrige (0.42e o superior), por lo
que se recomienda la actualización inmediata a dicha versión,
descargable del siguiente enlace:
www.emule-project.net/home/perl/general.cgi?l=1&rm=download
Están afectados por esta vulnerabilidad, eMule 0.42d, y
posiblemente, todas las versiones anteriores.
Sitio del fabricante:
http://www.emule-project.net/
Reportado por:
Kostya Kortchinsky, de CERT RENATER
Publicado en:
http://www.securitytracker.com/alerts/2004/Apr/1009651.html
http://www.securityfocus.com/archive/1/359415
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1370 Año 8, martes 6 de abril de 2004
|
Responder a este mensaje
