|
Mostrando mensaje 486
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1437 Año 8, sábado 12 de junio de 2004 | | Fecha: | Sabado, 12 de Junio, 2004 10:35:42 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1437 Año 8, sábado 12 de junio de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Vulnerabilidad Cross-Domain en Internet Explorer
2 - Actualización crítica de seguridad para RealPlayer
3 - W32/Sober.H. Se propaga con asuntos y textos al azar
4 - Back/Haxdoor.G. Puede borrar todos los discos duros
_____________________________________________________________
1 - Vulnerabilidad Cross-Domain en Internet Explorer
_____________________________________________________________
http://www.vsantivirus.com/ucert12-06-04.htm
Vulnerabilidad Cross-Domain en Internet Explorer
Fuente: Boletín de Seguridad/UNAM-CERT (*)
http://www.unam-cert.unam.mx/
Boletín de Seguridad UNAM-CERT 2004-011
Vulnerabilidad del Tipo Redireccionamiento Cross-Domain en
Internet Explorer
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, ha emitido éste boletín
donde informan sobre una vulnerabilidad del tipo cross-domain
en Internet Explorer (IE), que podría permitir a un intruso
ejecutar código arbitrario con los privilegios del usuario
ejecutando IE.
* Fecha de Liberación: 11 de Junio de 2004
* Fuente: CERT/CC y diversos reportes de Equipos de Respuesta
a Incidentes, así como Foros y Listas de Discusión.
* Sistemas Afectados
Sistemas Windows de Microsoft.
I. Descripción
Existe una vulnerabilidad del tipo cross-domain en la forma
en como IE determina la zona de seguridad de un marco (frame)
del navegador que es abierto en un dominio y después es
redireccionado a un servidor Web en un dominio diferente. Un
conjunto complejo de condiciones esta involucrado, incluyendo
una respuesta HTTP retardada (código de estado 3xx) para
cambiar el contenido del marco al nuevo dominio. La Nota de
Vulnerabilidad del CERT/CC VU#713878 describe esta
vulnerabilidad en una forma técnica más detallada y será
actualizada cuando este disponible una mayor información.
Otros programas que almacenan el control ActiveX WebBrowser o
utilizan el motor de interpretación MSHTML, como Outlook y
Outlook Express, podrían también ser afectados.
Este problema ha sido referenciado por el grupo CVE como CAN-
2004-0549.
II. Impacto
Al convencer a una víctima para visualizar un documento HTML
(página Web, correo HTML), un intruso podría ejecutar un
script en un dominio de seguridad diferente al que contiene
el documento del intruso. Causando que el script sea
ejecutado en la Zona de Equipo Local, el intruso podría
ejecutar código arbitrario con privilegios del usuario
ejecutando IE.
Existe un exploit liberado públicamente para esta
vulnerabilidad, y el CERT/UNAM-CERT han monitoreado reportes
de incidentes que indican que esta vulnerabilidad esta siendo
activamente explotada.
III. Solución
Hasta que una solución completa este disponible de Microsoft,
considere las siguientes soluciones temporales.
- Deshabilite los Controles Active Scripting y ActiveX
Deshabilite los controles Active scripting y ActiveX en la
Zona de Internet (o cualquier zona utilizada por un intruso)
parece prevenir la explotación de esta vulnerabilidad. Al
deshabilitar los controles Active scripting y ActiveX en la
Zona de Equipo Local prevendrá el uso de la técnicas
utilizadas por los intrusos. Las instrucciones para
deshabilitar Active Scripting en la Zona de Internet pueden
ser encontradas en el documento: Malicious Web Scripts FAQ
Consulte el documento Microsoft Knowledge Base Article 833633
para mayor información sobre asegurar la Zona de Equipo
Local. También, el Service Pack 2 para Windows XP
(actualmente en RC1) incluye estas y otras mejoras de
seguridad para IE.
- No de Clic a Vínculos NO solicitados
No debe dar clic en URLs no solicitados recibidos en un
correo electrónico, mensajes instantáneos, foros de discusión
o canales IRC (Internet Relay Chat). Esta recomendación es
una buena práctica de seguridad, lo cual permite que se
prevenga la explotación de esta vulnerabilidad en todos los
casos.
- Mantenga Actualizado su Software Antivirus
El software antivirus con las definiciones de virus
actualizadas podría identificar y prevenir algunos intentos
de explotar esta vulnerabilidad. Las variaciones de exploits
o ataques podrían no ser detectadas. No es una buena práctica
de seguridad confiar solamente en el software antivirus como
defensa para esta vulnerabilidad.
* Apéndice A. Referencias
Vulnerability Note VU#713878
http://www.kb.cert.org/vuls/id/713878
FAQ - Scripts de Web Maliciosos
http://www.cert.org/tech_tips/malicious_code_FAQ.html#steps
Recursos de Virus de Cómputo
http://www.us-cert.gov/other_sources/viruses.html
CVE CAN-2004-0549
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0549
Microsoft Knowledge Base Article 833633
http://support.microsoft.com/default.aspx?scid=833633
Windows XP Service Pack 2 RC1 -
http://www.microsoft.com/technet/prodtechnol/winxppro/maintai
n/winxpsp2.mspx
Incrementa la Seguridad en Tu Navegador y Correo Electrónico
http://www.microsoft.com/security/incident/settings.mspx
Trabajando con las Configuraciones de Seguridad de Internet
Explorer 6
http://www.microsoft.com/windows/ie/using/howto/security/sett
ings.mspx
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el
apoyo en la elaboración, revisión y traducción de éste
boletín a:
Jesús R. Jiménez Rojas (jrojas@seguridad.unam.mx)
* Información
Éste documento se encuentra disponible en su formato original
en la siguiente dirección:
http://www.us-cert.gov/cas/techalerts/TA04-163A.html
La versión en español del documento se encuentra disponible
en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-
UNAM-CERT-2004-011.html
(*) Este artículo fue publicado originalmente en el boletín
de Seguridad/UNAM-CERT (Equipo de Respuesta a Incidentes de
Seguridad en Cómputo), de la Universidad Nacional Autónoma de
México, y se reproduce en VSAntivirus respetando las
condiciones legales exigidas por dicha publicación:
http://www.unam-cert.unam.mx/
* Enlaces relacionados:
Peligrosas vulnerabilidades en Internet Explorer
http://www.vsantivirus.com/11-06-04.htm
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Unpatched IE vuln exploited by adware
http://www.theregister.co.uk/2004/06/10/ms_inpatched_ie_flaw/
Internet Explorer Local Resource Access and Cross-Zone
Scripting Vulnerabilities
http://secunia.com/advisories/11793/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Actualización crítica de seguridad para RealPlayer
_____________________________________________________________
http://www.vsantivirus.com/vul-realplayer-20040612.htm
Actualización crítica de seguridad para RealPlayer
Por Angela Ruiz
angela@videosoft.net.uy
El pasado 16 de mayo publicábamos en VSAntivirus (ver
"RealPlayer puede permitir la ejecución de código",
http://www.vsantivirus.com/vul-realplayer-20040514.htm), la
existencia de una vulnerabilidad reportada por eEye Digital
Security, en las instalaciones por defecto del software de
RealNetworks conocido como RealPlayer.
Según eEye, se trata de un fallo muy grave, pero no
especificaba detalles del mismo en su reporte.
El 9 de junio de 2004, RealNetworks, lanza una actualización
de seguridad que resuelve este y otro problema en su
software.
Las vulnerabilidades solucionadas con esta actualización
podrían provocar que un intruso ejecutara códigos arbitrarios
en un equipo remoto. Sin embargo, no existe información de
que hayan existido ataques de este tipo.
Según RealNetworks, una de las vulnerabilidades corregidas,
podría permitir la modificación de archivos RAM, de tal modo
que un intruso fuera capaz de ejecutar código arbitrario en
un equipo ajeno y causar errores en el reproductor.
El otro fallo corregido, afecta al componente EMBD3260.DLL,
que falla al construir ciertos mensajes de error,
maliciosamente creados a partir de archivos de películas
especialmente modificados, y empotrados en un documento HTML,
para provocar un desbordamiento de búfer.
Software afectado:
Los problemas afectan a los siguientes productos de Windows:
- RealOne Player (versión en inglés)
- RealOne Player v2 (en todos los idiomas)
- RealPlayer 10 (versiones en inglés, alemán y japonés)
- RealPlayer 8 (en todos los idiomas)
- RealPlayer Enterprise (en todas las versiones,
independiente y configurado por RealPlayer Enterprise
Manager).
La solución es actualizar estos productos, según se explica a
continuación:
Reproductores para Windows:
Los clientes de RealOne Player, RealOne Player v2 (en todos
los idiomas) y RealPlayer 10 (sólo en las versiones en
inglés, alemán y japonés) deben seguir estos pasos para
actualizar su reproductor:
1. En el menú Herramientas, seleccione Buscar
actualizaciones.
2. Seleccione el cuadro junto al componente "Actualización de
seguridad de junio de 2004".
3. Haga clic en el botón Instalar para descargar e instalar
la actualización.
RealPlayer 8 (versión 6.0.9.584):
Debido a las mejoras realizadas en el código tras el
lanzamiento de RealPlayer 8, no hay disponible una
actualización para este producto. En su lugar, RealNetworks
aconseja que actualice su reproductor a RealPlayer 10:
1. Vaya al menú Ayuda.
2. Seleccione Buscar actualizaciones.
3. Seleccione la casilla junto al componente "RealPlayer 10"
(versiones en inglés, alemán y japonés) o "RealOne Player"
(otros idiomas).
4. Haga clic en Instalar para descargar e instalar la
actualización.
A continuación, siga los pasos correspondientes a RealPlayer
10 que se indican más arriba para obtener correcciones de
seguridad adicionales.
* Más información:
RealPlayer Soporte al cliente
http://www.service.real.com/realplayer/
RealNetworks, Inc. lanza una actualización de seguridad para
resolver puntos vulnerables.
www.service.real.com/help/faq/security/040610_player/ES-XM/
RealPlayer puede permitir la ejecución de código
http://www.vsantivirus.com/vul-realplayer-20040514.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Sober.H. Se propaga con asuntos y textos al azar
_____________________________________________________________
http://www.vsantivirus.com/sober-h.htm
Nombre: W32/Sober.H
Tipo: Gusano de Internet
Alias: Sober.H, W32.Sober.H@mm, Win32/Sober.H, Troj/Sober-H,
I-Worm.Sober.h, W32/Sober.h@MM, WORM_SOBER.H, Win32.Sober.H,
W32/Sober.H@mm, Win32/Sober.H.Worm
Fecha: 11/jun/04
Plataforma: Windows 32-bit
Tamaño: 59,747 bytes (UPX)
Variante del Sober, detectado el 11 de junio de 2004. Escrito
en Microsoft Visual Basic y comprimido con la herramienta
UPX, se propaga por correo electrónico, o es enviado en forma
de spam. También puede ser instalado por otro malware.
Los mensajes tienen asuntos y textos al azar, que varían en
cada infección. En esta versión, los mismos están solo en
alemán.
Utiliza su propio motor SMTP, de modo que no depende del
cliente utilizado por la víctima.
El remitente siempre es falseado, y seleccionado al azar de
la lista de direcciones a las que el gusano se envía.
Algunos ejemplos de posibles asuntos:
#
Achtung! gef
Bestellungs Best
Dein Zeug's!
Die Tools!
Falsche Mailzustellung
Fehler in Ihrer E-Mail
Hi, sei vorsichtig!
Hier für dich^^
hrlicher Virus!
Ich habe mich in dich verliebt!
Ihr neuer Account
Ihre E-Mail war fehlerhaft
Information von
Lieferungs-Best
Mail_Fehler
Neue Account Daten
Ok, hier ist mein
Rechnung
Schon gehört?
Sie haben nicht gezahlt
tigung
Ungültige Variablen in ihrer E-Mail
Verbindung wurde getrennt
wazzup!!!
Cuando se ejecuta, el gusano crea en la carpeta System (o
System32) de Windows, los siguientes archivos:
c:\windows\system\[nombre].exe
c:\windows\system\bcegfds.lll
c:\windows\system\cvqaikxt.apk
c:\windows\system\llsapwin32.dats
c:\windows\system\mswn32sock.dats
c:\windows\system\odin-anon.ger
c:\windows\system\zhcarxxi.vvx
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "c:\winnt\system32" en Windows NT/2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Mantiene dos procesos activos en memoria, para permanecer
siempre residente. Si se elimina uno, se crea otro. Dos de
los archivos copiados en el sistema (los que poseen nombres
al azar), se encargan de monitorear esto, y de crear de
inmediato una nueva copia, por lo que la limpieza debe
hacerse en modo a prueba de fallos.
Crea las siguientes entradas para auto ejecutarse en cada
reinicio de Windows:
HKLM\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run\[nombre al azar]
[nombre al azar] = c:\windows\system\[nombre al azar]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
[nombre al azar] = c:\windows\system\[nombre al azar] %1
Donde [nombre al azar] está formado por elementos de la
siguiente lista:
32
crypt
data
diag
dir
disc
explorer
host
log
run
service
smss32
spool
sys
win
Luego, se envía a direcciones electrónicas obtenidas de
determinados archivos de la máquina infectada, en mensajes
con asuntos, textos y nombres de adjuntos variables. Los
adjuntos pueden poseer varias extensiones, entre ellas .ZIP.
El gusano busca las direcciones de correo electrónico para
enviarse, en archivos cuyos nombres contengan algunas de las
siguientes cadenas de texto, en todas las unidades de disco
duro:
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
Evita enviarse a direcciones que contengan algunas de las
siguientes cadenas:
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
host.
icrosoft
ipt.aol
law2
mailer-daemon
mantec
me@
mozilla
msdn.
mustermann@
nlpmail01.
nothing
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
t-dialin
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
El gusano intenta descargar y ejecutar del sitio
"people.freenet.de", el siguiente archivo:
winhlpx32ll.exe
Periódicamente, el gusano comprueba la existencia de un
archivo llamado SYSMMS32.LLA. Si existe, el gusano se auto
desinstala de memoria. Si el mencionado archivo está presente
en la carpeta System (o System32) de Windows antes de existir
una infección, entonces el gusano no se instalará en dicho
equipo.
* Reparación manual
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados por el virus
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\[nombre].exe
c:\windows\system\bcegfds.lll
c:\windows\system\cvqaikxt.apk
c:\windows\system\llsapwin32.dats
c:\windows\system\mswn32sock.dats
c:\windows\system\odin-anon.ger
c:\windows\system\zhcarxxi.vvx
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares a los
descriptos antes.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
[nombre al azar] = c:\windows\system\[nombre al azar]
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Pinche en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
[nombre al azar] = c:\windows\system\[nombre al azar]
Donde [nombre al azar] está formado por la combinación de
algunos de estos elementos:
32
crypt
data
diag
dir
disc
explorer
host
log
run
service
smss32
spool
sys
win
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Back/Haxdoor.G. Puede borrar todos los discos duros
_____________________________________________________________
http://www.vsantivirus.com/back-haxdoor-g.htm
Nombre: Back/Haxdoor.G
Tipo: Caballo de Troya de acceso remoto
Alias: Haxdoor.G, Troj/Haxdoor.G, Troj/Haxdoor-G, BackDoor-
BAC.dll trojan
Plataforma: Windows 32-bit
Fecha: 11/jun/04
Este troyano de acceso remoto, permite a un intruso tomar el
control total del equipo infectado.
El troyano no se propaga por si mismo. Puede llegar a nuestro
PC al ser copiado manualmente en el sistema, o al ser
descargado intencionalmente o mediante engaños de algún sitio
malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano
a su víctima en un mensaje electrónico individual o
masivamente por medio de spam a otros usuarios.
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system\BOOT32.SYS
c:\windows\system\C3.DLL
c:\windows\system\C3.SYS
c:\windows\system\C4.SYS
c:\windows\system\DEBUG.DLL
c:\windows\system\ERROR.A3D
c:\windows\system\IN.A3D
c:\windows\system\KLOG.SYS
c:\windows\system\KLOGINI.DLL
c:\windows\system\P2.INI
c:\windows\system\PS.A3D
c:\windows\system\SDMAPI.SYS
c:\windows\system\W32_SS.EXE
NOTA: La ubicación de la carpeta System puede variar de
acuerdo al sistema operativo instalado. "c:\windows\system"
(por defecto) en Windows 9x/ME, "c:\winnt\system32" en
Windows NT/2000 y "c:\windows\system32" en Windows XP y
Windows Server 2003.
Crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
secboot = c:\windows\system\w32_ss.exe
Según la versión del sistema operativo instalado, también
crea alguna de las siguientes entradas del registro, para
ejecutar el archivo DEBUGG.DLL al inicio:
HKLM\SYSTEM\CurrentControlSet
\Control\MPRServices\TestServices
DllName = debugg.dll
EntryPoint = MemManager
StackSize = 0
HKLM\SOFTWARE\Microsoft
\Windows NT\CurrentVersion\Winlogon\Notify\debugg
DllName = debugg.dll
Startup = MemManager
Impersonate = 1
Asynchronous = 1
MaxWait = 1
También puede crear alguna de estas entradas:
HKLM\SYSTEM\RAdminv\2.0\Parameters\DisableTrayIcon
HKLM\SYSTEM\CurrentControlSet\Control\Impersonate
HKLM\SYSTEM\CurrentControlSet
\Control\Session Management\EnforceWriteProtection
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersoin\hws
El troyano intenta deshabilitar la ejecución de ciertos
programas antivirus y otras aplicaciones de seguridad, además
de evitar que alguno de sus componentes sea borrado.
En Windows XP, el troyano intenta copiar el archivo SAM (sin
extensión), de la carpeta WINDOWS\SYSTEM32\CONFIG en la misma
carpeta, con el nombre de SSL (sin extensión).
También intenta cargar dos drivers de dispositivos que
funcionan en modo kernel, para ejecutar dos de los archivos
creados previamente. Uno es un servicio llamado SDMAPI
(KESDM), que ejecuta SDMAPI.SYS. El otro servicio es BOOT32
(KEBOOT), y ejecuta a BOOT32.SYS.
El troyano crea un archivo que sobrescribe a WIN.COM o
NTDETECT.COM de Windows, y luego sobrescribe todos los discos
duros del sistema. Esta acción puede ser provocada por un
atacante remoto, o por medio de un archivo de configuración.
El troyano posee una gran capacidad para ocultarse y evitar
ser borrado, así como evita se puedan cambiar las
modificaciones realizadas por él en el registro.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados por el virus
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\BOOT32.SYS
c:\windows\system\C3.DLL
c:\windows\system\C3.SYS
c:\windows\system\C4.SYS
c:\windows\system\DEBUG.DLL
c:\windows\system\ERROR.A3D
c:\windows\system\IN.A3D
c:\windows\system\KLOG.SYS
c:\windows\system\KLOGINI.DLL
c:\windows\system\P2.INI
c:\windows\system\PS.A3D
c:\windows\system\SDMAPI.SYS
c:\windows\system\W32_SS.EXE
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
secboot
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\MPRServices
5. Borre la carpeta "MPRServices"
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
\Notify
\debugg
7. Borre la carpeta "debugg"
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\RAdminv
9. Borre la carpeta "RAdminv"
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Impersonate
11. Borre la carpeta "Impersonate"
12. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
13. Borre la carpeta "Session Management" (no la confunda con
"Session Manager")
14. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersoin
\hws
15. Borre la carpeta "hws"
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1437 Año 8, sábado 12 de junio de 2004
|
Responder a este mensaje
