Mostrando mensaje 499     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1450 Año 8, viernes 25 de junio de 2004 Fecha: Viernes, 25 de Junio, 2004  12:27:46 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1450 Año 8, viernes 25 de junio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - JS/Scob.A. Descarga archivos al visitar sitios Web 2 - Back/Padodor.W. Roba información confidencial 3 - W32/Scob.A. Infecta servidores IIS 5.0 4 - W32/Korgo.V. Infecta equipos sin parche LSASS 5 - Back/Padodor.NAA. Roba información confidencial _____________________________________________________________ 1 - JS/Scob.A. Descarga archivos al visitar sitios Web _____________________________________________________________ http://www.vsantivirus.com/js-scob-a.htm Nombre: JS/Scob.A Tipo: Caballo de Troya de Java Script Alias: Scob, Toofer, JS/Scob, JS.Toofer, JS/Exploit- DialogArg.b, JS.Scob.Trojan, Win32.Toofer, JScript/Toofer.Trojan Fecha: 24/jun/04 Plataforma: Windows 32-bit Es un troyano del tipo downloader (descarga otros archivos), escrito en JavaScript. Fue detectado en algunos sitios de Internet el 24 de junio. Se agrega a páginas existentes en servidores de Internet, por ejemplo archivos de imágenes JPG, GIF, HTML, etc. Cuando se ejecuta, utiliza un marco invisible (utilizando iFrame) para conectarse a un sitio Web e intentar descargar un programa malicioso (al momento de esta descripción, se informa de reportes de una variante del troyano Padodor - también conocido como Webber- como descargada por este troyano). Ver "Back/Padodor.W. Roba información confidencial", http://www.vsantivirus.com/back-padodor-w.htm También crea una cookie en el sistema, con fecha de expiración en una semana. Eso hace que el usuario no se conecte al sitio remoto, al menos hasta una semana después. La cookie comienza con los siguientes caracteres: trk716 El troyano se aprovecha de servidores IIS (Microsoft Internet Information Server) vulnerables, donde se instala como AGENT.EXE (detectado como W32/Scob o W32/Toofer, ver "W32/Scob.A. Infecta servidores IIS 5.0", http://www.vsantivirus.com/scob-a.htm), y libera una utilidad de administración para el IIS llamada ADS.VBS. En el servidor, el troyano ejecuta el siguiente comando: csript.exe ads.vbs enum /p w3svc Envía la salida al archivo de texto W3ENUM.TXT donde la salida es interpretada para conseguir el directorio IIS. Entonces, libera el componente JS/Scob en el directorio "inetsrv\" con nombres al azar, por ejemplo: iis72a.dll Después vuelve a utilizar ADS.VBS para agregar el DLL creado al contenido HTTP servido por el IIS, tanto en archivos HTML como CSS, incluidos GIF, JPG, etc. Cuando un usuario visualiza alguna de dichas páginas, el troyano intenta descargar de un sitio ruso, ciertos archivos, aprovechándose de dos vulnerabilidades del Internet Explorer, una de ellas aún no solucionada (a la fecha de esta descripción). El sitio web está actualmente cerrado, al menos para la versión examinada del troyano. El HTML comprometido utiliza dos exploits conocidos como "JS.ModalDZoneBypass.exploit" y "HTML.MHTMLRedir.exploit". Este último se vale de una vulnerabilidad conocida como "MHTML URL Processing Vulnerability", y afecta al sistema de ayuda online de Windows, permitiendo la descarga y ejecución remota de un archivo desde un sitio Web. La solución es descargar e instalar el siguiente parche (aunque se menciona el Outlook Express, corrige el fallo para todos los demás componentes de Windows): MS04-013 Parche acumulativo para Outlook Express (837009) http://www.vsantivirus.com/vulms04-013.htm La primera vulnerabilidad no posee aún parche, y está descripta en los siguientes enlaces: Fallo que afecta al 90% de usuarios de computadoras http://www.vsantivirus.com/15-06-04.htm Vulnerabilidad Cross-Domain en Internet Explorer http://www.vsantivirus.com/ucert12-06-04.htm Peligrosas vulnerabilidades en Internet Explorer http://www.vsantivirus.com/11-06-04.htm Para prevenir la acción de este troyano, se sugiere la configuración descripta en el siguiente enlace: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Más información: W32/Scob.A. Infecta servidores IIS 5.0 http://www.vsantivirus.com/scob-a.htm Back/Padodor.W. Roba información confidencial http://www.vsantivirus.com/back-padodor-w.htm * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Instalar parche acumulativo de Outlook Express Para protegerse de las vulnerabilidades que explota este troyano/gusano, instale el último parche acumulativo de Outlook Express: MS04-013 Parche acumulativo para Outlook Express (837009) http://www.vsantivirus.com/vulms04-013.htm * Instalar parche acumulativo de Internet Explorer Para protegerse de las vulnerabilidades que explota este troyano/gusano, instale el último parche acumulativo de Internet Explorer: MS04-004 Actualización acumulativa para IE (832894) http://www.vsantivirus.com/vulms04-004.htm * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Back/Padodor.W. Roba información confidencial _____________________________________________________________ http://www.vsantivirus.com/back-padodor-w.htm Nombre: Back/Padodor.W Tipo: Caballo de Troya Alias: Padodor.W, Padodor, Padodoor, Win32/Padodor.NAA, Win32/Padodor.W, Back/Padodor.NAA, Troj/Padodor.NAA, Backdoor.Padodor.w, Backdoor.Padodor.gen, Webber.P, Bck/Webber.P, Berbew.F, Backdoor.Berbew, Win32/TrojanProxy.Webber, Backdoor.Berbew.E, Back/Berbew.E Fecha: 25/jun/03 Plataforma: Windows 32-bit Tamaño: 51,712 bytes (exe), 6,145 bytes (dll)(MPPEC) Troyano que roba información confidencial de la computadora infectada, así como datos de cuentas bancarias, capturando todo lo tecleado por el usuario al acceder a bancos on-line. Se han reportado instalaciones de este troyano al visitar sitios infectados, que ejecutan en las computadoras de los usuarios un JavaScript que explota varias vulnerabilidades (ver "JS/Scob.A. Descarga archivos al visitar sitios Web", http://www.vsantivirus.com/js-scob-a.htm). El troyano puede descargar otros componentes de Internet, además de enviar la dirección IP de la máquina infectada a otros equipos, actuando como Proxy de hasta 100 conexiones simultáneas. Esto puede ser usado para que un usuario remoto utilice la máquina infectada como "lanzadera" de cualquier clase de datos, por ejemplo SPAM. Cuando se ejecuta el troyano, se descarga e instala clandestinamente un servidor proxy. Además de robar contraseñas, intenta extraer información de la máquina infectada y enviarla a un script de CGI a los siguientes sitios: asechka .ru/index .php color-bank .ru/index .php crutop .nu/index .htm crutop .nu/index .php crutop .ru/index .php cvv .ru/index .htm cvv .ru/index .php devx .nm .ru/index .php fethard .biz/index .php filesearch .ru/index .php fuck .ru/index .php gaz-prom .ru/index .htm goldensand .ru/index .php hackers .lv/index .php kadet .ru/index .htm ldark .nm .ru/index .htm lovingod .host .sk/index .php mazafaka .ru/index .php potleaf .chat .ru/index .htm promo .ru/index .htm ros-neftbank .ru/index .php trojan .ru/index .php www .redline .ru/index .php El troyano busca toda la información almacenada en el caché de contraseñas de Windows, lo que incluye contraseñas de accesos telefónicos, etc. Para registrar la información obtenida, utiliza varios archivos con nombres al azar en la carpeta System o System32, según el sistema operativo. Luego, examina todas las ventanas abiertas e intercepta cualquier clase de datos ingresados a ellas, así como el contenido del portapapeles (lo que se guarda al seleccionar Cortar o Copiar). También se activa cuando el usuario ingresa datos en cualquier ventana que contenga algunas de las siguientes cadenas: .earthlink. .juno .com .paypal .com .yahoo .com Log In my.juno .com/s/ Sign In signin.ebay. De este modo puede interceptar accesos a cuentas bancarias on-line, y robar la información ingresada. Para que el usuario ingrese los datos desde el teclado, modifica el registro para que los mismos no queden guardados por defecto (la opción "Recordar datos"). Para ello cambia estos valores: HKCU\Software\Microsoft\Internet Explorer\Main FormSuggest Passwords = Yes FormSuggest PW Ask = Yes Use FormSuggest = Yes El componente principal, se copia a si mismo también en el directorio System o System 32 de Windows, y luego crea un .DLL relacionado. Todos los archivos copiados utilizan nombres creados al azar, de 8 o 6 caracteres, en ocasiones finalizados en "32". Ejemplos: c:\windows\system\????????32.exe c:\windows\system\????????32.dll Donde "????????" representa letras al azar. La información obtenida, la almacena en el siguiente archivo: c:\windows\system\surf.dat El troyano no crea ni modifica ninguna entrada conocida en el registro o archivos de inicio de Windows para autoejecutarse. En lugar de ello, emplea un mecanismo diferente, modificando la siguiente clave del registro: HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738} InProcServer32 = [nombre del componente DLL] ThreadingModel = Apartment HKLM\Software\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad Web Event Logger = {79FEACFF-FFCE-815E-A900-316290B5B738} Básicamente, la librería .DLL del troyano se identifica como clase con un valor específico, de 128 bits, el denominado Class ID (la clave CLSID en el registro de Windows). Luego, se apunta la subclave "InprocServer32" a dicha librería para ponerla en funcionamiento cuando se ejecuta un evento determinado. El valor "ThreadingModel" con el dato "Apartment", indica que el objeto solo puede ejecutar un solo hilo. Finalmente se suplanta el valor correspondiente al "Monitor de sitios Web" del Internet Explorer (que entre otras cosas carga la página de Inicio del Explorer), por una llamada a la Class ID creada por el troyano. Como resultado, de acuerdo a ciertos eventos, el troyano será activado. El componente principal es un proxy que queda "escuchando" hasta 100 conexiones informando la dirección IP de la máquina infectada. Además envía la información capturada antes por el robador de contraseñas, a una dirección específica de Internet. También puede descargar y ejecutar otros archivos desde Internet. El archivo del troyano está encriptado, y su rutina de desencriptación posee características polimórficas, cambiando en cada instalación. Cuando se ejecuta, crea también el siguiente mutex: King_Kartoon_1.0 Contiene el siguiente texto, que es mostrado en una ventana determinada, en la que solicita el número de la tarjeta de crédito del usuario y sus códigos (PIN, CVV2): This KEWL STUFF was coded by V. V. PUPKIN, moderator of crutop .nu Welcome to our forum, Adult Web Masters! http://crutop .nu AWM, welcome to CRUTOP .NU - HARDCORE/CONTENT/CHILD PORNO/LOLITAS/RAPE REAL CASH, REAL BITCHEZ - CRUTOP .NU * Relacionados: JS/Scob.A. Descarga archivos al visitar sitios Web http://www.vsantivirus.com/js-scob-a.htm W32/Scob.A. Infecta servidores IIS 5.0 http://www.vsantivirus.com/scob-a.htm * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \ShellServiceObjectDelayLoad 3. Pinche en la carpeta "ShellServiceObjectDelayLoad" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Web Event Logger 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID 5. Pinche en la carpeta "CLSID" y borre la siguiente entrada: {79FEACFF-FFCE-815E-A900-316290B5B738} 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main 7. Pinche en la carpeta "Main" y borre en el panel de la derecha las siguientes entradas: FormSuggest Passwords = Yes FormSuggest PW Ask = Yes Use FormSuggest = Yes 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 25/06/04 - 10:43 -0300 (Relación con JS/Scob.A) 25/06/04 - 10:47 -0300 (Webber.P) 25/06/04 - 10:47 -0300 (Bck/Webber.P) 25/06/04 - 10:47 -0300 (Berbew.F) 25/06/04 - 10:47 -0300 (Backdoor.Padodor.gen) 25/06/04 - 10:47 -0300 (Backdoor.Berbew) 25/06/04 - 10:47 -0300 (Win32/TrojanProxy.Webber) 25/06/04 - 10:47 -0300 (Backdoor.Berbew.E) 25/06/04 - 10:47 -0300 (Back/Berbew.E) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Scob.A. Infecta servidores IIS 5.0 _____________________________________________________________ http://www.vsantivirus.com/scob-a.htm Nombre: W32/Scob.A Tipo: Caballo de Troya de Java Script Alias: Scob, Toofer, Win32.Toofer, Win32/Scob.A Fecha: 24/jun/04 Plataforma: Windows 32-bit Este troyano afecta a servidores Microsoft Internet Information Services 5.0 (IIS), e indirectamente a usuarios de Microsoft Internet Explorer. No afecta a usuarios con el RC2 de Windows XP instalado (versión Release Candidate del futuro Service Pack 2 de Windows XP, solo en inglés). También son vulnerables los usuarios de Windows 2000 Server que utilicen Microsoft IIS, y que no hayan aplicado el siguiente parche: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm El troyano se instala en los servidores vulnerables, como AGENT.EXE, y libera una utilidad de administración para el IIS llamada ADS.VBS. Una vez activo, ejecuta el siguiente comando: csript.exe ads.vbs enum /p w3svc Envía el resultado de la salida, al archivo de texto W3ENUM.TXT donde la misma es interpretada para conseguir el directorio IIS. Entonces, libera el componente JS/Scob en el directorio "inetsrv\" con nombres al azar, por ejemplo: iis72a.dll Después vuelve a utilizar ADS.VBS para agregar el DLL creado al contenido HTTP servido por el IIS, tanto en archivos HTML como CSS, incluidos GIF, JPG, etc. Cuando un usuario visualiza alguna de las páginas del servidor comprometido, se infecta con el componente JavaScript (JS/Scob.A). Para lograrlo, el troyano se aprovecha de dos vulnerabilidades del Internet Explorer, una de ellas aún no solucionada (a la fecha de esta descripción). Más información: JS/Scob.A. Descarga archivos al visitar sitios Web http://www.vsantivirus.com/js-scob-a.htm * Recomendaciones Usuarios de Windows 2000 Server con servidor Microsoft IIS, deben descargar el siguiente parche: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Otras recomendaciones: What You Should Know About Download.Ject http://www.microsoft.com/security/incident/download_ject.mspx (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Korgo.V. Infecta equipos sin parche LSASS _____________________________________________________________ http://www.vsantivirus.com/korgo-u.htm Nombre: W32/Korgo.V Tipo: Gusano de Internet Alias: Korgo.V, Padobot.N, WORM_KORGO.V, Worm.Win32.Padobot.n, Win32/Korgo.V, Worm.Win32.Padobot.Gen Fecha: 24/jun/04 Plataforma: Windows 32-bit Tamaño: 9,353 bytes (PE-Patch + UPX) Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar Variante reportada el 24 de junio de 2004, descarga y ejecuta archivos de Internet. Está recomprimida con PE-Patch y UPX. Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario. Más información: "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse. Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual. Crea los siguientes mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo): uterm19 Borra las siguientes entradas, si existen: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve.exe avserve2.exeUpdate Service Bot Loader Disk Defragmenter MS Config v13 System Restore Service SysTray Windows Security Manager Windows Update Service WinUpdate Intenta consultar el valor de la entrada "Cryptographic Service" en la siguiente entrada del registro de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Si falla, crea la siguiente entrada: HKLM\SOFTWARE\Microsoft\Wireless ID = [caracteres al azar] Client = "1" Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación: c:\windows\system32\[nombre al azar].exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Cryptographic Service = c:\windows\system32\[nombre].exe Si la consulta por el valor "Cryptographic Service" es acertada (ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (Cryptographic Service = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza. Si la consulta por el valor "Cryptographic Service" es acertada (existe), y el valor indica el camino completo (Cryptographic Service = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Client" de la clave "HKLM\SOFTWARE\Microsoft\Wireless". El gusano intenta inyectarse como un hilo más con una función dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta dentro del proceso EXPLORER.EXE, y la ejecución del gusano no se muestra en la lista de procesos activos de la ventana del Administrador de tareas. Si falla, sigue como un proceso independiente. Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113 y 3067, y por los puertos 256 al 8191 al azar. Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC: brussels .be .eu .undernet .org caen .fr .eu .undernet .org flanders .be .eu .undernet .org gaspode .zanet .org .za graz .at .eu .undernet .org irc .kar .net irc .tsk .ru lia .zanet .net london .uk .eu .undernet .org los-angeles .ca .us .undernet .org moscow-advokat .ru washington .dc .us .undernet .org Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Para ello, una vez por segundo examina si existe una conexión a Internet antes de iniciar el ataque a otros sistemas. Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo. El gusano también inicia un bucle sin fin para evitar el cierre del sistema provocado por el exploit que afecta la vulnerabilidad LSASS. El gusano intenta conectarse periódicamente a los siguientes sitios de Internet, para intentar descargar un archivo: 0AB1cvv .ru adult-empire .com asechka .ru citi-bank .ru color-bank .ru crutop .nu fethard .biz filesearch .ru kavkaz .tv kidos-bank .ru konfiskat .org master-x .com mazafaka .ru parex-bank .ru roboxchange .com www .redline .ru xware .cjb .net Si el archivo descargado contiene la cadena "zer0", el gusano descarga otro archivo ejecutable desde el mismo sitio y lo guarda en la carpeta System32 de Windows para luego ejecutarlo. Si la cadena "zer0" no existe en el archivo descargado primero, el gusano reintenta la conexión más tarde. El tiempo de espera es seleccionado al azar. * Reparación manual * IMPORTANTE: Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04- 011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Cryptographic Service 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Wireless 5. Pinche en la carpeta "Wireless" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Activar el cortafuego de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Back/Padodor.NAA. Roba información confidencial _____________________________________________________________ http://www.vsantivirus.com/back-padodor-naa.htm Nombre: Back/Padodor.NAA Tipo: Gusano de Internet Caballo de Troya de acceso remoto Alias: Padodor.W, Padodor, Padodoor, Win32/Padodor.NAA, Win32/Padodor.W, Back/Padodor.NAA, Troj/Padodor.NAA, Backdoor.Padodor.w, Backdoor.Padodor.gen, Webber.P, Bck/Webber.P, Berbew.F, Backdoor.Berbew, Win32/TrojanProxy.Webber, Backdoor.Berbew.E, Back/Berbew.E Fecha: 25/jun/03 Plataforma: Windows 32-bit Tamaño: 51,712 bytes Ver descripción completa en: Back/Padodor.W. Roba información confidencial http://www.vsantivirus.com/back-padodor-w.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1450 Año 8, viernes 25 de junio de 2004