Mostrando mensaje 505     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1456 Año 8, jueves 1 de julio de 2004 Fecha: Jueves, 1 de Julio, 2004  10:41:14 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1456 Año 8, jueves 1 de julio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - "Frame Injection" en múltiples navegadores 2 - Vulnerabilidad "Frame Injection" en Internet Explorer 3 - Inyección de código PHP en PhpMyAdmin 4 - W32/Korgo.X. Infecta equipos sin parche LSASS 5 - W32/Korgo.W. Infecta equipos sin parche LSASS _____________________________________________________________ 1 - "Frame Injection" en múltiples navegadores _____________________________________________________________ http://www.vsantivirus.com/vul-frameinjection.htm "Frame Injection" en múltiples navegadores Por Angela Ruiz angela@videosoft.net.uy La vulnerabilidad en el Microsoft Internet Explorer hecha pública el 30 de junio de 2004, y que permite que usuarios maliciosos puedan falsificar el contenido de un website, también se produce en otros navegadores, y puede ser explotada de la misma forma (ver "Vulnerabilidad 'Frame Injection' en Internet Explorer", http://www.vsantivirus.com/vul-ie-frameinjection.htm). Según Secunia.com, serían vulnerables los siguientes navegadores: Internet Explorer 5.x para Mac Internet Explorer 6, 5.5, 5.01 Konqueror 3.x Mozilla 0.x Mozilla 1.0 Mozilla 1.1 Mozilla 1.2 Mozilla 1.3 Mozilla 1.4 Mozilla 1.5 Mozilla 1.6 Mozilla Firefox 0.x Netscape 6.x Netscape 7.x Opera 5.x Opera 6.x Opera 7.x Safari 1.x El problema se produce porque el navegador falla al intentar impedir que un sitio web malicioso cargue contenido en un marco al azar de otra ventana. Un ejemplo que permite mostrar contenido arbitrario de windowsupdate.microsoft.com, ha sido publicado por Secunia. Si usted desea comprobar si su browser es vulnerable, siga los pasos que se dan en el siguiente enlace: http://www.vsantivirus.com/vul-frameinjection.htm Si su navegador es vulnerable, en uno de los marcos de la ventana usada como demostración, debería visualizarse una página de Secunia. Según Secunia, este exploit puede hacerse en forma automática, aunque en esta demostración se ha preferido no hacerlo así por razones obvias. Este tipo de vulnerabilidad recibe el nombre de "Frame Injection", y permite inyectar código no autorizado en un marco (o frame) de una página Web. Una explotación exitosa de esta vulnerabilidad puede permitir a un sitio malicioso cargar páginas u otro código similar, que para el usuario formarían parte de un sitio confiable. Esto permite la falsificación de sitios verdaderos (spoofing), engañando al usuario para que ingrese datos críticos en formularios falsos. La recomendación es no seguir enlaces sospechosos, y muchos menos aquellos existentes en mensajes de correo electrónico no solicitado. Tampoco abrir ventanas o enlaces con sitios no confiables, mientras se navega por un sitio seguro, y jamás aceptar ingresar ninguna clase de datos, en sitios a los que se haya accedido mediante un enlace sugerido en un correo electrónico. No son vulnerables los siguientes navegadores: Mozilla Firefox 0.9 para Windows Mozilla Firefox 0.9.1 para Windows Mozilla 1.7 para Windows Mozilla 1.7 para Linux Más información: Vulnerabilidad de "Frame Injection" en Internet Explorer http://www.vsantivirus.com/vul-ie-frameinjection.htm Publicado en: http://secunia.com/advisories/11978/ Descubierto por Mark Laurence Ejemplos de http-equiv (malware .com) Reportado en Mozilla por Gary McKay Otras referencias: www.microsoft.com/technet/security/bulletin/ms98-020.mspx (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Vulnerabilidad "Frame Injection" en Internet Explorer _____________________________________________________________ http://www.vsantivirus.com/vul-ie-frameinjection.htm Vulnerabilidad "Frame Injection" en Internet Explorer Por Angela Ruiz angela@videosoft.net.uy Mark Laurence, ha hecho pública una vulnerabilidad en el Microsoft Internet Explorer, similar a otra que ya tiene 6 años de descubierta (y solucionada), y que permite que usuarios maliciosos puedan falsificar el contenido de un website. El problema se produce porque el Internet Explorer falla al intentar impedir que un sitio web malicioso cargue contenido en un marco al azar en otra ventana. Un ejemplo que permite mostrar contenido arbitrario de windowsupdate.microsoft.com, ha sido publicado por Secunia.com (ver "Frame Injection en múltiples navegadores", http://www.vsantivirus.com/vul-frameinjection.htm). Este tipo de vulnerabilidad recibe el nombre de "Frame Injection", y permite inyectar código no autorizado en un marco (o frame) de una página Web. Una explotación exitosa de esta vulnerabilidad puede permitir a un sitio malicioso cargar páginas u otro código similar, que para el usuario formarían parte de un sitio confiable. Esta vulnerabilidad es similar a otra, reparada en un parche publicado en un boletín de 1998 por Microsoft, y que afectaba al Internet Explorer 3 y 4 (MS98-020). La actual ha sido confirmada en Internet Explorer 6.0 con todas las actualizaciones al día y ejecutándose en Windows XP. Otras versiones del programa (5.5 y 5.01) también son vulnerables. NOTA: Un fallo similar se produce en otros navegadores (Konqueror, Mozilla, Mozilla Firefox, Netscape, Opera y Safari), los que también son vulnerables (ver enlaces al final del artículo). Esto permite la falsificación de sitios verdaderos (spoofing), engañando al usuario para que ingrese datos críticos en formularios falsos. La recomendación es no seguir enlaces sospechosos, y muchos menos aquellos existentes en mensajes de correo electrónico no solicitado. Tampoco abrir ventanas o enlaces con sitios no confiables, mientras se navega por un sitio seguro, y jamás aceptar ingresar ninguna clase de datos, en sitios a los que se haya accedido mediante un enlace sugerido en un correo electrónico. Publicado en: http://secunia.com/advisories/11966/ Descubierto por Mark Laurence Ejemplos de http-equiv (malware .com) Otras referencias: www.microsoft.com/technet/security/bulletin/ms98-020.mspx "Frame Injection" en múltiples navegadores http://www.vsantivirus.com/vul-frameinjection.htm * Actualizaciones: 01/07/04 - 08:00 -0300 (Múltiples navegadores) 01/07/04 - 09:34 -0300 (Créditos y enlaces) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Inyección de código PHP en PhpMyAdmin _____________________________________________________________ http://www.vsantivirus.com/vul-phpmyadmin-injection.htm Inyección de codigo PHP en PhpMyAdmin Fuente: www.GorilaX.com PhpMyAdmin es una herramienta desarrollada por The phpMyAdmin Project, para la administración de bases de datos MySql. Con ella se puede crear, eliminar y modificar tanto bases de datos como sus tablas. Se encuentra disponible en 47 idiomas y está liberado bajo licencia GPL. Este fallo reportado por Nasir Simbolon, en SecurityFocus, trabaja solo sobre la versión 2.5.7 de phpMyAdmin. Mediante él, un usuario remoto podrá inyectar código php, que será ejecutado mediante la función eval(), que se encuentra en el archivo LEFT.PHP. Esta vulnerabilidad tendrá efecto siempre y cuando la variable $CFG['LEFTFRAMELIGHT'] esté posicionada a FALSE en el archivo CONFIG.INC.PHP. Inicializando $CFG['SERVERS'], donde se almacenan las configuraciones de los servidores, un usuario remoto puede agregar una configuración de servidor mediante el parámetro GET, como ésta: http:/ /target/phpMyAdmin-2.5.7/left.php?server= 4&cfg[Servers][4][host]=202.81.x.x&cfg[Servers][4][port]= 8888&cfg[Servers][4][user]=alice... Aquí se ha agregado un cuarto servidor a la lista. Como hemos podido ver, este fallo es de un nivel crítico, ya que permite realizar cambios en la configuración de ésta herramienta de trabajo. The phpMyAdmin Project ya ha sacado el correspondiente parche para esta vulnerabilidad. Traducido y editado por: Alan Philip Ballarino - Zeus Webmaster - www.GorilaX.com Enlaces relacionados: Web de The phpMyAdmin Project http://www.phpmyadmin.net Descarga del patch http://sourceforge.net/forum/forum.php?forum_id=387635 Reporte de la falla http://www.securityfocus.com/archive/1/367486/2004-06-27/2004-07-03/0 Prueba de concepto http://eagle.kecapi.com/sec/codes/phpmy-explt.c [Artículo publicado originalmente en http://www.gorilax.com/articulo.php?sid=3982] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Korgo.X. Infecta equipos sin parche LSASS _____________________________________________________________ http://www.vsantivirus.com/korgo-x.htm Nombre: W32/Korgo.X Tipo: Gusano de Internet Alias: Korgo.X, Padobot, Win32/Korgo.X, Worm.Win32.Padobot.Gen Fecha: 1/jul/04 Plataforma: Windows 32-bit Tamaño: 9,353 bytes (UPX) Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar Variante reportada el 1 de julio de 2004, descarga y ejecuta archivos de Internet. Está comprimida con la utilidad UPX. Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario. Más información: "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse. Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual. Crea los siguientes mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo): uterm16 Borra las siguientes entradas, si existen: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve.exe avserve2.exeUpdate Service Bot Loader Disk Defragmenter MS Config v13 System Restore Service SysTray Windows Security Manager Windows Update Service WinUpdate Intenta consultar el valor de la entrada "Windows Update" en la siguiente entrada del registro de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Si falla, crea la siguiente entrada: HKLM\SOFTWARE\Microsoft\Wireless ID = [caracteres al azar] Client = "1" Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación: c:\windows\system32\[nombre al azar].exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Update = c:\windows\system32\[nombre].exe Si la consulta por el valor "Windows Update" es acertada (ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (Windows Update = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza. Si la consulta por el valor "Windows Update" es acertada (existe), y el valor indica el camino completo (Windows Update = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Client" de la clave "HKLM\SOFTWARE\Microsoft\Wireless". El gusano intenta inyectarse como un hilo más con una función dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta dentro del proceso EXPLORER.EXE, y la ejecución del gusano no se muestra en la lista de procesos activos de la ventana del Administrador de tareas. Si falla, sigue como un proceso independiente. Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113 y 3067, y por los puertos 256 al 8191 al azar. Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC: brussels .be .eu .undernet .org caen .fr .eu .undernet .org flanders .be .eu .undernet .org gaspode .zanet .org .za graz .at .eu .undernet .org irc .kar .net irc .tsk .ru lia .zanet .net london .uk .eu .undernet .org los-angeles .ca .us .undernet .org moscow-advokat .ru washington .dc .us .undernet .org Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Para ello, una vez por segundo examina si existe una conexión a Internet antes de iniciar el ataque a otros sistemas. Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo. El gusano también inicia un bucle sin fin para evitar el cierre del sistema provocado por el exploit que afecta la vulnerabilidad LSASS. El gusano intenta conectarse periódicamente a los siguientes sitios de Internet, para intentar descargar un archivo: adult-empire .com asechka .ru citi-bank .ru color-bank .ru crutop .nu cvv .ru fethard .biz filesearch .ru kavkaz .ru kidos-bank .ru konfiskat .org master-x .com mazafaka .ru parex-bank .ru roboxchange .com www .redline .ru xware .cjb .net Si el archivo descargado contiene la cadena "zer0", el gusano descarga otro archivo ejecutable desde el mismo sitio y lo guarda en la carpeta System32 de Windows para luego ejecutarlo. Si la cadena "zer0" no existe en el archivo descargado primero, el gusano reintenta la conexión más tarde. El tiempo de espera es seleccionado al azar. * Reparación manual * IMPORTANTE: Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04- 011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Update 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Wireless 5. Pinche en la carpeta "Wireless" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Activar el cortafuego de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Korgo.W. Infecta equipos sin parche LSASS _____________________________________________________________ http://www.vsantivirus.com/korgo-w.htm Nombre: W32/Korgo.W Tipo: Gusano de Internet Alias: Korgo.W, Padobot.N, W32.Korgo.W, Worm.Win32.Padobot.n, Win32/Korgo.W, Worm.Win32.Padobot.Gen, W32/Korgo.W.worm Fecha: 30/jun/04 Plataforma: Windows 32-bit Tamaño: 9,728 bytes (UPX) Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar Variante reportada el 30 de junio de 2004, descarga y ejecuta archivos de Internet. Está comprimida con la utilidad UPX. Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario. Más información: "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse. Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual. Crea los siguientes mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo): uterm19 Borra las siguientes entradas, si existen: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve.exe avserve2.exeUpdate Service Bot Loader Disk Defragmenter MS Config v13 System Restore Service SysTray Windows Security Manager Windows Update Service WinUpdate Intenta consultar el valor de la entrada "Cryptographic Service" en la siguiente entrada del registro de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Si falla, crea la siguiente entrada: HKLM\SOFTWARE\Microsoft\Wireless ID = [caracteres al azar] Client = "1" Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación: c:\windows\system32\[nombre al azar].exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Cryptographic Service = c:\windows\system32\[nombre].exe Si la consulta por el valor "Cryptographic Service" es acertada (ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (Cryptographic Service = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza. Si la consulta por el valor "Cryptographic Service" es acertada (existe), y el valor indica el camino completo (Cryptographic Service = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Client" de la clave "HKLM\SOFTWARE\Microsoft\Wireless". El gusano intenta inyectarse como un hilo más con una función dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta dentro del proceso EXPLORER.EXE, y la ejecución del gusano no se muestra en la lista de procesos activos de la ventana del Administrador de tareas. Si falla, sigue como un proceso independiente. Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113 y 3067, y por los puertos 256 al 8191 al azar. Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC: brussels .be .eu .undernet .org caen .fr .eu .undernet .org flanders .be .eu .undernet .org gaspode .zanet .org .za graz .at .eu .undernet .org irc .kar .net irc .tsk .ru lia .zanet .net london .uk .eu .undernet .org los-angeles .ca .us .undernet .org moscow-advokat .ru washington .dc .us .undernet .org Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Para ello, una vez por segundo examina si existe una conexión a Internet antes de iniciar el ataque a otros sistemas. Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo. El gusano también inicia un bucle sin fin para evitar el cierre del sistema provocado por el exploit que afecta la vulnerabilidad LSASS. El gusano intenta conectarse periódicamente a los siguientes sitios de Internet, para intentar descargar un archivo: adult-empire .com asechka .ru citi-bank .ru color-bank .ru crutop .nu cvv .ru fethard .biz filesearch .ru kavkaz .ru kidos-bank .ru konfiskat .org master-x .com mazafaka .ru parex-bank .ru roboxchange .com www .redline .ru xware .cjb .net Si el archivo descargado contiene la cadena "zer0", el gusano descarga otro archivo ejecutable desde el mismo sitio y lo guarda en la carpeta System32 de Windows para luego ejecutarlo. Si la cadena "zer0" no existe en el archivo descargado primero, el gusano reintenta la conexión más tarde. El tiempo de espera es seleccionado al azar. * Reparación manual * IMPORTANTE: Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04- 011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Cryptographic Service 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Wireless 5. Pinche en la carpeta "Wireless" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Activar el cortafuego de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1456 Año 8, jueves 1 de julio de 2004