| Asunto: | VSantivirus No. 1464 Año 8, viernes 9 de julio de 2004 | | Fecha: | Viernes, 9 de Julio, 2004 15:40:20 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1464 Año 8, viernes 9 de julio de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Mozilla vulnerable al uso malicioso de "shell:"
2 - W32/Lemoor.A. Utiliza infecciones del gusano Sasser
3 - VBS/Gaggle.F. Datos adjuntos: "filezip.zip"
_____________________________________________________________
1 - Mozilla vulnerable al uso malicioso de "shell:"
_____________________________________________________________
http://www.vsantivirus.com/vul-mozilla-shell.htm
Mozilla vulnerable al uso malicioso de "shell:"
Por Angela Ruiz
angela@videosoft.net.uy
Secunia advierte de un fallo en Mozilla, Mozilla Firefox, y
Mozilla Thunderbird, que puede permitir a sitios maliciosos
el uso de la función "shell:" de Windows. Esto no afecta a
usuarios de Mozilla bajo otros sistemas operativos.
La vulnerabilidad fue reportada el 7 de julio de 2004 por
Joshua Perrymon en una lista pública de seguridad, y reparada
rápidamente por el equipo de Mozilla.
El problema se produce solo bajo Windows XP, al no restringir
Mozilla el uso del URI "shell:".
Un URI (Uniform Resource Identifier o Identificador Universal
de Recursos), es la secuencia de caracteres que identifica
cualquier recurso (servicio, página, documento, dirección de
correo electrónico, etc.) accesible en una red. Consta de dos
partes, el identificador del método de acceso o protocolo
(http:, ftp:, mailto:, etc.), y el nombre del recurso
(//dominio, usuario@dominio, etc.). Un URL (Uniform Resource
Locators), es un URI que muestra la localización explícita de
un recurso (página, imagen, etc.).
El URI "shell:", permite que un sitio invoque varios
programas asociados con extensiones específicas. Aunque el
impacto del fallo está restringido porque no es posible pasar
parámetros a los nombres de archivos, este tipo de error
podría permitir la ejecución de código maligno, si se combina
con otras vulnerabilidades.
Por ejemplo, Secunia informa que podría usarse para explotar
un desbordamiento de búfer en GRPCONV.EXE, el conversor de
grupos para el Administrador de programas de Windows,
asociado por defecto a la extensión .GRP. Sin embargo, sólo
es posible el uso de caracteres unicode, lo que dificulta su
explotación exitosa.
De todos modos el error en GRPCONV no necesariamente debe ser
clasificado como una vulnerabilidad, ya que este tipo de
programa no está diseñado para ser lanzado en un ambiente
hostil, y tampoco es útil para un sitio web o el propio
navegador.
La vulnerabilidad afecta a Mozilla, Mozilla Firefox, y
Mozilla Thunderbird en Microsoft Windows XP, debido a la
manera en que es tratado el URI "shell:" en esta plataforma.
Al respecto, otros navegadores, incluido el Internet
Explorer, también podrían permitir su uso malicioso (Nota:
Para deshabilitar esta opción en Windows, vea nuestro
artículo "Shell.Application, burla el parche de Microsoft",
http://www.vsantivirus.com/vul-shellapplication.htm)
Versiones de Mozilla vulnerables (solo bajo Windows XP):
Mozilla 0.x
Mozilla 1.0
Mozilla 1.1
Mozilla 1.2
Mozilla 1.3
Mozilla 1.4
Mozilla 1.5
Mozilla 1.6
Mozilla Firefox 0.x
Mozilla Thunderbird 0.x
La solución está disponible como una descarga pequeña que
solo modifica la configuración, incapacitando el uso de
"shell:", o como una versión actualizada completa.
* Descarga del parche pequeño:
NOTA: Todos los enlaces deben ser copiados en una sola línea.
Aparecen cortados en el boletín por una limitación de su
formato.
http://update.mozilla.org/extensions/moreinfo.php?id=154&vid=
261&category=&page=releases
* Descarga de actualizaciones:
Mozilla 1.7.1
http://ftp.mozilla.org/pub/mozilla.org/mozilla/releases/mozil
la1.7.1/mozilla-win32-1.7.1-installer.exe
Mozilla Firefox 0.9.2
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.9.2
/FirefoxSetup-0.9.2.exe
Mozilla Thunderbird 0.7.2
http://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/0
.7.2/ThunderbirdSetup-0.7.2.exe
Más información en "How to update" del siguiente enlace:
http://www.mozilla.org/security/shell.html
Créditos: Joshua Perrymon
Investigación adicional: Andreas Sandblad
* Aviso original:
What Mozilla users should know about
the shell: protocol security issue
http://www.mozilla.org/security/shell.html
* Referencias:
Mozilla Fails to Restrict Access to "shell:"
http://secunia.com/advisories/12027/
* Relacionados:
Shell.Application, burla el parche de Microsoft
http://www.vsantivirus.com/vul-shellapplication.htm
¿Qué es Unicode?
http://www.vsantivirus.com/unicode.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Lemoor.A. Utiliza infecciones del gusano Sasser
_____________________________________________________________
http://www.vsantivirus.com/lemoor-a.htm
Nombre: W32/Lemoor.A
Tipo: Gusano de Internet
Alias: Lemoor, Win32/Lemoor.A, Worm.Win32.Lemoor.a
Fecha: 9/jul/04
Plataforma: Windows 32-bit
Tamaño: 1,985 bytes (FSG)
Reportado por: Kaspersky Labs
Gusano escrito en assembler y comprimido con la herramienta
FSG, que utiliza para propagarse, los equipos que han sido
infectados con el gusano Sasser y que no han sido
desinfectados (ver "Vulnerabilidad en el gusano Sasser puede
ser explotada", http://www.vsantivirus.com/vul-ftp-
sasser.htm)
El gusano envía peticiones al puerto TCP/5554. En los equipos
infectados por el Sasser, dicho puerto contiene un servidor
FTP, y es creado por este último con el propósito de permitir
la descarga de dicho gusano en otros sistemas que así también
son infectados.
Cuando el Lemoor detecta un sistema previamente infectado con
el Sasser, entonces se vale de una vulnerabilidad en dicho
componente FTP, provocando un desbordamiento de búfer con
posterior ejecución de código, para crear un shell (consola
de comandos), a través del cuál se descarga y luego ejecuta.
Esta vulnerabilidad es el único mecanismo que utiliza el
gusano "Lemoor" para propagarse. No posee ninguna rutina
destructiva que afecte los equipos infectados por él.
Cuando se ejecuta, crea la siguiente entrada en el registro
para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[Ephemeral 2.4] by TreeHugger, = [archivo]
Donde [archivo] es el nombre y camino del ejecutable del
gusano.
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados por el
virus.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
[Ephemeral 2.4] by TreeHugger,
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - VBS/Gaggle.F. Datos adjuntos: "filezip.zip"
_____________________________________________________________
http://www.vsantivirus.com/gaggle-f.htm
Nombre: VBS/Gaggle.F
Tipo: Gusano de Internet y virus
Alias: Gaggle.F, Gaggle.E, VBS.Gaggle.E@mm, I-Worm.Gedza,
VBS/Gedza.A
Plataforma: Windows 32-bits
Fecha: 9/jul/04
Tamaño: (varios) 260 Kb, 30,721 bytes, 17,409 bytes
Reportado por: Symantec (como VBS.Gaggle.E@mm)
Este gusano se propaga a través del correo electrónico, del
IRC utilizando el mIRC, del ICQ y también a través de algunas
redes P2P (Nota: es idéntico al VBS/Gaggle.E descrito por
VSAntivirus en abril de 2004, por lo que también puede ser
identificado por ese nombre)
Cuando se ejecuta, crea las siguientes copias de si mismo:
c:\windows\system\backup.vbs
c:\windows\system\file.vbs
c:\windows\system\filezip.zip
c:\windows\system\gedzac.vbs
c:\windows\system\israfel.vbs
c:\windows\system\kernel32.win
c:\windows\system\mouse_configurator.win
c:\windows\system\pubprn.vbs
c:\windows\system\template.htm
c:\windows\system\winmgd.win
El archivo .HTM contiene el gusano embebido en su código, y
el archivo .ZIP lo contiene comprimido dentro de él.
También crea los siguientes archivos:
c:\estigma.hta
c:\windows\system\avrillavigne.jpg
c:\windows\system\iw.dat
c:\windows\system\iwn.dat
c:\windows\system\ix.dat
c:\windows\system\ixn.dat
c:\windows\system\pkzip.exe
c:\windows\system\regsrv.exe
c:\windows\system\sendi.exe
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden
variar de acuerdo al sistema operativo instalado (con esos
nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
También copia el archivo COMMAND.COM o CMD.EXE de Windows
(según el sistema operativo), a todos los discos duros, con
el nombre ISRAFEL.EXE, en la siguiente ubicación:
\inetpub\scripts\israfel.exe
Crea el archivo IISROOT.ASP en las siguientes carpetas y
subcarpetas:
\inetpub\wwwroot\iisroot.asp
Crea las siguientes entradas en el registro de Windows para
auto ejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Kernel32 = c:\windows\system\kernel32.win
Israfel = c:\windows\system\israfel.vbs
También crea o modifica las siguientes entradas:
HKEY_CLASSES_ROOT\regfile\shell\open\command
(Predeterminado)= "GEDZAC"
HKEY_CLASSES_ROOT\keyfile\shell\open\command
(Predeterminado)= "GEDZAC"
HKCU\Software\Microsoft
\Windows Scripting Host\Settings
Timeout = "0"
HKLM\Software\Microsoft
\Windows Scripting Host\Settings
Timeout = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKLM\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKLM\Software\GEDZAC LABS\Israfel\Parent
HKLM\Software\GEDZAC LABS\VBS.Israfel\Info
Crea o modifica la entrada SHELL bajo [boot] en
C:\WINDOWS\SYSTEM.INI:
[boot]
shell = explorer.exe c:\windows\system\winmgd.win
Crea o modifica la entrada RUN bajo [windows] en
C:\WINDOWS\WIN.INI:
[windows]
run = c:\windows\system\mouse_configurator.win
Cuando se ejecuta, despliega el archivo AVRILLAVIGNE.JPG, una
imagen con la popular cantante:
[ver imagen en http://www.vsantivirus.com/gaggle-e.htm]
Si la fecha del sistema es el tercer día de cualquier mes, se
despliega el archivo C:\ESTIGMA.HTA, el cuál solo contiene un
texto.
Si la fecha actual es el día 19 de cualquier mes, se muestra
una ventana con el siguiente texto:
19/12/2003 - Saludos a Cienciano Campeon
2003 de la Copa Sudamericana
Si la fecha es el día 11 de cualquier mes, se muestra una
ventana con el siguiente texto:
Luego del alevoso ataque de eeuu y sus aliados
contra Iraq, aun tiene bush el descaro de decir
que lo hizo por libertar al pueblo o por la
democracia, como si eso le interesara, solo le
interesa tener gobiernos titeres y el petroleo
(investiguen sobre su dizque reconstruccion
de Iraq), desde los 90 que se pretendia derrocar
al gobierno de Iraq, quien le dio el derecho de
decidir que gobiernos deben ser derrocados o no,
acaso se cree el policia del mundo, una de las
frases favoritas del Asesino de bush, es el
'origen del mal' el es eso. Y para terminar otra
de sus frases 'que Dios bendiga a los eeuu' ojala
lo haga porque lo van a nesecitar, porque algun
dia eeuu pagara por querer decirle al mundo como
tiene que vivir (Mensage en contra del Gobierno
de eeuu, no del pueblo)
Si la fecha es 26 de cualquier mes, se muestra el siguiente
mensaje:
Soy una ballena de color azúl mi espalda sopla y
tu ves esa fuente de agua limpia aún. Nuestra casa
abierta, era el ancho mar Viajábamos en paz, sin
manchas de petróleo que evitar Busco un sitio puro
donde descansar no hay muchas como yo me tengo que
cuidar de ti. Nubes blancas, cielo transparente y el
humano compartiendo con otros, un sueño que quizás
ya no regrese pues ya es tarde para todos nosotros
Soy el cóndor majestuoso del Perú, mi cuello gira y
tú me miras con ojos de luz. Busco un sitio alto
donde recordar que hubo un tiempo mejor, pues como
yo no quedan más Si tus hijos te preguntan cómo fui,
no sé que les dirás, me tuve que alejar de ti
Cordilleras blancas dominando, todo ser que se
alimenta del río hombres en aldeas cultivando, sin
decirle al campo dame lo que es mío Estás equivocado,
no sabes dónde vas guanacos, osos panda, renos,
águilas, delfines y todo lo demás Estás equivocado
no sabes dónde vas un espíritu ronda por la selva
llorando lo que fue el jaguar bienvenido al mundo
del hombre construído con detergentes y también con
alquitrán Soy una ballena de color azúl mi espalda
sopla y tú ves esa fuente de agua limpia aún
(Cancion perteneciente a 'Los Nosequien y Los
Nosecuantos') El 26 de Abril es el día de la Tierra,
protegela
Su la fecha actual es 29 de cualquier mes, el gusano abre el
sitio de la cantante Avril Lavigne:
www.avril-lavigne.com
Consulta al registro por si existe la utilidad P2P, SoulSeek.
Si la encuentra, obtiene la ubicación de la carpeta
compartida con otros usuarios de esta aplicación P2P, y copia
allí el archivo FILEZIP.ZIP conteniendo una copia de si
mismo. También lo copia en las siguientes carpetas (aquellas
que existan):
c:\my downloads
c:\my shared folder
c:\program files\applejuice\incoming
c:\program files\bearshare\shared
c:\program files\edonkey2000\incoming
c:\program files\gnucleus\downloads
c:\program files\grokster\my grokster
c:\program files\icq\shared files
c:\program files\kazaa\my shared folder
c:\program files\kazaa lite\my shared folder
c:\program files\kmd\my shared folder
c:\program files\limewire\shared
c:\program files\morpheus\myshared folder
c:\program files\overnet\incoming
c:\program files\shareaza\downloads
c:\program files\swaptor\download
c:\program files\winmx\my shared folder
c:\program files\tesla\files
c:\program files\xolox\downloads
c:\program files\rapigator\share
c:\archivos de programa\applejuice\incoming
c:\archivos de programa\bearshare\shared
c:\archivos de programa\edonkey2000\incoming
c:\archivos de programa\gnucleus\downloads
c:\archivos de programa\grokster\my grokster
c:\archivos de programa\icq\shared files
c:\archivos de programa\kazaa\my shared folder
c:\archivos de programa\kazaa lite\my shared folder
c:\archivos de programa\kmd\my shared folder
c:\archivos de programa\limewire\shared
c:\archivos de programa\morpheus\myshared folder
c:\archivos de programa\overnet\incoming
c:\archivos de programa\shareaza\downloads
c:\archivos de programa\swaptor\download
c:\archivos de programa\winmx\my shared folder
c:\archivos de programa\tesla\files
c:\archivos de programa\xolox\downloads
c:\archivos de programa\rapigator\share
Utiliza para la copia de FILEZIP.ZIP, los siguientes nombres:
acdsee 5.5.zip
age of empires 2 crack.zip
ana kournikova sex video.zip
animated screen 7.0b.zip
aol cracker.zip
aol instant messenger.zip
aol password cracker.zip
aquanox2 crack.zip
audiograbber 2.05.zip
avp antivirus pro key crack.zip
babefest 2003 screensaver 1.5.zip
babylon 3.50b reg_crack.zip
battlefield1942_bloodpatch.zip
battlefield1942_keygen.zip
britney spears sex video.zip
buffy vampire slayer movie.zip
business card designer plus 7.9.zip
cable modem ultility pack.zip
clone cd 5.0.0.3 (crack).zip
clone cd 5.0.0.3.zip
coffee cup free zip 7.0b.zip
cool edit pro v2.55.zip
counter-strike.zip
crack passwords mail.zip
credit card numbers generator(incl visa,mastercard,...).zip
cristina aguilera sex video.zip
delphi.zip
diablo 2 crack.zip
directdvd 5.0.zip
directx buster (all versions).zip
directx infotool.zip
divx pro.zip
divx video bundle 6.5.zip
divx_pro.zip
download accelerator plus 6.1.zip
dvd copy plus v5.0.zip
dvd region-free 2.3.zip
edonkey2000-speed me up scotty.zip
fifa2003 crack.zip
final fantasy vii xp patch 1.5.zip
flash mx crack (trial).zip
flashget 1.5.zip
freeram xp pro 1.9.zip
game cube real emulator.zip
getright 5.0a.zip
global divx player 3.0.zip
gothic2 licence.zip
gta 3 crack.zip
gta 3 serial.zip
guitar chords library 5.5.zip
hentai anime girls movie.zip
hitman_2_no_cd_crack.zip
hot babes xxx screen saver.zip
hotgirls.zip
hotmail hacker 2003-xss exploit.zip
hotmail_hack.zip
icq pro 2003a.zip
icq pro 2003b (new beta).zip
imesh 3.6.zip
imesh 3.7b (beta).zip
irfanview 4.5.zip
jenifer lopez sex video.zip
kazaa hack 2.5.0.zip
kazaa sdk + xbit speedup for 2.xx.zip
kazaa speedup 3.6.zip
links 2003 golf game (crack).zip
living waterfalls 1.3.zip
macromedia dreamweaver key generator.zip
mafia_crack.zip
matrix movie.zip
matrix screensaver 1.5.zip
mcafee antivirus scan crack.zip
mediaplayer update.zip
microsoft keygenerator-allmost all microsoft stuff.zip
mirc 6.40.zip
mp3trim pro 2.5.zip
msn messenger 5.2.zip
nba2003_crack.zip
need 4 speed crack.zip
nero burning rom crack.zip
netbios nuker 2003.zip
netfast 1.8.zip
network cable e adsl speed 2.0.5.zip
nhl 2003 crack.zip
nimo codecpack (new) 8.0.zip
norton anvirus key crack.zip
paltalk 5.01b.zip
pamela_anderson.zip
panda antivirus titanium crack.zip
play station emulator.zip
popup defender 6.5.zip
pop-up stopper 3.5.zip
ps2 playstation simulator.zip
quick time key crack.zip
quicktime_pro_crack.zip
sakura card captor movie.zip
screen saver christina aguilera naked.zip
screen saver christina aguilera.zip
security-2003-update.zip
serials 2003 v.8.0 full.zip
serials2000.zip
sex live simulator.zip
sex passwords.zip
smartftp 2.0.0.zip
smartripper v2.7.zip
space invaders 1978.zip
spiderman movie.zip
splinter_cell_crack.zip
starcraft serial.zip
start wars trilogy movies.zip
steinberg_wavelab_5_crack.zip
stripping mp3 dancer+crack.zip
subseven.zip
thalia sex video.zip
trillian 0.85 (free).zip
tweakall 3.8.zip
unreal2_bloodpatch.zip
unreal2_crack.zip
ut2003_bloodpatch.zip
ut2003_keygen.zip
ut2003_no cd (crack).zip
ut2003_patch.zip
vb6.zip
virtua girl - adriana.zip
virtua girl - bailey short skirt.zip
virtua girl (full).zip
virtualsex.zip
visual basic 6.0 msdn plugin.zip
visual basic 6.zip
warcraft 3 crack.zip
warcraft 3 serials.zip
warcraft_3_crack.zip
winamp 3.8.zip
winamp plugin pack.zip
windowblinds 4.0.zip
windows xp complete + serial.zip
windows xp exploit.zip
winoncd 4 pe_crack.zip
winrar 3.xx password cracker.zip
winzip 9.0b.zip
winzip full version key generator.zip
winzip keygenerator crack.zip
winzipped visual c++ tutorial.zip
xnuker 2003 2.93b.zip
yahoo messenger 6.0.zip
zelda classic 2.00.zip
El gusano busca direcciones electrónicas en la libreta de
direcciones y en archivos con las siguientes extensiones de
la máquina infectada:
.hta
.htm
.html
.htx
.mht
.mhtml
.php
.phtm
.phtml
.plg
.shtm
.shtml
Las direcciones encontradas, son almacenadas en los
siguientes archivos dentro de la carpeta TEMP:
\TEMP\imh.dat
\TEMP\iml.dat
\TEMP\imv.dat
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
El gusano es capaz de sobrescribir archivos con las
siguientes extensiones, con una copia de si mismo:
.hta
.htm
.html
.htx
.js
.jse
.mht
.mhtml
.php
.phtm
.phtml
.plg
.shtm
.shtml
.vbe
.vbs
Si existe, sobrescribe el archivo MIRC.INI, para poder
enviarse a otros usuarios de los canales de chat visitados
por el usuario infectado.
También genera direcciones IP al azar, e intenta conectarse a
dichas direcciones, utilizando los siguientes nombres de
usuario y contraseñas:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
<en blanco>
<Enter>
<nombre de la computadora>
<nombre de usuario>
000000
00000000
1
111
11111
111111
11111111
123
1234
12345
123456
1234567
12345678
1234qwer
123abc
123asd
123qwe
22
5201314
54321
654321
888888
88888888
abc
abc123
abcd
admin
asdf
asdfgh
computer
database
default
intel
Internet
KKKKKKK
manager
name
nombre_de_usuario
nombre_de_usuario12
nombre_de_usuario123
nombre_de_usuario1234
nulo
oracle
passwd
password
private
public
root
secret
security
server
sql
super
sybase
test
user
Se copia a si mismo a la máquina remota con el nombre de
AUTORUN.VBS, y sobrescribe el archivo AUTOEXEC.BAT.
También en la máquina remota, agrega la siguiente entrada en
el archivo WIN.INI bajo la etiqueta [windows]:
[windows]
run = autorun.vbs
Si hay un disquete insertado, intenta sobrescribir todos los
archivos con extensión .VBS en la unidad de disquetes A, con
una copia de si mismo. Si no existen archivos .VBS, se copia
en el disquete con alguno de los siguientes nombres (algunos
con doble extensión):
a:\document.txt.vbs
a:\image.jpg.vbs
a:\israfel.vbs
a:\loreley.jpg.vbs
a:\vigilancia.txt.vbs
Utiliza luego el componente SENDI.EXE, copiado antes en la
carpeta System, para enviarse a todos los correos
electrónicos previamente recolectados. Para ello utiliza el
servidor SMTP de la víctima, o en su defecto alguno de los
siguientes:
mx1.latinmail.com
mx1.hotmail.com
Los mensajes poseen las siguientes características:
De: [seleccionado al azar de la lista de direcciones]
Datos adjuntos: filezip.zip
Asunto: [al azar]
Texto del mensaje: [al azar]
El texto puede comenzar con alguna de las siguientes cadenas:
========================Mcaffe Virus Scan========================
Resultado del Análisis: Mensaje y Adjunto libre de virus
=================================================================
========================Mcaffe Virus Scan========================
Result gives the Analysis: Message and Added free he gives virus
=================================================================
Ejemplos:
Asunto: Postal Animada
Texto del mensaje:
Ha recibido una postal desde esta direccion
para verla descarguela antes de 7 dias de recibido
este e-mail Un Servicio de FreeCards
Asunto: Cartoons
Texto del mensaje:
Nuestra pagina de Cartoons viene recargada
mira este que se titula: El inofensivo pajarito
Asunto: Free ScreenSaver
Texto del mensaje:
Mira este screensaver, y si te gusta, visita
nuestra page :)
Asunto: FordWare
Texto del mensaje:
Sabes lo que es el FordWare?, entonces mira este
Asunto: Espero te guste
Texto del mensaje:
Mira la postal =)
Asunto: Esta es buena
Texto del mensaje:
Haber que te parece a ti?
Asunto: Aviso Importante
Texto del mensaje:
Debido a la nueva politica del servidor, se pide a
los usuarios completar el nuevo registro a fin de
poder conservar sus cuentas de correo
Asunto: Sexo Tantrico
Texto del mensaje:
Conoces el sexo tantrico?
Tantra: Antigua disciplina oriental para mejorar
el rendimiento sexual
Aprendelo y nota la diferencia.
Asunto: Significado de los nombres
Texto del mensaje:
Quieres saber el significao de tu nombre, o
apellido o de donde proviene?
Asunto: Manual Seduccion
Texto del mensaje:
Quieres conquistar una pareja?, prueba con estos
consejos
Asunto: ilusiones
Texto del mensaje:
Mira la foto adjunta 20 segundos y veras algo
Asunto: Hi
Texto del mensaje:
Te envio las imagenes que pediste, bye
Asunto: Help me
Texto del mensaje:
please open file
Asunto: Mail Return System
Texto del mensaje:
El correo no pudo ser enviado a uno o más
destinatarios.
Asunto: Fotos en tu email
Texto del mensaje:
XXX Todo Vale XXX
En todos los casos el adjunto es FILEZIP.ZIP
* Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos
duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Borrar manualmente los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
\inetpub\scripts\israfel.exe
\inetpub\wwwroot\iisroot.asp
\TEMP\imh.dat
\TEMP\iml.dat
\TEMP\imv.dat
c:\estigma.hta
c:\windows\system\avrillavigne.jpg
c:\windows\system\backup.vbs
c:\windows\system\file.vbs
c:\windows\system\filezip.zip
c:\windows\system\gedzac.vbs
c:\windows\system\israfel.vbs
c:\windows\system\iw.dat
c:\windows\system\iwn.dat
c:\windows\system\ix.dat
c:\windows\system\ixn.dat
c:\windows\system\kernel32.win
c:\windows\system\mouse_configurator.win
c:\windows\system\pkzip.exe
c:\windows\system\pubprn.vbs
c:\windows\system\regsrv.exe
c:\windows\system\sendi.exe
c:\windows\system\template.htm
c:\windows\system\winmgd.win
Pinche con el botón derecho sobre el icono de la 'Papelera de
reciclaje' en el escritorio, y seleccione 'Vaciar la papelera
de reciclaje'.
* Reparar el registro con REPARA4.VSA
REPARA4.VSA es un archivo .REG renombrado, creado para
limpiar los cambios realizados en el registro por este
gusano. Para usarlo, sigua este procedimiento:
1. Pinche con el botón DERECHO sobre el siguiente enlace y
seleccione "Guardar destino como":
http://www.videosoft.net.uy/repara4.vsa
2. Cuando aparezca la ventana "Guardar como", seleccione la
carpeta C:\WINDOWS o C:\WINNT o la que corresponda a su
sistema, para guardar el archivo REPARA4.VSA y pulse en el
botón "Guardar".
3. Desde Inicio, Ejecutar, escriba lo siguiente más Enter:
REGEDIT REPARA4.VSA
4. Responda afirmativamente la consulta "¿Está seguro que
desea agregar la información de REPARA4.VSA al Registro?".
* Modificar SYSTEM.INI
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo SYSTEM.INI en la carpeta
C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los
siguientes cambios. Para ello, desde el Explorador de
Windows, abra la carpeta C:\Windows\Recent, y en el panel de
la derecha, seleccione y borre SYSTEM.INI. Este archivo se
regenerará como una copia del archivo que a continuación
modificaremos, al grabar los cambios hechos.
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell = explorer.exe c:\windows\system\winmgd.win
y déjelo así:
[boot]
shell = explorer.exe
3. Grabe los cambios y salga del bloc de notas
* Modificar WIN.INI
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo WIN.INI en la carpeta
C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los
siguientes cambios. Para ello, desde el Explorador de
Windows, abra la carpeta C:\Windows\Recent, y en el panel de
la derecha, seleccione y borre WIN.INI. Este archivo se
regenerará como una copia del archivo que a continuación
modificaremos, al grabar los cambios hechos.
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Si existe alguna referencia a los archivos del en la
línea "run=" bajo la sección [windows], bórrelo.
Por ejemplo:
[windows]
run = c:\windows\system\mouse_configurator.win
Debe quedar como:
[windows]
run =
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1464 Año 8, viernes 9 de julio de 2004
|
VSantivirus No. 14
Responder a este mensaje
