| Asunto: | VSantivirus No. 1470 Año 8, jueves 15 de julio de 2004 | | Fecha: | Miercoles, 14 de Julio, 2004 11:11:46 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1470 Año 8, jueves 15 de julio de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - MS04-024 Ejecución de código en Shell de Windows (839645)
2 - MS04-023 Ejecución de código en la ayuda HTML (840315)
3 - Desbordamiento de búfer en Adobe Acrobat Reader 6.0
4 - W32/Korgo.AA. Infecta equipos sin parche LSASS
5 - W32/Korgo.AB. Infecta equipos sin parche LSASS
_____________________________________________________________
1 - MS04-024 Ejecución de código en Shell de Windows (839645)
_____________________________________________________________
http://www.vsantivirus.com/vulms04-024.htm
MS04-024 Ejecución de código en Shell de Windows (839645)
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Se ha detectado un problema de seguridad en el componente
Shell de Windows, que podría permitir a un usuario
malintencionado poner en peligro el sistema vulnerable y
hacerse con el control del mismo.
Esta actualización reemplaza la MS03-027 en Windows XP
solamente (no en Windows NT 4.0, Windows 2000, ni Windows
Server 2003).
* Nivel de gravedad: Importante
* Impacto: Ejecución remota de código
* Fecha revisión: 13 de julio de 2004
* Software afectado:
- Microsoft Windows 2000 SP2, SP3, SP4
- Microsoft Windows XP
- Microsoft Windows XP SP1
- Microsoft Windows XP 64-Bit Edition SP1
* Software NO afectado:
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows NT Workstation 4.0 SP6a
- Microsoft Windows NT Server 4.0 SP6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (Me)
Nota:
* Sobre Windows 98, 98 Segunda Edición, y Windows Millennium
Debido a la política de soporte para estas versiones del
sistema operativo Windows (ver "Ciclo de vida del soporte
técnico de Microsoft",
http://support.microsoft.com/default.aspx?scid=fh;ES-ES;lifecycle),
Microsoft sólo libera actualizaciones de seguridad que sean
consideradas críticas, y por lo tanto, aunque la
vulnerabilidad afecta a estos sistemas operativos, no existe
un parche para ellos.
Otras versiones anteriores no mencionadas, podrían o no ser
vulnerables, pero ya no son soportadas por Microsoft.
* Descripción
Esta actualización resuelve una vulnerabilidad recientemente
descubierta y de conocimiento público. Esta vulnerabilidad
permite la ejecución de código en forma remota, debido a la
manera como el componente Shell ejecuta las aplicaciones en
Windows.
Un atacante puede explotar este fallo mediante una página Web
o un mensaje electrónico con formato HTML construidos
maliciosamente.
Si el usuario activo posee privilegios de administrador, un
atacante podría aprovechar la vulnerabilidad para tomar el
control completo del sistema, con la posibilidad de instalar
programas; ver, cambiar o borrar datos; o crear nuevas
cuentas asignándoles privilegios totales a las mismas.
Sin embargo, es necesaria la interacción con el usuario para
explotar este fallo satisfactoriamente. Si el usuario actual
no posee privilegios de administrador, los riesgos se
reducen.
La actualización modifica Internet Explorer 6 SP1,
previniendo que páginas HTML se carguen cuando un usuario
navega en la zona de seguridad local.
Este cambio permite mitigar cualquier otra potencial
vulnerabilidad del tipo "cross domain" (dominios cruzados) en
el futuro.
También se ha limitado la funcionalidad del control ActiveX
"shell.application", para prevenir su uso potencialmente
peligroso.
Nota VSAntivirus: Cómo Microsoft no proporciona un parche
para Windows 98, 98 SE y Me, sugerimos que los usuarios de
estos sistemas operativos utilicen el método explicado en el
siguiente enlace para la protección de sus equipos:
Shell.Application, burla el parche de Microsoft
http://www.vsantivirus.com/vul-shellapplication.htm
* Parches:
Los parches pueden descargarse de los siguientes enlaces:
[Nota: los enlaces aparecen cortados por superar la cantidad
de caracteres permitidos en el formato de este boletín. En
todos los casos se deben cortar y pegar en una sola línea]
Actualización de seguridad para Windows NT Workstation 4.0
(KB839645)
http://www.microsoft.com/downloads/details.aspx?FamilyId=53F0
C9C1-D72F-48E8-8F70-B29A70A618E2&displaylang=es
Actualización de seguridad para Windows NT 4.0 Server
(KB839645)
http://www.microsoft.com/downloads/details.aspx?FamilyId=5890
6E66-064C-4358-9BF9-BC67B1F57BC5&displaylang=es
Actualización de seguridad para Windows NT 4.0, Terminal
Server Edition (KB839645)
http://www.microsoft.com/downloads/details.aspx?FamilyId=3403
5CE3-1998-4693-8330-C4515A13407D&displaylang=es
Actualización de seguridad para Windows NT4 con Active
Desktop (KB839645)
http://www.microsoft.com/downloads/details.aspx?FamilyId=8709
6271-9716-4a46-93f3-d41fcbdf989a&displaylang=es
Actualización de seguridad para Windows 2000 (KB839645)
http://www.microsoft.com/downloads/details.aspx?FamilyId=397B
E12B-A026-41A6-8E98-B4027BC6A110&displaylang=es
Actualización de seguridad para Windows XP (KB839645)
http://www.microsoft.com/downloads/details.aspx?FamilyId=C336
5B8E-666B-4C82-A9ED-FC0F84F107BA&displaylang=es
Actualización de seguridad para Windows Server 2003
(KB839645)
http://www.microsoft.com/downloads/details.aspx?FamilyId=41C7
BB26-3500-4492-A447-33440C404E4F&displaylang=es
* Nota:
Antes de instalar estos parches verifique que el software que
se menciona tenga instalado los Service Pack a los que se
hace referencia. En caso contrario la aplicación puede fallar
o ejecutarse de manera incorrecta.
* Más información:
Microsoft Security Bulletin MS04-024
www.microsoft.com/technet/security/bulletin/ms04-024.mspx
Microsoft Knowledge Base Article - 839645
http://support.microsoft.com/?kbid=839645
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - MS04-023 Ejecución de código en la ayuda HTML (840315)
_____________________________________________________________
http://www.vsantivirus.com/vulms04-023.htm
MS04-023 Ejecución de código en la ayuda HTML (840315)
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Se han detectado dos problemas de seguridad en la ayuda HTML
que podrían permitir a un usuario malintencionado poner en
peligro un equipo que ejecute Microsoft Windows y hacerse con
el control del mismo.
* Nivel de gravedad: Crítico
* Impacto: Ejecución remota de código
* Fecha revisión: 13 de julio de 2004
* Software afectado:
- Microsoft Windows 2000 SP2, SP3, SP4
- Microsoft Windows XP
- Microsoft Windows XP SP1
- Microsoft Windows XP 64-Bit Edition SP1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows 98 (Ver Nota)
- Microsoft Windows 98 Second Edition (SE) (Ver Nota)
- Microsoft Windows Millennium Edition (Me) (Ver Nota)
* Software NO afectado:
- Microsoft Windows NT Workstation 4.0 SP6a
- Microsoft Windows NT Server 4.0 SP6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
* Componentes afectados:
- Internet Explorer 6.0 SP1 cuando se instala en Windows NT
4.0 SP6a (Workstation, Server, o Terminal Server Edition)
Windows NT Workstation 4.0, Windows NT Server 4.0 y Windows
NT 4.0 Terminal Server Edition, no son afectados por defecto.
Sin embargo, si se instala Internet Explorer 5.5 SP2 o
Internet Explorer 6.0 SP1, el sistema será vulnerable.
Nota:
* Sobre Windows 98, 98 Segunda Edición, y Windows Millennium
Debido a la política de soporte para estas versiones del
sistema operativo Windows (ver "Ciclo de vida del soporte
técnico de Microsoft",
http://support.microsoft.com/default.aspx?scid=fh;ES-ES;lifecycle),
Microsoft sólo libera actualizaciones de seguridad que sean
consideradas críticas, y por lo tanto, aunque la
vulnerabilidad afecta a estos sistemas operativos, no existe
un parche para ellos.
Otras versiones anteriores no mencionadas, podrían o no ser
vulnerables, pero ya no son soportadas por Microsoft.
* Descripción
Esta actualización resuelve dos nuevas vulnerabilidades
recientemente descubiertas. La vulnerabilidad en el
componente HTML de la Ayuda de Windows ha sido reportada
privadamente, mientras que la vulnerabilidad "showHelp" es de
conocimiento público.
La vulnerabilidad "showHelp", permite la ejecución de código
malicioso en la zona Local de seguridad (Mi PC), en el
Internet Explorer, y puede ser explotada mediante una página
HTML modificada maliciosamente. El atacante tendría que
persuadir a la víctima para que visite el sitio web,
típicamente haciendo clic en un enlace. Aún así, el ataque
sólo podrá ocurrir si el usuario realiza otras acciones.
La vulnerabilidad en la ayuda HTML también puede ser
explotada desde una página Web maliciosa, pero no es
necesario más que un clic del usuario para que un ataque sea
exitoso.
Si el usuario activo posee privilegios de administrador, un
atacante podría aprovechar estas vulnerabilidades para tomar
el control completo del sistema infectado, con la posibilidad
de instalar programas; ver, cambiar o borrar datos; o crear
nuevas cuentas asignándoles privilegios totales a las mismas.
Si el usuario actual no posee privilegios de administrador,
los riesgos se reducen.
* Parches:
Los parches pueden descargarse de los siguientes enlaces:
[Nota: los enlaces aparecen cortados por superar la cantidad
de caracteres permitidos en el formato de este boletín. En
todos los casos se deben cortar y pegar en una sola línea]
Actualización de seguridad para Windows 2000 (KB840315)
http://www.microsoft.com/downloads/details.aspx?FamilyId=3F2F
1A7D-5CF2-4791-A7EE-07F20F75796C&displaylang=es
Actualización de seguridad para Windows XP (KB840315)
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B41
2C7F-44AD-4E77-8973-FD3E84CC496A&displaylang=es
Actualización de seguridad para Windows Server 2003
(KB840315)
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B53
C35D-E9ED-46AD-936C-30C8E3A7E606&displaylang=es
* Nota:
Antes de instalar estos parches verifique que el software que
se menciona tenga instalado los Service Pack a los que se
hace referencia. En caso contrario la aplicación puede fallar
o ejecutarse de manera incorrecta.
* Más información:
Microsoft Security Bulletin MS04-023
www.microsoft.com/technet/security/bulletin/ms04-023.mspx
Microsoft Knowledge Base Article - 840315
http://support.microsoft.com/?kbid=840315
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Desbordamiento de búfer en Adobe Acrobat Reader 6.0
_____________________________________________________________
http://www.vsantivirus.com/vul-acrobat6.htm
Desbordamiento de búfer en Adobe Acrobat Reader 6.0
Fuente: www.GorilaX.com
Adobe Acrobat Reader es un software utilizado para visualizar
los archivos Portable Document Format (PDF). Se encuentra
disponible en varios idiomas, incluyendo el español y se
puede descargar desde la pagina www.Adobe.com.
Una vulnerabilidad ha sido descubierta por Greg MacManus de
iDEFENSE Labs., en Adobe Acrobat Reader, donde un usuario
malicioso puede llegar a comprometer la integridad del
sistema mediante la explotación de ese potencial bug.
El error aparece en la rutina encargada de dividir el nombre
de archivo en múltiples partes. Debido a un error de análisis
que implica caracteres nulos, un atacante remoto puede forzar
a Acrobat Reader a abrir un archivo que contenga una
extensión de archivo no reconocida. Si la extensión
proporcionada es excesivamente larga se produce un
desbordamiento de búfer (buffer overflow).
Mediante esta falla, un usuario remoto puede enviar un e-mail
adjuntando un PDF malicioso, y de esa manera comprometer al
sistema, ejecutando código arbitrario bajo los privilegios
del usuario local.
Se ha corroborado que la versión 6.0.1 es vulnerable.
El fabricante ha sido notificado y en respuesta ha lanzado la
versión 6.0.2, por lo que se aconseja actualizarse a ésta.
* Autor:
Alan Philip Ballrino - Zeus
Webmaster - www.GorilaX.com
* Enlaces relacionados:
Descarga de Adobe Acrobat Reader 6.0.2
http://www.adobe.com/products/acrobat/readstep2.html
* Créditos:
Greg MacManus (iDEFENSE Labs)
* Aviso Original
Adobe Reader 6.0 Filename Handler Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=116&type=vulnerabilities
[Artículo publicado originalmente en
http://www.gorilax.com/articulo.php?sid=4048]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Korgo.AA. Infecta equipos sin parche LSASS
_____________________________________________________________
http://www.vsantivirus.com/korgo-aa.htm
Nombre: W32/Korgo.AA
Tipo: Gusano de Internet
Alias: Korgo.AA, Win32.Korgo.AA, W32.Korgo.W,
W32/Korgo.worm.gen, Win32/Korgo.Y.Worm, Win32.Korgo.Z,
Worm.Win32.Padobot.p
Fecha: 13/jul/04
Plataforma: Windows 32-bit
Tamaño: 9,359 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 13 de julio de 2004, descarga y ejecuta
archivos de Internet. Está comprimida con la utilidad UPX.
Gusano que explota la conocida vulnerabilidad en el
componente LSASS (usada también por gusanos como Sasser,
Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000
sin el parche correspondiente instalado, por el simple hecho
de conectarse estos a Internet, no siendo necesaria la
ejecución de ningún archivo o adjunto que involucre acción
alguna por parte del usuario.
Más información: "MS04-011 Actualización crítica de Windows
(835732)", http://www.vsantivirus.com/vulms04-011.htm
Aunque la vulnerabilidad afecta a equipos con Windows XP o
2000, el gusano puede ejecutarse en equipos con otros Windows
sin infectarlos, para propagarse.
Cuando se ejecuta, el gusano busca y borra el archivo
FTPUPD.EXE en la carpeta actual.
Crea los siguientes mutex para asegurarse una sola instancia
de si mismo en memoria al mismo tiempo (un mutex es un
indicador en memoria que funciona como una especie de
semáforo):
uterm19-2
u8
u9
u10
u11
u12
Borra las siguientes entradas, si existen:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve.exe
avserve2.exe
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Update Service
Windows Security Manager
Windows Update
Windows Update Service
WinUpdate
Intenta consultar el valor de la entrada "WinUpdate" en la
siguiente entrada del registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Si falla, crea la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Wireless
ID = [caracteres al azar]
Client = "1"
Y luego se copia a si mismo con un nombre al azar en la
siguiente ubicación:
c:\windows\system32\[nombre al azar].exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También crea la siguiente entrada en el registro y lanza
dicho proceso, finalizando luego su propia ejecución:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinUpdate = c:\windows\system32\[nombre].exe
Si la consulta por el valor "WinUpdate" es acertada (ya
existe), pero el valor no contiene el camino completo al
gusano, entonces se copia a si mismo en la carpeta System32 y
se agrega a la misma entrada en el registro (WinUpdate =
c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso
y finaliza.
Si la consulta por el valor "WinUpdate" es acertada (existe),
y el valor indica el camino completo (WinUpdate =
c:\windows\system32\[nombre al azar].exe), entonces borra el
valor "Client" de la clave
"HKLM\SOFTWARE\Microsoft\Wireless".
El gusano intenta inyectarse como un hilo más con una función
dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta
dentro del proceso EXPLORER.EXE, y la ejecución del gusano no
se muestra en la lista de procesos activos de la ventana del
Administrador de tareas. Si falla, sigue como un proceso
independiente.
Al ejecutarse, el gusano queda a la escucha por los puertos
TCP 113 y 3067, y por los puertos 256 al 8191 al azar.
Además, utiliza el puerto TCP 6667 para conectarse a alguno
de los siguientes servidores de IRC:
brussels .be .eu .undernet .org
caen .fr .eu .undernet .org
flanders .be .eu .undernet .org
gaspode .zanet .org .za
graz .at .eu .undernet .org
irc .kar .net
irc .tsk .ru
lia .zanet .net
london .uk .eu .undernet .org
los-angeles .ca .us .undernet .org
moscow-advokat .ru
washington .dc .us .undernet .org
Luego, inicia un hilo de ejecución para explotar la
vulnerabilidad LSASS, en direcciones IP seleccionadas al
azar, a las cuáles intenta conectarse por el puerto TCP 445.
Para ello, una vez por segundo examina si existe una conexión
a Internet antes de iniciar el ataque a otros sistemas.
Si la conexión es exitosa, y la vulnerabilidad es explotada,
la máquina atacada intentará conectarse con la máquina actual
para descargar el gusano y reiniciar la secuencia en dicho
equipo.
El gusano también inicia un bucle sin fin para evitar el
cierre del sistema provocado por el exploit que afecta la
vulnerabilidad LSASS.
El gusano intenta conectarse periódicamente a los siguientes
sitios de Internet, para intentar descargar un archivo:
adult-empire .com
asechka .ru
citi-bank .ru
color-bank .ru
crutop .nu
cvv .ru
fethard .biz
filesearch .ru
kavkaz .ru
kidos-bank .ru
konfiskat .org
master-x .com
mazafaka .ru
parex-bank .ru
roboxchange .com
www .redline .ru
xware .cjb .net
Si el archivo descargado contiene la cadena "zer0", el gusano
descarga otro archivo ejecutable desde el mismo sitio y lo
guarda en la carpeta System32 de Windows para luego
ejecutarlo.
Si la cadena "zer0" no existe en el archivo descargado
primero, el gusano reintenta la conexión más tarde. El tiempo
de espera es seleccionado al azar.
* Reparación manual
* IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet,
hasta instalar el parche para la vulnerabilidad LSASS (MS04-
011). Si es necesario, descargarlo antes de proceder al resto
de la limpieza, desde el siguiente enlace para instalarlo
posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Métodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse
dificultada por el constante reinicio del equipo infectado
(un efecto secundario del exploit que se vale de la
vulnerabilidad en el componente LSASS). Para evitarlo, siga
cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas
(ajústelo nuevamente a la hora correcta luego de la
instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego
ingrese el siguiente comando (más Enter):
shutdown -a
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
WinUpdate
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Wireless
5. Pinche en la carpeta "Wireless" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
Activar el cortafuego de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Korgo.AB. Infecta equipos sin parche LSASS
_____________________________________________________________
http://www.vsantivirus.com/korgo-ab.htm
Nombre: W32/Korgo.AB
Tipo: Gusano de Internet
Alias: Korgo.AB, Win32.Korgo.AB, Win32/Korgo.AB.Worm,
W32/Korgo.worm.ab, W32.Korgo.X, Worm.Win32.Padobot.gen
Fecha: 13/jul/04
Plataforma: Windows 32-bit
Tamaño: 9,359 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 13 de julio de 2004, descarga y ejecuta
archivos de Internet. Está comprimida con la utilidad UPX.
Gusano que explota la conocida vulnerabilidad en el
componente LSASS (usada también por gusanos como Sasser,
Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000
sin el parche correspondiente instalado, por el simple hecho
de conectarse estos a Internet, no siendo necesaria la
ejecución de ningún archivo o adjunto que involucre acción
alguna por parte del usuario.
Más información: "MS04-011 Actualización crítica de Windows
(835732)", http://www.vsantivirus.com/vulms04-011.htm
Aunque la vulnerabilidad afecta a equipos con Windows XP o
2000, el gusano puede ejecutarse en equipos con otros Windows
sin infectarlos, para propagarse.
Cuando se ejecuta, el gusano busca y borra el archivo
FTPUPD.EXE en la carpeta actual.
Crea los siguientes mutex para asegurarse una sola instancia
de si mismo en memoria al mismo tiempo (un mutex es un
indicador en memoria que funciona como una especie de
semáforo):
uterm20
u8
u9
u10
u11
u12
Borra las siguientes entradas, si existen:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve.exe
avserve2.exe
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Update Service
Windows Security Manager
Windows Update
Windows Update Service
WinUpdate
Intenta consultar el valor de la entrada "WinUpdate" en la
siguiente entrada del registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Si falla, crea la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Wireless
ID = [caracteres al azar]
Client = "1"
Y luego se copia a si mismo con un nombre al azar en la
siguiente ubicación:
c:\windows\system32\[nombre al azar].exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También crea la siguiente entrada en el registro y lanza
dicho proceso, finalizando luego su propia ejecución:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinUpdate = c:\windows\system32\[nombre].exe
Si la consulta por el valor "WinUpdate" es acertada (ya
existe), pero el valor no contiene el camino completo al
gusano, entonces se copia a si mismo en la carpeta System32 y
se agrega a la misma entrada en el registro (WinUpdate =
c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso
y finaliza.
Si la consulta por el valor "WinUpdate" es acertada (existe),
y el valor indica el camino completo (WinUpdate =
c:\windows\system32\[nombre al azar].exe), entonces borra el
valor "Client" de la clave
"HKLM\SOFTWARE\Microsoft\Wireless".
El gusano intenta inyectarse como un hilo más con una función
dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta
dentro del proceso EXPLORER.EXE, y la ejecución del gusano no
se muestra en la lista de procesos activos de la ventana del
Administrador de tareas. Si falla, sigue como un proceso
independiente.
Al ejecutarse, el gusano queda a la escucha por los puertos
TCP 113 y 3067, y por los puertos 256 al 8191 al azar.
Además, utiliza el puerto TCP 6667 para conectarse a alguno
de los siguientes servidores de IRC:
brussels .be .eu .undernet .org
caen .fr .eu .undernet .org
flanders .be .eu .undernet .org
gaspode .zanet .org .za
graz .at .eu .undernet .org
irc .kar .net
irc .tsk .ru
lia .zanet .net
london .uk .eu .undernet .org
los-angeles .ca .us .undernet .org
moscow-advokat .ru
washington .dc .us .undernet .org
Luego, inicia un hilo de ejecución para explotar la
vulnerabilidad LSASS, en direcciones IP seleccionadas al
azar, a las cuáles intenta conectarse por el puerto TCP 445.
Para ello, una vez por segundo examina si existe una conexión
a Internet antes de iniciar el ataque a otros sistemas.
Si la conexión es exitosa, y la vulnerabilidad es explotada,
la máquina atacada intentará conectarse con la máquina actual
para descargar el gusano y reiniciar la secuencia en dicho
equipo.
El gusano también inicia un bucle sin fin para evitar el
cierre del sistema provocado por el exploit que afecta la
vulnerabilidad LSASS.
El gusano intenta conectarse periódicamente a los siguientes
sitios de Internet, para intentar descargar un archivo:
adult-empire .com
asechka .ru
citi-bank .ru
color-bank .ru
crutop .nu
cvv .ru
fethard .biz
filesearch .ru
kavkaz .ru
kidos-bank .ru
konfiskat .org
master-x .com
mazafaka .ru
parex-bank .ru
roboxchange .com
www .redline .ru
xware .cjb .net
Si el archivo descargado contiene la cadena "zer0", el gusano
descarga otro archivo ejecutable desde el mismo sitio y lo
guarda en la carpeta System32 de Windows para luego
ejecutarlo.
Si la cadena "zer0" no existe en el archivo descargado
primero, el gusano reintenta la conexión más tarde. El tiempo
de espera es seleccionado al azar.
* Reparación manual
* IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet,
hasta instalar el parche para la vulnerabilidad LSASS (MS04-
011). Si es necesario, descargarlo antes de proceder al resto
de la limpieza, desde el siguiente enlace para instalarlo
posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Métodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse
dificultada por el constante reinicio del equipo infectado
(un efecto secundario del exploit que se vale de la
vulnerabilidad en el componente LSASS). Para evitarlo, siga
cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas
(ajústelo nuevamente a la hora correcta luego de la
instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego
ingrese el siguiente comando (más Enter):
shutdown -a
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
WinUpdate
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Wireless
5. Pinche en la carpeta "Wireless" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
Activar el cortafuego de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1470 Año 8, jueves 15 de julio de 2004
|
VSantivirus No. 14
Responder a este mensaje
