|
Mostrando mensaje 532
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1483 Año 8, miércoles 28 de julio de 2004 | | Fecha: | Miercoles, 28 de Julio, 2004 00:11:38 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1483 Año 8, miércoles 28 de julio de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Ataques a los puntos claves de Internet
2 - W32/Zindos.A. Se propaga usando el gusano Mydoom
3 - W32/Lovgate.AL. Usa e-mail y recursos compartidos
4 - W32/Mabutu.A. Se propaga por e-mail y usa IRC
_____________________________________________________________
1 - Ataques a los puntos claves de Internet
_____________________________________________________________
http://www.vsantivirus.com/28-07-04.htm
Ataques a los puntos claves de Internet
Por Angela Ruiz
angela@videosoft.net.uy
DoubleClick Inc., la compañía que proporciona servicios para
la publicidad en línea (banners publicitarios), de la mayoría
de los sitios Web más populares, fue el blanco de un
sofisticado ataque este martes. Es la tercera vez en dos
meses que los piratas informáticos han puesto su mira en uno
de los más importantes sitios relacionados con el mundo del
comercio en Internet.
En las primeras horas de la mañana del martes 27, atacantes
desconocidos saturaron los servidores de DoubleClick,
inundándolos con miles de solicitudes falsas de páginas Web,
bloqueando el acceso a muchos sitios importantes que
descargan las imágenes de los avisos publicitarios
gestionados por la compañía.
El ataque a su vez, hizo que los demás usuarios de Internet,
tuvieran dificultades para visualizar las páginas de la
mayoría de los 40 sitios más visitados de la red. En el pico
más alto del ataque, las páginas afectadas estuvieron
disponibles menos de un 25 por ciento del tiempo habitual,
según Keynote Systems Inc., una compañía californiana que
controla el rendimiento de la red.
La portavoz de DoubleClick, Jennifer Blum dijo que el ataque
se concentró en los servidores de nombre de dominio de la
compañía (DNS) -- las máquinas que ayudan a dirigir el
tráfico de Internet -- causando "severas interrupciones del
servicio" para la mayoría de sus más de 900 clientes. Blum
dijo también que el fallo fue causado por un ataque
distribuido de denegación de servicio (DDoS), en el cuál
piratas informáticos utilizaron millares de computadoras
secuestradas para saturar los servidores con tantos pedidos
falsos de páginas, que los deja inaccesibles para los
usuarios legítimos.
"Al principio de la mañana del martes, nuestra
infraestructura DNS cayó bajo un ataque de denegación de
servicio desde fuentes externas," dijo Blum. "La situación ha
mejorado sobre las últimas horas y seguiremos tomando las
medidas necesarias para resolver definitivamente la
situación."
Entre los sitios que más sufrieron, se encontraban Nortel
Networks, Gateway Inc., MCI Inc., CNN.com y Schwab.com, según
Keynote. Las páginas del sitio Web del periódico The
Washington Post, también cargaban muy lentamente durante
varias de las primeras horas de la mañana, antes que la
compañía decidiera bloquear los anuncios de DoubleClick para
mejorar la accesibilidad a sus usuarios.
El ataque a DoubleClick llegó menos de 24 horas después que
piratas informáticos liberaron una nueva versión del gusano
"Mydoom", el cuál ocasionó problemas similares de denegación
de servicio a Google, Yahoo y a otros dos buscadores de
Internet, al usarlos para propagarse, como relatábamos ayer
en VSAntivirus.
La gran cantidad de solicitudes desde las computadoras
infectadas por el Mydoom, dejó a muchos usuarios de Internet
incapaces de acceder a esos sitios, aunque expertos de
seguridad dijeran que el impacto en los motores de búsqueda
fuera probablemente involuntario.
Sin embargo, en la tarde del mismo martes, un nuevo gusano
creado presumiblemente por los mismos programadores del
Mydoom, el Zindos.A, se empezó a propagar a través de los
equipos infectados por el Mydoom, dirigiendo un nuevo ataque
DoS, pero esta vez voluntario, y dirigido al sitio de
Microsoft.
Los expertos en seguridad piensan que el ataque específico a
DoubleClick, es similar al asalto del mes pasado contra
Akamai Technologies, una compañía que distribuye el contenido
Web para empresas como Google, Microsoft y Yahoo. En ese
ataque, los piratas informáticos se valieron de millares de
computadoras que habían sido secuestradas y convertidas en
máquinas zombis, para saturar los servidores DNS de Akamai,
bloqueando el acceso a muchos de los clientes de la compañía
por casi dos horas.
"Una de las cosas que hace que Internet pueda sobrevivir, es
que ninguna compañía o tecnología ejecuta el total de algo,"
dijo Lloyd Taylor, vicepresidente de tecnología de Keynote.
"En este caso, al igual que con el problema de Akamai, los
atacantes se concentraron en una infraestructura común en la
que confían muchas otras compañías."
El ataque a DoubleClick es otro signo de que los atacantes
comienzan a concentrarse en puntos de presión claves de
Internet, aquellos que cuando son estrangulados con alguna
clase de presión, oscurecen a toda la red para la mayoría de
los usuarios, dijo Johannes Ullrich, oficial principal de
tecnología del Internet Storm Center del SANS Institute.
"Los piratas informáticos no necesitan atacar a todo
Internet. Si usted ataca Akamai o a DoubleClick, puede
bloquear al 95 por ciento de lo que muchas personas
consideran es Internet," dijo Ullrich.
"El FBI no investiga oficialmente el incidente, porque
DoubleClick no ha realizado ningún informe", dijo un portavoz
de la oficina federal de investigación, Megan Baroska.
* Fuente:
Internet Attack Targets DoubleClick
http://www.securityfocus.com/news/9224
* Relacionados:
Google atacado por el gusano Mydoom
http://www.vsantivirus.com/27-07-04.htm
W32/Zindos.A. Se propaga usando el gusano Mydoom
http://www.vsantivirus.com/zindos-a.htm
W32/Mydoom.R. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-r.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Zindos.A. Se propaga usando el gusano Mydoom
_____________________________________________________________
http://www.vsantivirus.com/zindos-a.htm
Nombre: W32/Zindos.A
Tipo: Gusano de Internet
Alias: Zindos.A, Win32/Zindos.A, W32.Zindos.A,
W32/Zindos.worm, W32/Zindos-A
Fecha: 27/jul/04
Plataforma: Windows 32-bit
Tamaño: 5,760 bytes
Este gusano realiza ataques de denegación de servicio (DoS)
al sitio web de Microsoft.
Se propaga con la ayuda del Mydoom.R, utilizando el troyano
Zincite.A, un servidor de puerta trasera que instala el
Mydoom, y que al ejecutarse intenta conectarse con otros
sistemas infectados, probando direcciones al azar por el
puerto 1034.
A través de este puerto se propaga el Zindos.A, buscando
otros equipos infectados por el Mydoom.R, a los que luego se
envía y ejecuta.
El Mydoom y el Zindos parecen ser del mismo autor,
conformando entre ambos una especie de ataque de dos etapas.
Mydomm.R infecta las computadoras y ejecuta el backdoor
Zincite, y luego el Zindos busca estas computadoras para
ejecutarse en ellas.
Cuando Zindos se ejecuta, crea una copia de si mismo en la
carpeta TEMP con un nombre al azar (la extensión es siempre
.EXE):
\TEMP\[nombre].exe
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
También crea una de las siguientes entradas en el registro,
para ejecutarse automáticamente en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Tray = [Nombre del gusano].exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Tray = [Nombre del gusano].exe
Luego, realiza un ataque de denegación de servicio al sitio
de Microsoft.
El ataque a www .microsoft .com comienza a los 3 minutos de
ejecutarse el gusano. Luego, intenta en forma continua
descargar una página, cada 50ms (los intervalos de descarga
comienzan cada 1 segundo y van aumentando el tiempo de
descarga en 0,25 segundos en cada descarga).
Antes del ataque, el gusano busca también otros equipos
infectados con el Mydoom.R para copiarse y ejecutarse en
ellos.
* Reparación manual
Asegúrese de eliminar también todo rastro del gusano Mydoom.R
y del backdoor Zincite.A, como se indica en el siguiente
enlace:
W32/Mydoom.R. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-r.htm
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
asegúrese de haber reiniciado Windows en modo a prueba de
fallos, como se indica en el siguiente artículo, y repita
todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Tray
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Tray
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Lovgate.AL. Usa e-mail y recursos compartidos
_____________________________________________________________
http://www.vsantivirus.com/lovgate-al.htm
Nombre: W32/Lovgate.AL
Tipo: Gusano de Internet
Alias: Lovgate.AL, WORM_LOVGATE.AE, W32/Lovgate.af2@MM
Plataforma: Windows 32-bit
Tamaño: 153,600 bytes
Fecha: 26/jul/04
Puerto: TCP al azar
Gusano que se propaga masivamente por correo electrónico, y
recursos compartidos en redes.
La máquina infectada puede ser accedida por un atacante a
través de una puerta trasera instalada por el gusano.
Los mensajes infectados pueden tener adjuntos con extensiones
.EXE, .PIF, .SCR, .COM, .RAR o .ZIP. El mensaje también puede
ser la respuesta a un mensaje enviado anteriormente a un
usuario que ahora ha sido infectado (no abra adjuntos de
usuarios conocidos sin haber confirmado con el remitente su
envío, podría ser una respuesta automática del gusano a uno
de sus mensajes, en un mensaje infectado).
Utiliza su propio motor SMTP para enviarse a todos los
contactos de la libreta de direcciones de Windows y del
Outlook, y a todas las direcciones que extrae de archivos de
las máquinas infectadas.
Detalles de los mensajes:
De: [remitente falso, creado con los datos de la siguiente
lista]
accoun
acketst
alice
andrew
anyone
arin.
be_loyal:
berkeley
borlan
brenda
brent
brian
certific
claudia
contact
david
debby
example
feste
george
gold-certs
google
helen
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
james
jerry
jimmy
julie
kernel
kevin
linda
linux
listserv
maria
michael
mit.e
mozilla
mydomai
nobody
noone
nothing
ntivi
panda
peter
postmaster
privacy
rating
rfc-ed
ripe.
robert
ruslis
samples
sandra
secur
sendmail
service
smith
somebody
someone
sopho
steve
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster
Asunto: [uno de los siguientes]
hello
hi
Mail Delivery System
Mail Transaction Failed
Texto del mensaje: [uno de los siguientes]
- It's the long-awaited film version of the Broadway hit.
The message sent as [****]
- Mail failed. For further assistance, please contact!
- pass
- The message contains Unicode characters [****]
NOTA [****]:
Debido a que muchos proveedores están filtrando los mensajes
con estos textos, los mismos son omitidos en este boletín.
Puede verlos en http://www.vsantivirus.com/lovgate-ah.htm
Datos adjuntos: [nombre]+[extensión]
Donde [nombre] es uno de los siguientes:
body
data
doc
document
file
message
readme
test
text
Y [extensión] una de las siguientes:
.com
.exe
.pif
.rar
.scr
También puede incluir adjuntos con extensión .ZIP y cualquier
nombre.
Además, se envía como respuesta a mensajes no leídos
encontrados en la bandeja de entrada del Outlook, Outlook
Express y otros clientes de correo compatibles.
En este caso, estos son los detalles del mensaje:
Asunto: Re: [asunto del mensaje que se responde]
Texto del mensaje:
[texto del mensaje que se responde]
[nombre dominio] account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE [nombre dominio] now! <
Donde [nombre dominio] es el mismo dominio del destinatario.
Datos adjuntos: [uno de los siguientes]
Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif
WinExec
Cuando se ejecuta, el gusano crea los siguientes archivos en
la máquina infectada:
\autorun.inf
\cdrom.com
c:\windows\cdplay.exe
c:\windows\exploier.exe
c:\windows\system\hxdef.exe
c:\windows\system\iexplore.exe
c:\windows\system\iexplorer.exe
c:\windows\system\kernel66.dll
c:\windows\system\lmmib20.dll
c:\windows\system\msjdbc11.dll
c:\windows\system\mssign30.dll
c:\windows\system\netmeeting.exe
c:\windows\system\odbc16.dll
c:\windows\system\ravmond.exe
c:\windows\system\spollsv.exe
c:\windows\system\tkbellexe.exe
c:\windows\system\update_ob.exe
El archivo KERNEL66.DLL es copiado con los atributos de solo
lectura, oculto y del sistema (+R +H +S).
NOTA: En todos los casos, "c:\windows" y "c:\windows\system"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system32",
etc.).
También genera las siguientes entradas en el registro para
autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Hardware Profile = c:\windows\system\hxdef.exe
Microsoft Associates, Inc. = iexplorer.exe
Protected Storage = rundll32.exe mssign30.dll ondll_reg
Shell Extension = c:\windows\system\spollsv.exe
VFW Encoder/Decoder Settings = rundll32.exe mssign30.dll ondll_reg
WinHelp = c:\windows\system\tkbellexe.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
COM++ System = exploier.exe
SystemTra = c:\windows\cdplay.exe
En equipos con Windows NT, 2000 y XP, crea también las
siguientes entradas:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = ravmond.exe
Crea un recurso compartido en red con el siguiente nombre:
Media
El mismo está mapeado a la siguiente ubicación:
c:\windows\media
Se copia en dicha carpeta con los siguientes nombres:
autoexec.bat
Cain.pif
client.exe
Documents and Settings.txt.exe
findpass.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Support Tools.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR.exe
xcopy.exe
Crea dos archivos llamados "CDROM.COM" y "AUTORUN.INF"
respectivamente, y los copia en el directorio raíz de todas
las unidades de disco excepto CDROM y removibles.
El archivo AUTORUN.INF contiene las instrucciones para
ejecutar CDROM.COM.
Crea un archivo con alguno de los siguientes nombres en el
raíz de todos las unidades de discos, excepto A y B:
bak.rar
bak.zip
important.rar
important.zip
letter.rar
letter.zip
pass.rar
pass.zip
setup.rar
setup.zip
work.rar
work.zip
Cada archivo comprimido contiene a su vez, alguno de los
siguientes archivos:
book.com
book.exe
book.pif
book.scr
email.com
email.exe
email.pif
email.scr
important.com
important.exe
important.pif
important.scr
password.com
password.exe
password.pif
password.scr
setup.com
setup.exe
setup.pif
setup.scr
work.com
work.exe
work.pif
work.scr
El gusano también se registra a si mismo como un servicio de
nombre "_reg":
HKLM\System\ControlSet001\Services\_reg
Image Path = Rundll32.exe msjdbc11.dll ondll_server
HKLM\System\CurrentControlSet\Services\_reg
Image Path = Rundll32.exe msjdbc11.dll ondll_server
Escucha por un puerto TCP al azar. El proceso de acceso
remoto por puerta trasera (backdoor), roba información del
sistema comprometido. Esta información es almacenada por el
troyano en el siguiente archivo:
c:\netlog.txt
Luego, la misma puede ser enviada vía correo electrónico a un
usuario remoto.
También examina todas las máquinas de la red local (si
existiera), e intenta logearse en ellas como administrador,
utilizando alguna de las siguientes contraseñas:
!@#$%
!@#$%
!@#$%
!@#$%
000000
00000000
111111
11111111
121212
123123
12345
123456
1234567
12345678
123456789
123abc
123asd
54321
654321
666666
888888
88888888
abc123
abcdef
abcdefg
Admin
admin
admin123
Administrator
administrator
alpha
asdfgh
computer
database
enable
godblessyou
guest
Guest
Internet
login
Login
mypass
mypass123
mypc123
oracle
owner
passwd
password
Password
pw123
secret
server
super
sybase
temp123
test123
El gusano también intenta logearse como administrador si la
cuenta no tiene contraseña.
Si obtiene éxito, se copia a si mismo como NETMANAGER32.EXE
en la siguiente ubicación:
\\[nombre computadora]\admin$\system32\netmanager32.exe
También inicia un servicio llamado "Windows Management
NetWork Service Extensions" que es mapeado como
"netmanager32.exe -exe_start".
El gusano utiliza un script para crear y ejecutar un
componente FTP, el cuál explota la vulnerabilidad RPC/DCOM de
Windows, para descargar una copia del propio gusano en otros
equipos, en un archivo llamado HXDEF.EXE. El gusano se
ejecuta automáticamente después que se ha descargado.
Intenta finalizar los procesos activos cuyos nombres
contengan las siguientes cadenas:
mcafee
ravmon.exe
rfw.exe
rising
skynet
symantec
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
\autorun.inf
\cdrom.com
c:\windows\cdplay.exe
c:\windows\exploier.exe
c:\windows\system\hxdef.exe
c:\windows\system\iexplore.exe
c:\windows\system\iexplorer.exe
c:\windows\system\kernel66.dll
c:\windows\system\lmmib20.dll
c:\windows\system\msjdbc11.dll
c:\windows\system\mssign30.dll
c:\windows\system\netmeeting.exe
c:\windows\system\odbc16.dll
c:\windows\system\ravmond.exe
c:\windows\system\spollsv.exe
c:\windows\system\tkbellexe.exe
c:\windows\system\update_ob.exe
El archivo "CDROM.COM", así como "AUTORUN.INF", se copian en
todas las unidades de disco excepto CDROM y removibles.
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" "Mi PC", y de tener
seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
netmanager32.exe
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
netmanager32.exe
4. Verifique que en "Buscar en:" esté seleccionado "Mi PC"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Modificar WIN.INI
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo WIN.INI en la carpeta
C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los
siguientes cambios. Para ello, desde el Explorador de
Windows, abra la carpeta C:\Windows\Recent, y en el panel de
la derecha, seleccione y borre WIN.INI. Este archivo se
regenerará como una copia del archivo que a continuación
modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Si existe alguna referencia a los archivos del en la
línea "run=" bajo la sección [windows], bórrelo.
Por ejemplo:
[Windows]
run = ravmond.exe
Debe quedar como:
[Windows]
run=
3. Grabe los cambios y salga del bloc de notas.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
3. Pinche en la carpeta "Windows" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Run
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
COM++ System
SystemTra
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
Hardware Profile
Microsoft Associates, Inc.
Protected Storage
Shell Extension
VFW Encoder/Decoder Settings
WinHelp
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\ControlSet001
\Services
9. Pinche en la carpeta "Services" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
_reg
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services
11. Pinche en la carpeta "Services" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
_reg
12. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Mabutu.A. Se propaga por e-mail y usa IRC
_____________________________________________________________
http://www.vsantivirus.com/mabutu-a.htm
Nombre: W32/Mabutu.A
Tipo: Gusano de Internet
Alias: Mabutu, Win32/Mabutu.A, W32/Mabutu.a@MM
Fecha: 27/jul/04
Plataforma: Windows 32-bit
Tamaño: 32,768 bytes (EXE), 48,640 bytes (DLL)
Este gusano se propaga en forma masiva vía correo
electrónico.
Posee su propio motor SMTP para enviarse, y utiliza
direcciones falsas como remitente.
Las direcciones a las que se envía, son obtenidas de la
máquina infectada.
Está formado por un componente .EXE que libera un .DLL al
ejecutarse.
El gusano obtiene direcciones electrónicas de archivos con
las siguientes extensiones:
.htm
.html
.txt
.wab
Los mensajes enviados tienen las siguientes características:
Asunto: [uno de los siguientes]
Hello
Hi
I'm in love
Important
Sex
Wet girls
Datos adjuntos: [algunos ejemplos]
[letras y números al azar]
britney
creme_de_gruyere
details
document
fetishes
gutted
jenifer
photo
Los archivos usan alguna de estas extensiones:
.scr
.zip
Ejemplos:
K7653425.scr
britney.zip
creme_de_gruyere.scr
document.scr
fetishes.zip
Cuando es un .ZIP, su contenido es un archivo con doble
extensión y nombre al azar:
[nombre].jpg [múltiples espacios] .scr
[nombre].txt [múltiples espacios] .scr
Cuando se ejecuta, el gusano crea los siguientes archivos en
la carpeta de Windows:
c:\windows\??twain.dat
c:\windows\?twain.dll
c:\windows\?twain.exe
c:\windows\cfg.dat
Donde "?" representa una o dos letras al azar.
Crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winupd = RUNDLL32.EXE c:\windows\?twain.dll, _mainRD
El gusano intenta conectarse a un servidor IRC por el puerto
TCP/6667, utilizando alguno de los siguientes servidores:
amsterdam.nl.eu.undernet.org
amsterdam2.nl.eu.undernet.org
ann-arbor.mi.us.undernet.org
arlington.va.us.undernet.org
atlanta.ga.us.undernet.org
auckland.nz.undernet.org
austin.tx.us.undernet.org
baltimore.md.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
dallas.tx.us.undernet.org
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
graz2.at.eu.undernet.org
haarlem.nl.eu.undernet.org
lasvegas.nv.us.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
manhattan.ks.us.undernet.org
mclean.va.us.undernet.org
mesa.az.us.undernet.org
montreal.qu.ca.undernet.org
moscow.ru.eu.undernet.org
newbrunswick.nj.us.undernet.org
newyork.ny.us.undernet.org
oslo.no.eu.undernet.org
phoenix.az.us.undernet.org
plano.tx.us.undernet.org
quebec.qu.ca.undernet.org
saltlake.ut.us.undernet.org
stockholm.se.eu.undernet.org
surrey.uk.eu.undernet.org
toronto.on.ca.undernet.org
vancouver.bc.ca.undernet.org
washington.dc.us.undernet.org
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\??twain.dat
c:\windows\?twain.dll
c:\windows\?twain.exe
c:\windows\cfg.dat
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
winupd
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1483 Año 8, miércoles 28 de julio de 2004
|
Responder a este mensaje
