|
Mostrando mensaje 516
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1467 Año 8, lunes 12 de julio de 2004 | | Fecha: | Lunes, 12 de Julio, 2004 12:59:48 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1467 Año 8, lunes 12 de julio de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Vulnerabilidad en OBJECT con Outlook y Word como editor
2 - W32/Atak.A. El adjunto simula ser un JPG o un GIF
3 - W32/Korgo.Z. Infecta equipos sin parche LSASS
4 - W32/Korgo.Y. Infecta equipos sin parche LSASS
_____________________________________________________________
1 - Vulnerabilidad en OBJECT con Outlook y Word como editor
_____________________________________________________________
http://www.vsantivirus.com/vul-outlook-word-object.htm
Vulnerabilidad en OBJECT con Outlook y Word como editor
Por Angela Ruiz
angela@videosoft.net.uy
Cuando se utiliza Microsoft Word como editor de correo
electrónico en Microsoft Outlook 2000 y 2003, se pueden
descargar páginas Web remotas, especificadas dentro de las
propiedades de la etiqueta OBJECT del código HTML.
Ello ocurre siempre que no exista el cierre de dicho marcador
(/OBJECT). La descarga y ejecución de cualquier posible
código embebido, ocurre sin importar la configuración de las
zonas de seguridad de Microsoft, ni tampoco la activación o
desactivación de ActiveX.
Un atacante podría enviar un correo HTML con las
modificaciones necesarias para que la víctima, al reenviarlo
utilizando Word como editor de Outlook, descargue en su
máquina cualquier página desde un sitio remoto, sin ninguna
advertencia que se lo advierta.
Si el usuario reenvía el mensaje (por ejemplo, un posible
spam es reenviado al administrador de su correo electrónico
para denunciarlo), entonces podría infectarse con cualquier
código maligno descargado de un sitio Web.
El fallo solo trabaja cuando se reenvía un mensaje, no al
responderlo, y solo funciona si no existe el cierre para la
etiqueta OBJECT.
Según el autor del reporte, Microsoft está avisado del
problema. Sin embargo, solo considera solucionarlo en una
futura versión de Office, modificando la conducta de las
opciones de reenvío y de respuesta de los mensajes recibidos.
Se ha comprobado el problema en los siguientes productos:
Outlook 2003 con MS Word 2003 como editor en Windows XP
Outlook 2000 con MS Word 2000 como editor en Windows 2000
Ambos con todos los parches y actualizaciones de Office y de
Windows.
Pueden ser vulnerables otras plataformas (Windows 98, Me),
pero no ha sido comprobado.
No ocurre este problema si no se utiliza Word como editor.
* Recomendaciones
Se recomienda no utilizar Word como editor del Outlook para
enviar sus correos.
Tampoco reenvíe jamás ninguna clase de mensaje no solicitado,
sin importar su procedencia.
* Créditos: "James C. Slora, Jr." <james.slora@phra.com>
* Referencias:
Microsoft Word Email Object Data Vulnerability
http://www.securityfocus.com/archive/1/368492
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Atak.A. El adjunto simula ser un JPG o un GIF
_____________________________________________________________
http://www.vsantivirus.com/atak-a.htm
Nombre: W32/Atak.A
Tipo: Gusano de Internet
Alias: Atak.A, W32/Atak.A.worm, Win32/Atak.A, I-Worm.Atak.a
Fecha: 12/jul/04
Plataforma: Windows 32-bit
Tamaño: 15.917 bytes (FSG)
Este gusano, escrito en Visual C++ 5.0, se propaga por correo
electrónico, a través de mensajes con las siguientes
características:
De: [usuario]
Donde [usuario] puede ser una dirección falsa, o uno de los
siguientes nombres:
andrew
george
huck
jose
kevin
mike
Asunto: [uno de los siguientes]
[vacío]
Important Data!
Read the Result!
Texto del mensaje: [uno de los siguientes]
[vacío]
Authorized Researcher Only.
Datos adjuntos: [nombre]+[1]+[2]+[3]
Donde [nombre] es un nombre al azar, y [1], es una de la
siguientes extensiones:
.jpg
.gif
[2] representa cierta cantidad de espacios vacíos (eso oculta
la verdadera extensión en la ventana usada), y [3] es siempre
la siguiente extensión:
.exe
La infección se produce solo cuando el usuario ejecuta el
adjunto recibido. En ese caso, se crea el siguiente archivo:
c:\windows\system\hint.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
El gusano modifica el archivo C:\WINDOWS\WIN.INI para
ejecutarse en cada reinicio (Windows 95, 98 y Me):
[Windows]
load = c:\windows\system\hint.exe
Las direcciones de correo a las que se envía, son obtenidas
de aquellos archivos de la máquina infectada, que tengan las
siguientes extensiones (en algunos casos, solo busca en
archivos menores de 80 Kb):
.adb
.asp
.cfg
.cgi
.dbx
.eml
.htm
.html
.jsp
.log
.mbx
.mht
.msg
.nch
.ods
.php
.sht
.tbb
.uin
.vbs
.wab
.xml
El gusano utiliza su propio motor SMTP para enviarse. Intenta
obtener el servidor SMTP del usuario infectado desde el
registro. En caso contrario, realiza consultas a diversos
servidores DNS.
Para no ejecutarse más de una vez en memoria, crea un mutex
con el siguiente nombre:
SloperMtx
El gusano no se ejecuta si detecta la presencia de algún
"debugger" como "SoftIce" en el sistema. Un debugger permite
examinar paso a paso la ejecución de un programa para
examinarlo y es utilizado a menudo por los investigadores de
virus.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\hint.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Modificar WIN.INI
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo WIN.INI en la carpeta
C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los
siguientes cambios. Para ello, desde el Explorador de
Windows, abra la carpeta C:\Windows\Recent, y en el panel de
la derecha, seleccione y borre WIN.INI. Este archivo se
regenerará como una copia del archivo que a continuación
modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Si existe alguna referencia a los archivos del en la
línea "run=" bajo la sección [Windows], bórrelo.
Por ejemplo:
[Windows]
load = c:\windows\system\hint.exe
Debe quedar como:
[Windows]
load =
3. Grabe los cambios y salga del bloc de notas.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Korgo.Z. Infecta equipos sin parche LSASS
_____________________________________________________________
http://www.vsantivirus.com/korgo-z.htm
Nombre: W32/Korgo.Z
Tipo: Gusano de Internet
Alias: Korgo.Z, Padobot.Z, Worm.Win32.Padobot, W32/Korgo.Z,
Worm.Win32.Padobot.Gen, W32/Korgo.Z.worm
Fecha: 10/jul/04
Plataforma: Windows 32-bit
Tamaño: 9,359 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 10 de julio de 2004, descarga y ejecuta
archivos de Internet. Está comprimida con la utilidad UPX.
Gusano que explota la conocida vulnerabilidad en el
componente LSASS (usada también por gusanos como Sasser,
Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000
sin el parche correspondiente instalado, por el simple hecho
de conectarse estos a Internet, no siendo necesaria la
ejecución de ningún archivo o adjunto que involucre acción
alguna por parte del usuario.
Más información: "MS04-011 Actualización crítica de Windows
(835732)", http://www.vsantivirus.com/vulms04-011.htm
Aunque la vulnerabilidad afecta a equipos con Windows XP o
2000, el gusano puede ejecutarse en equipos con otros Windows
sin infectarlos, para propagarse.
Cuando se ejecuta, el gusano busca y borra el archivo
FTPUPD.EXE en la carpeta actual.
Crea los siguientes mutex para asegurarse una sola instancia
de si mismo en memoria al mismo tiempo (un mutex es un
indicador en memoria que funciona como una especie de
semáforo):
uterm19-2
Borra las siguientes entradas, si existen:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve.exe
avserve2.exeUpdate Service
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Windows Security Manager
Windows Update
Windows Update Service
WinUpdate
Intenta consultar el valor de la entrada "Cryptographic
Service" en la siguiente entrada del registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Si falla, crea la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Wireless
ID = [caracteres al azar]
Client = "1"
Y luego se copia a si mismo con un nombre al azar en la
siguiente ubicación:
c:\windows\system32\[nombre al azar].exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También crea la siguiente entrada en el registro y lanza
dicho proceso, finalizando luego su propia ejecución:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cryptographic Service = c:\windows\system32\[nombre].exe
Si la consulta por el valor "Cryptographic Service" es
acertada (ya existe), pero el valor no contiene el camino
completo al gusano, entonces se copia a si mismo en la
carpeta System32 y se agrega a la misma entrada en el
registro (Cryptographic Service = c:\windows\system32\[nombre
al azar].exe). Ejecuta el proceso y finaliza.
Si la consulta por el valor "Cryptographic Service" es
acertada (existe), y el valor indica el camino completo
(Cryptographic Service = c:\windows\system32\[nombre al
azar].exe), entonces borra el valor "Client" de la clave
"HKLM\SOFTWARE\Microsoft\Wireless".
El gusano intenta inyectarse como un hilo más con una función
dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta
dentro del proceso EXPLORER.EXE, y la ejecución del gusano no
se muestra en la lista de procesos activos de la ventana del
Administrador de tareas. Si falla, sigue como un proceso
independiente.
Al ejecutarse, el gusano queda a la escucha por los puertos
TCP 113 y 3067, y por los puertos 256 al 8191 al azar.
Además, utiliza el puerto TCP 6667 para conectarse a alguno
de los siguientes servidores de IRC:
brussels .be .eu .undernet .org
caen .fr .eu .undernet .org
flanders .be .eu .undernet .org
gaspode .zanet .org .za
graz .at .eu .undernet .org
irc .kar .net
irc .tsk .ru
lia .zanet .net
london .uk .eu .undernet .org
los-angeles .ca .us .undernet .org
moscow-advokat .ru
washington .dc .us .undernet .org
Luego, inicia un hilo de ejecución para explotar la
vulnerabilidad LSASS, en direcciones IP seleccionadas al
azar, a las cuáles intenta conectarse por el puerto TCP 445.
Para ello, una vez por segundo examina si existe una conexión
a Internet antes de iniciar el ataque a otros sistemas.
Si la conexión es exitosa, y la vulnerabilidad es explotada,
la máquina atacada intentará conectarse con la máquina actual
para descargar el gusano y reiniciar la secuencia en dicho
equipo.
El gusano también inicia un bucle sin fin para evitar el
cierre del sistema provocado por el exploit que afecta la
vulnerabilidad LSASS.
El gusano intenta conectarse periódicamente a los siguientes
sitios de Internet, para intentar descargar un archivo:
adult-empire .com
asechka .ru
citi-bank .ru
color-bank .ru
crutop .nu
cvv .ru
fethard .biz
filesearch .ru
kavkaz .ru
kidos-bank .ru
konfiskat .org
master-x .com
mazafaka .ru
parex-bank .ru
roboxchange .com
www .redline .ru
xware .cjb .net
Si el archivo descargado contiene la cadena "zer0", el gusano
descarga otro archivo ejecutable desde el mismo sitio y lo
guarda en la carpeta System32 de Windows para luego
ejecutarlo.
Si la cadena "zer0" no existe en el archivo descargado
primero, el gusano reintenta la conexión más tarde. El tiempo
de espera es seleccionado al azar.
* Reparación manual
* IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet,
hasta instalar el parche para la vulnerabilidad LSASS (MS04-
011). Si es necesario, descargarlo antes de proceder al resto
de la limpieza, desde el siguiente enlace para instalarlo
posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Métodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse
dificultada por el constante reinicio del equipo infectado
(un efecto secundario del exploit que se vale de la
vulnerabilidad en el componente LSASS). Para evitarlo, siga
cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas
(ajústelo nuevamente a la hora correcta luego de la
instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego
ingrese el siguiente comando (más Enter):
shutdown -a
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Cryptographic Service
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Wireless
5. Pinche en la carpeta "Wireless" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
Activar el cortafuego de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Korgo.Y. Infecta equipos sin parche LSASS
_____________________________________________________________
http://www.vsantivirus.com/korgo-y.htm
Nombre: W32/Korgo.Y
Tipo: Gusano de Internet
Alias: Korgo.Y, Padobot, W32.Korgo.X, Worm.Win32.Padobot,
Win32/Korgo.Y, Worm.Win32.Padobot.Gen, W32/Korgo.X.worm
Fecha: 10/jul/04
Plataforma: Windows 32-bit
Tamaño: 9,359 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 10 de julio de 2004, descarga y ejecuta
archivos de Internet. Está comprimida con la utilidad UPX.
Gusano que explota la conocida vulnerabilidad en el
componente LSASS (usada también por gusanos como Sasser,
Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000
sin el parche correspondiente instalado, por el simple hecho
de conectarse estos a Internet, no siendo necesaria la
ejecución de ningún archivo o adjunto que involucre acción
alguna por parte del usuario.
Más información: "MS04-011 Actualización crítica de Windows
(835732)", http://www.vsantivirus.com/vulms04-011.htm
Aunque la vulnerabilidad afecta a equipos con Windows XP o
2000, el gusano puede ejecutarse en equipos con otros Windows
sin infectarlos, para propagarse.
Cuando se ejecuta, el gusano busca y borra el archivo
FTPUPD.EXE en la carpeta actual.
Crea los siguientes mutex para asegurarse una sola instancia
de si mismo en memoria al mismo tiempo (un mutex es un
indicador en memoria que funciona como una especie de
semáforo):
uterm19-2
Borra las siguientes entradas, si existen:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve.exe
avserve2.exeUpdate Service
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Windows Security Manager
Windows Update
Windows Update Service
WinUpdate
Intenta consultar el valor de la entrada "Cryptographic
Service" en la siguiente entrada del registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Si falla, crea la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Wireless
ID = [caracteres al azar]
Client = "1"
Y luego se copia a si mismo con un nombre al azar en la
siguiente ubicación:
c:\windows\system32\[nombre al azar].exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También crea la siguiente entrada en el registro y lanza
dicho proceso, finalizando luego su propia ejecución:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cryptographic Service = c:\windows\system32\[nombre].exe
Si la consulta por el valor "Cryptographic Service" es
acertada (ya existe), pero el valor no contiene el camino
completo al gusano, entonces se copia a si mismo en la
carpeta System32 y se agrega a la misma entrada en el
registro (Cryptographic Service = c:\windows\system32\[nombre
al azar].exe). Ejecuta el proceso y finaliza.
Si la consulta por el valor "Cryptographic Service" es
acertada (existe), y el valor indica el camino completo
(Cryptographic Service = c:\windows\system32\[nombre al
azar].exe), entonces borra el valor "Client" de la clave
"HKLM\SOFTWARE\Microsoft\Wireless".
El gusano intenta inyectarse como un hilo más con una función
dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta
dentro del proceso EXPLORER.EXE, y la ejecución del gusano no
se muestra en la lista de procesos activos de la ventana del
Administrador de tareas. Si falla, sigue como un proceso
independiente.
Al ejecutarse, el gusano queda a la escucha por los puertos
TCP 113 y 3067, y por los puertos 256 al 8191 al azar.
Además, utiliza el puerto TCP 6667 para conectarse a alguno
de los siguientes servidores de IRC:
brussels .be .eu .undernet .org
caen .fr .eu .undernet .org
flanders .be .eu .undernet .org
gaspode .zanet .org .za
graz .at .eu .undernet .org
irc .kar .net
irc .tsk .ru
lia .zanet .net
london .uk .eu .undernet .org
los-angeles .ca .us .undernet .org
moscow-advokat .ru
washington .dc .us .undernet .org
Luego, inicia un hilo de ejecución para explotar la
vulnerabilidad LSASS, en direcciones IP seleccionadas al
azar, a las cuáles intenta conectarse por el puerto TCP 445.
Para ello, una vez por segundo examina si existe una conexión
a Internet antes de iniciar el ataque a otros sistemas.
Si la conexión es exitosa, y la vulnerabilidad es explotada,
la máquina atacada intentará conectarse con la máquina actual
para descargar el gusano y reiniciar la secuencia en dicho
equipo.
El gusano también inicia un bucle sin fin para evitar el
cierre del sistema provocado por el exploit que afecta la
vulnerabilidad LSASS.
El gusano intenta conectarse periódicamente a los siguientes
sitios de Internet, para intentar descargar un archivo:
adult-empire .com
asechka .ru
citi-bank .ru
color-bank .ru
crutop .nu
cvv .ru
fethard .biz
filesearch .ru
kavkaz .ru
kidos-bank .ru
konfiskat .org
master-x .com
mazafaka .ru
parex-bank .ru
roboxchange .com
www .redline .ru
xware .cjb .net
Si el archivo descargado contiene la cadena "zer0", el gusano
descarga otro archivo ejecutable desde el mismo sitio y lo
guarda en la carpeta System32 de Windows para luego
ejecutarlo.
Si la cadena "zer0" no existe en el archivo descargado
primero, el gusano reintenta la conexión más tarde. El tiempo
de espera es seleccionado al azar.
* Reparación manual
* IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet,
hasta instalar el parche para la vulnerabilidad LSASS (MS04-
011). Si es necesario, descargarlo antes de proceder al resto
de la limpieza, desde el siguiente enlace para instalarlo
posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Métodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse
dificultada por el constante reinicio del equipo infectado
(un efecto secundario del exploit que se vale de la
vulnerabilidad en el componente LSASS). Para evitarlo, siga
cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas
(ajústelo nuevamente a la hora correcta luego de la
instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego
ingrese el siguiente comando (más Enter):
shutdown -a
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Cryptographic Service
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Wireless
5. Pinche en la carpeta "Wireless" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
Activar el cortafuego de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1467 Año 8, lunes 12 de julio de 2004
|
Responder a este mensaje
