|
Mostrando mensaje 545
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1496 Año 8, martes 10 de agosto de 2004 | | Fecha: | Martes, 10 de Agosto, 2004 01:12:05 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1496 Año 8, martes 10 de agosto de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Bagle.AL. Se propaga en un ZIP conteniendo un HTML
2 - AOL Instant Messenger permite ejecución de código
3 - W32/Mydoom.T. Se propaga por e-mail, descarga troyano
_____________________________________________________________
1 - W32/Bagle.AL. Se propaga en un ZIP conteniendo un HTML
_____________________________________________________________
http://www.vsantivirus.com/bagle-al.htm
Nombre: W32/Bagle.AL
Tipo: Gusano de Internet
Alias: Bagle.AL, Beagle.AL, Bagle.AL, I-Worm.Bagle.al,
TROJ_BAGLE.AC, W32/Bagle-AQ, W32/Bagle.AJ@mm,
W32/Bagle.aq@MM, W32/Bagle.AM.worm, Win32.Bagle.AG,
Win32/Bagle.AG.Worm, Win32/Bagle.AI, Win32/WDirect.DLL.Worm,
Win32/WDirect.Trojan, WORM_BAGLE.AC, HTML_BAGLE.AC
Relacionados: Win32/IE.DWord (Exploit), JS/IllWill,
W32/Bagle.dll.gen
Fecha: 09/ago/04
Plataforma: Windows 32-bit
Tamaño: 14,848 bytes (PeX)
Puertos: TCP/80
Se trata de un gusano de envío masivo que utiliza como
adjunto un archivo .ZIP conteniendo un archivo HTML y una
carpeta que contiene un .EXE.
[ver imagen http://www.vsantivirus.com/bagle-al.htm]
Puede enviarse a todas las direcciones de correo obtenidas de
diferentes archivos de la máquina infectada. En todos los
casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera
(backdoor), y además finaliza la ejecución de varios
antivirus y cortafuegos.
Los mensajes que utiliza para su propagación tienen las
siguientes características:
De: [una dirección falsa]
Asunto: [vacío]
Texto del mensaje:
new price
Si el archivo adjunto contiene contraseña, el texto del
mensaje agrega uno de los siguientes textos:
The password is [contraseña]
Password: [contraseña]
Datos adjuntos: [uno de los siguientes]
08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price_08.zip
price_new.zip
price2.zip
El archivo adjunto contiene un .HTML y un .EXE, éste último
dentro de una carpeta llamada "price":
price.html
\price\price.exe
Si el archivo .ZIP es abierto con Windows Explorer, en las
últimas versiones de Windows se muestra el archivo HTML y la
carpeta PRICE, como se muestra en la imagen.
Si el usuario hace doble clic en el archivo HTML, se ejecuta
el EXE de la mencionada carpeta, y el usuario se infecta.
Este archivo HTML es detectado por algunos antivirus como
Win32/IE.DWord (Exploit) o JS/IllWill.
Cuando se ejecuta el archivo PRICE/PRICE.EXE, se activa el
gusano, copiándose en la siguiente ubicación:
c:\windows\system32\windirect.exe
También libera el siguiente archivo .DLL:
c:\windows\system32\_dll.exe
El DLL es inyectado en el proceso del EXPLORER.EXE, de modo
que se oculta de la lista de procesos, simulando sus acciones
como parte de éste último (EXPLORER.EXE es uno de los
procesos básicos de Windows).
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano agrega las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system32\windirect.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system32\windirect.exe
El gusano intenta acceder a los siguientes sitios de
Internet, para descargar un falso archivo .JPG (se trata de
un .EXE renombrado). Algunas de estas direcciones no son
válidas, en un intento del gusano de ocultar su origen:
http:/ / polobeer .de/ 2 .jpg
http:/ / r2626r .de/ 2 .jpg
http:/ / kooltokyo .ru/ 2 .jpg
http:/ / mmag .ru/ 2 .jpg
http:/ / advm1 .gm .fh-koeln .de/ 2 .jpg
http:/ / evadia .ru/ 2 .jpg
http:/ / megion .ru/ 2 .jpg
http:/ / molinero-berlin .de/ 2 .jpg
http:/ / dozenten .f1 .fhtw-berlin .de/ 2 .jpg
http:/ / shadkhan .ru/ 2 .jpg
http:/ / sacred .ru/ 2 .jpg
http:/ / kypexin .ru/ 2 .jpg
http:/ / www .gantke-net .com/ 2 .jpg
http:/ / www .mcschnaeppchen .com/ 2 .jpg
http:/ / www .rollenspielzirkel .de/ 2 .jpg
http:/ / 134 .102 .228 .45/ 2 .jpg
http:/ / 196 .12 .49 .27/ 2 .jpg
http:/ / aus-Zeit .com/ 2 .jpg
http:/ / lottery .h11 .ru/ 2 .jpg
http:/ / herzog .cs .uni-magdeburg .de/ 2 .jpg
http:/ / yaguark .h10 .ru/ 2 .jpg
http:/ / 213 .188 .129 .72/ 2 .jpg
http:/ / thorpedo .us/ 2 .jpg
http:/ / szm .sk/ 2 .jpg
http:/ / lars-s .privat .t-online .de/ 2 .jpg
http:/ / www .no-abi2003 .de/ 2 .jpg
http:/ / www .mdmedia .org/ 2 .jpg
http:/ / abi-2004 .org/ 2 .jpg
http:/ / sovea .de/ 2 .jpg
http:/ / www .porta .de/ 2 .jpg
http:/ / matzlinger .com/ 2 .jpg
http:/ / pocono .ru/ 2 .jpg
http:/ / controltechniques .ru/ 2 .jpg
http:/ / alexey .pioneers .com .ru/ 2 .jpg
http:/ / momentum .ru/ 2 .jpg
http:/ / omegat .ru/ 2 .jpg
http:/ / www .perfectgirls .net/ 2 .jpg
http:/ / porno-mania .net/ 2 .jpg
http:/ / colleen .ai .net/ 2 .jpg
http:/ / ourcj .com/ 2 .jpg
http:/ / free .bestialityhost .com/ 2 .jpg
http:/ / slavarik .ru/ 2 .jpg
http:/ / burn2k .ipupdater .com/ 2 .jpg
http:/ / carabi .ru/ 2 .jpg
http:/ / spbbook .ru/ 2 .jpg
http:/ / binn .ru/ 2 .jpg
http:/ / sbuilder .ru/ 2 .jpg
http:/ / protek .ru/ 2 .jpg
http:/ / www .PlayGround .ru/ 2 .jpg
http:/ / celine .artics .ru/ 2 .jpg
http:/ / www .artics .ru/ 2 .jpg
http:/ / www .laserbuild .ru/ 2 .jpg
http:/ / www .lamatec .com/ 2 .jpg
http:/ / www .sensi .com/ 2 .jpg
http:/ / www .oldtownradio .com/ 2 .jpg
http:/ / www .youbuynow .com/ 2 .jpg
http:/ / 64 .62 .172 .118/ 2 .jpg
http:/ / www .tayles .com/ 2 .jpg
http:/ / dodgetheatre .com/ 2 .jpg
http:/ / www .thepositivesideofsports .com/ 2 .jpg
http:/ / www .bridesinrussia .com/ 2 .jpg
http:/ / fairy .dataforce .net/ 2 .jpg
http:/ / www .pakwerk .ru/ 2 .jpg
http:/ / home .profootball .ru/ 2 .jpg
http:/ / www .ankil .ru/ 2 .jpg
http:/ / www .ddosers .net/ 2 .jpg
http:/ / tarkosale .net/ 2 .jpg
http:/ / www .boglen .com/ 2 .jpg
http:/ / change .east .ru/ 2 .jpg
http:/ / www .teatr-estrada .ru/ 2 .jpg
http:/ / www .glass-master .ru/ 2 .jpg
http:/ / www .zeiss .ru/ 2 .jpg
http:/ / www .sposob .ru/ 2 .jpg
http:/ / www .glavriba .ru/ 2 .jpg
http:/ / alfinternational .ru/ 2 .jpg
http:/ / euroviolence .com/ 2 .jpg
http:/ / www .webronet .com/ 2 .jpg
http:/ / www .virtmemb .com/ 2 .jpg
http:/ / www .infognt .com/ 2 .jpg
http:/ / www .vivamedia .ru/ 2 .jpg
http:/ / www .zelnet .ru/ 2 .jpg
http:/ / www .dsmedia .ru/ 2 .jpg
http:/ / www .vendex .ru/ 2 .jpg
http:/ / www .elit-line .ru/ 2 .jpg
http:/ / pixel .co .il/ 2 .jpg
http:/ / www .milm .ru/ 2 .jpg
http:/ / dev .tikls .net/ 2 .jpg
http:/ / www .met .pl/ 2 .jpg
http:/ / www .strefa .pl/ 2 .jpg
http:/ / kafka .punkt .pl/ 2 .jpg
http:/ / www .rubikon .pl/ 2 .jpg
http:/ / www .neostrada .pl/ 2 .jpg
http:/ / werel1 .web-gratis .net/ 2 .jpg
http:/ / www .tuhart .net/ 2 .jpg
http:/ / www .antykoncepcja .net/ 2 .jpg
http:/ / www .dami .com .pl/ 2 .jpg
http:/ / vip .pnet .pl/ 2 .jpg
http:/ / www .webzdarma .cz/ 2 .jpg
http:/ / emnesty .w .interia .pl/ 2 .jpg
http:/ / niebo .net/ 2 .jpg
http:/ / strony .wp .pl/ 2 .jpg
http:/ / sec .polbox .pl/ 2 .jpg
http:/ / www .phg .pl/ 2 .jpg
http:/ / emnezz .e-mania .pl/ 2 .jpg
http:/ / www .republika .pl/ 2 .jpg
http:/ / www .silesianet .pl/ 2 .jpg
http:/ / www .republika .pl/ 2 .jpg
http:/ / tdi-router .opola .pl/ 2 .jpg
http:/ / republika .pl/ 2 .jpg
http:/ / infokom .pl/ 2 .jpg
http:/ / silesianet .pl/ 2 .jpg
http:/ / terramail .pl/ 2 .jpg
http:/ / silesianet .pl/ 2 .jpg
http:/ / www .iluminati .kicks-ass .net/ 2 .jpg
http:/ / www .dilver .ru/ 2 .jpg
http:/ / www .yarcity .ru/ 2 .jpg
http:/ / www .scli .ru/ 2 .jpg
http:/ / www .elemental .ru/ 2 .jpg
http:/ / diablo .homelinux .com/ 2 .jpg
http:/ / www .interrybflot .ru/ 2 .jpg
http:/ / www .webpark .pl/ 2 .jpg
http:/ / www .rafani .cz/ 2 .jpg
http:/ / gutemine .wu-wien .ac .at/ 2 .jpg
http:/ / przeglad-tygodnik .pl/ 2 .jpg
http:/ / przeglad-tygodnik .pl/ 2 .jpg
http:/ / pb195 .slupsk .sdi .tpnet .pl/ 2 .jpg
http:/ / www .ciachoo .pl/ 2 .jpg
http:/ / cavalierland .5u .com/ 2 .jpg
http:/ / www .nefkom .net/ 2 .jpg
http:/ / rausis .latnet .lv/ 2 .jpg
http:/ / www .hgr .de/ 2 .jpg
http:/ / www .airnav .com/ 2 .jpg
http:/ / www .astoria-stuttgart .de/ 2 .jpg
http:/ / ultimate-best-hgh .0my .net/ 2 .jpg
http:/ / wynnsjammer .proboards18 .com/ 2 .jpg
http:/ / www .jewishgen .org/ 2 .jpg
http:/ / www .hack-gegen-rechts .com/ 2 .jpg
http:/ / host .wallstreetcity .com/ 2 .jpg
http:/ / quotes .barchart .com/ 2 .jpg
http:/ / www .aannemers-nederland .nl/ 2 .jpg
http:/ / www .sjgreatdeals .com/ 2 .jpg
http:/ / financial .washingtonpost .com/ 2 .jpg
http:/ / www .biratnagarmun .org .np/ 2 .jpg
http:/ / hsr .zhp .org .pl/ 2 .jpg
http:/ / traveldeals .sidestep .com/ 2 .jpg
http:/ / www .hbz-nrw .de/ 2 .jpg
http:/ / www .ifa-guide .co .uk/ 2 .jpg
http:/ / www .inversorlatino .com/ 2 .jpg
http:/ / www .zhp .gdynia .pl/ 2 .jpg
http:/ / host .businessweek .com/ 2 .jpg
http:/ / packages .debian .or .jp/ 2 .jpg
http:/ / www .math .kobe-u .ac .jp/ 2 .jpg
http:/ / www .k2kapital .com/ 2 .jpg
http:/ / www .tanzen-in-sh .de/ 2 .jpg
http:/ / www .wapf .com/ 2 .jpg
http:/ / www .hgrstrailer .com/ 2 .jpg
http:/ / www .forbes .com/ 2 .jpg
http:/ / www .oshweb .com/ 2 .jpg
http:/ / www .rumbgeo .ru/ 2 .jpg
http:/ / www .dicto .ru/ 2 .jpg
http:/ / www .busheron .ru/ 2 .jpg
http:/ / www .omnicom .ru/ 2 .jpg
http:/ / www .teleline .ru/ 2 .jpg
http:/ / www .dynex .ru/ 2 .jpg
http:/ / www .gamma .vyborg .ru/ 2 .jpg
http:/ / nominal .kaliningrad .ru/ 2 .jpg
http:/ / www .baltmatours .com/ 2 .jpg
http:/ / www .interfoodtd .ru/ 2 .jpg
http:/ / www .baltnet .ru/ 2 .jpg
http:/ / www .neprifan .ru/ 2 .jpg
http:/ / photo .gornet .ru/ 2 .jpg
http:/ / www .aktor .ru/ 2 .jpg
http:/ / catalog .zelnet .ru/ 2 .jpg
http:/ / www .sdsauto .ru/ 2 .jpg
http:/ / www .gradinter .ru/ 2 .jpg
http:/ / www .avant .ru/ 2 .jpg
http:/ / www .porsa .ru/ 2 .jpg
http:/ / www .taom-clan .de/ 2 .jpg
http:/ / www .perfectjewel .com/ 2 .jpg
http:/ / www .vrack .net/ 2 .jpg
http:/ / www .netradar .com/ 2 .jpg
http:/ / www .pgipearls .com/ 2 .jpg
http:/ / www .vconsole .net/ 2 .jpg
http:/ / www .ccbootcamp .com/ 2 .jpg
http:/ / host23 .ipowerweb .com/ 2 .jpg
http:/ / www .timelessimages .com/ 2 .jpg
http:/ / www .peterstar .ru/ 2 .jpg
http:/ / www .5100 .ru/ 2 .jpg
http:/ / www .gin .ru/ 2 .jpg
http:/ / www .rweb .ru/ 2 .jpg
http:/ / www .metacenter .ru/ 2 .jpg
http:/ / www .biysk .ru/ 2 .jpg
http:/ / www .free-time .ru/ 2 .jpg
http:/ / www .rastt .ru/ 2 .jpg
http:/ / www .chelny .ru/ 2 .jpg
http:/ / www .chat4adult .com/ 2 .jpg
http:/ / www .landofcash .net/ 2 .jpg
http:/ / relay .great .ru/ 2 .jpg
http:/ / www .kefaloniaresorts .com/ 2 .jpg
http:/ / www .epski .gr/ 2 .jpg
http:/ / www .myrtoscorp .com/ 2 .jpg
http:/ / www .aphel .de/ 2 .jpg
http:/ / www .intellect .lvc/ 2 .jpg
http:/ / www .abcdesign .ru/ 2 .jpg
Copia el archivo 2.JPG como ~.EXE en la carpeta de Windows, y
lo ejecuta:
c:\windows\~.exe
Esta descarga se reitera cada 10 horas, por lo que podría
llegar a descargarse otro archivo, con diferentes propiedades
y acciones.
Una vez que el archivo es descargado y ejecutado, el virus se
copia a si mismo en la siguiente ubicación:
c:\windows\system32\windll.exe
También crea los siguientes archivos:
c:\windows\system32\windll.exeopen
c:\windows\system32\windll.exeopenopen
Y agrega las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
erthgdr = c:\windows\system32\windll.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
Crea un mutex para no ejecutarse más de una vez al mismo
tiempo, y otros para impedir la ejecución del gusano Netsky.
El gusano abre el puerto TCP/80 y un puerto UDP al azar, para
notificar su presencia a un usuario remoto, quedando a la
espera de comandos.
Luego se propaga por correo electrónico, en mensajes como los
ya descriptos.
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada con las siguientes
extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Ignora direcciones de correo que contengan las siguientes
cadenas:
@avp.
@derewrdgrs
@eerswqe
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
El gusano también se copia en todas las carpetas cuyo nombre
contenga la cadena "SHAR", lo que incluye a la mayoría de las
carpetas compartidas de programas de intercambio de archivos
entre usuarios. De ese modo puede propagarse por las redes
P2P, y para ello utiliza los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Mientras se está ejecutando, intenta finalizar los siguientes
procesos:
atupdater.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avpupd.exe
avwupd32.exe
avxquar.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
nupgrade.exe
outpost.exe
sys_xp.exe
sysxp.exe
update.exe
winxp.exe
También intenta borrar las entradas en el registro creadas
por versiones de otros gusanos, como Netsky.
* Herramienta de limpieza automática:
Descargue y ejecute esta herramienta en su computadora, para
una limpieza automática de la misma. Siga las instrucciones
en pantalla.
Descarga:
http://www.vsantivirus.com/bagle-al.htm
NOTA: Este gusano es identificado como Bagle.AI por Nod32
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos (no todos ellos pueden estar presentes):
c:\windows\system32\_dll.exe
c:\windows\system32\windirect.exe
c:\windows\system32\windll.exe
c:\windows\system32\windll.exe
c:\windows\system32\windll.exeopen
c:\windows\system32\windll.exeopenopen
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
3. Pinche en la carpeta "CurrentVersion" y borre la siguiente
entrada:
Ru1n
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
erthgdr
win_upd2.exe
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
win_upd2.exe
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - AOL Instant Messenger permite ejecución de código
_____________________________________________________________
http://www.vsantivirus.com/vul-aim-away.htm
AOL Instant Messenger permite ejecución de código
Por Angela Ruiz
angela@videosoft.net.uy
AOL Instant Messenger (AIM), permite el uso Mensajes de
Disponibilidad, "Away Messages", para que un usuario
configure su correo de modo que responda automáticamente a
mensajes recibidos mientras se encuentre de vacaciones o no
tenga acceso a su correo electrónico.
Según publica Secunia, se ha reportado una vulnerabilidad que
provoca un desbordamiento de búfer al utilizarse esta
facilidad, en la versión 5.x de este programa. El fallo puede
ser utilizado por usuarios malintencionados para comprometer
el sistema del usuario que ejecute la versión vulnerable del
AIM.
El fallo es provocado por un error de límites en el manejo de
los "Away messages", cuando estos superan los 1,024 bytes de
longitud. Esto puede ser explotado por un atacante a través
de un manejador "aim:" con un argumento excesivamente largo
en un parámetro "goaway?message".
De ese modo, el atacante podría provocar un desbordamiento de
stack (stack overflow), con la posibilidad de ejecutar código
malicioso en forma aleatoria. La pila (stack), es el espacio
de memoria reservada para almacenar las direcciones de
retorno en la ejecución de cada rutina y otra información
importante para la ejecución de los programas.
El ataque podría ser provocado cuando el usuario visita
determinados sitios, con páginas especialmente creadas para
provocarlo, si se tiene el AIM instalado.
La vulnerabilidad ha sido confirmada en la versión 5.5.3595
de AOL Instant Messenger pero otras versiones también podrían
estar afectadas.
Otros fallos reportados, también podrían provocar el consumo
de grandes cantidades de recursos del sistema, con el
consiguiente mal funcionamiento del mismo.
No hay respuesta del vendedor del producto al momento actual.
* Créditos:
Ryan McGeehan and Kevin Benes, TheBillyGoatCurse.com
* Relacionados:
AOL Instant Messenger "Away" Message
Buffer Overflow Vulnerability
http://secunia.com/advisories/12198/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Mydoom.T. Se propaga por e-mail, descarga troyano
_____________________________________________________________
http://www.vsantivirus.com/mydoom-t.htm
Nombre: W32/Mydoom.T
Tipo: Gusano de Internet
Alias: W32/Mydoom.gen@MM, W32/Mydoom.r@MM, W32/Mydoom.r@MM,
W32/MyDoom-R, Win32.Mydoom.R@mm, WORM_MYDOOM.R, MultiDropper-
KT, TROJ_MULTIDROP.V
Fecha: 09/ago/04
Plataforma: Windows 32-bit
Tamaños: 17,408 bytes
Variante de este gusano escrito en Visual C++, que se propaga
por correo electrónico, utilizando su propio motor SMTP.
Descarga un componente backdoor que actúa como un servidor
que permite a un usuario remoto ejecutar ciertas acciones en
los equipos infectados. Este componente es identificado por
algunos antivirus con alguno de los siguientes nombres:
MultiDropper-KT
TROJ_MULTIDROP.V
Esta variante del gusano Mydoom, puede llegar en un mensaje
con las siguientes características:
De: [dirección falsificada]
Asunto: [uno de los siguientes]
- Error
- Mail Delivery System
- Mail Transaction Failed
- Server Report
- Status
Texto del mensaje: [uno de los siguientes]
- Mail transaction failed. Partial message is available.
- test
- The message cannot be represented in [se omite el resto
para evitar los filtros de algunos servidores]
- The message contains Unicode [se omite el resto para
evitar los filtros de algunos servidores]
- This is a multi-part message in MIME format.
Datos adjuntos: [variable]
Cuando se ejecuta, abre el bloc de notas, mostrando un largo
texto solo con caracteres sin sentido.
También se copia con el siguiente nombre en la carpeta del
sistema de Windows:
c:\windows\system\taskmon.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Luego, intenta descargar el siguiente archivo de Internet:
http:/ /jljfytdtk .chat .ru/ dsc00173.jpg
Copia dicho archivo con el siguiente nombre y lo ejecuta:
c:\windows\system\zsdssfds.exe
El gusano se propaga usando su propio motor SMTP, en mensajes
como los descritos antes, enviándose a direcciones de correo
que son extraídas de diversos archivos del equipo infectado.
Para no ejecutarse más de una vez en memoria, utiliza como
semáforo el siguiente mutex (creado cada vez que el gusano
está en memoria ejecutándose):
SwebSipcSmtxS1
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\taskmon.exe
c:\windows\system\zsdssfds.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1496 Año 8, martes 10 de agosto de 2004
|
Responder a este mensaje
