Mostrando mensaje 555     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1506 Año 8, viernes 20 de agosto de 2004 Fecha: Viernes, 20 de Agosto, 2004  01:42:26 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1506 Año 8, viernes 20 de agosto de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Grave vulnerabilidad "Drag and Drop" en IE 2 - Nuevo ataque afecta a Windows XP con todos los parches 3 - W32/Atak.C. Se propaga por correo electrónico 4 - W32/Protoride.W. Se copia como MSUPDATE.EXE 5 - W32/Bagle.AI. Se propaga en un ZIP conteniendo un HTML 6 - W32/Bagle.AH2. Se propaga por e-mail y P2P _____________________________________________________________ 1 - Grave vulnerabilidad "Drag and Drop" en IE _____________________________________________________________ http://www.vsantivirus.com/vul-ie-drag-and-drop.htm Grave vulnerabilidad "Drag and Drop" en IE Por Angela Ruiz angela@videosoft.net.uy Secunia advierte de una nueva e importante vulnerabilidad en Microsoft Internet Explorer, la cuál puede ser explotada por personas maliciosas para comprometer los sistemas de los usuarios afectados. La vulnerabilidad es causada por una insuficiente validación de los eventos de "arrastrar y soltar" (drag and drop), cuando se utilizan estos para arrastrar un objeto desde la zona de Internet hacia los recursos locales. Esto puede ser explotado por sitios maliciosos para descargar un archivo en la carpeta de inicio del usuario, de modo que este código se ejecute en el próximo reinicio de Windows. Ello permitiría la fácil acción de un troyano o cualquier otra clase de código maligno. Una prueba de concepto está disponible en Internet, por lo que su explotación en el mundo real, seguramente no se hará esperar. Aunque en el ejemplo, el usuario debe arrastrar una supuesta imagen para que el archivo se descargue en la carpeta de inicio, el código podría ser fácilmente modificado para que toda la interacción necesaria de la posible víctima se reduzca a un simple clic sobre un enlace. Esta vulnerabilidad, reportada por "http-equiv", es una variante de otra anterior reportada por "Liu Die Yu", otro conocido cazador de fallos. La vulnerabilidad ha sido confirmada en un sistema totalmente actualizado y con todos los parches al día, en Microsoft Internet Explorer 5.01, 5.5 y 6.0, bajo Windows XP SP1 y también en equipos ejecutando el nuevo SP2. No hay solución para este problema de parte de Microsoft, y para estar protegido, se sugiere desactivar Active Scripting, o configurar el Internet Explorer como se indica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Créditos: http-equiv * Relacionados: Microsoft Internet Explorer Drag and Drop Vulnerability http://secunia.com/advisories/12321/ [Full-Disclosure] What A Drag II XP SP2 http://lists.netsys.com/pipermail/full-disclosure/2004-August/025471.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Nuevo ataque afecta a Windows XP con todos los parches _____________________________________________________________ http://www.vsantivirus.com/20-08-04.htm Nuevo ataque afecta a Windows XP con todos los parches Por Angela Ruiz angela@videosoft.net.uy Se ha identificado en Internet, una nueva versión del ataque conocido como "Download.Ject", que puede comprometer a máquinas completamente actualizadas con las últimas actualizaciones y parches de Windows XP. La nueva versión del ataque fue reportada el jueves 19 en las primeras horas de la tarde, y aunque los detalles son aún pocos, expertos consultados aseguran que su principal propósito sería instalar una puerta trasera en las computadoras afectadas. El ataque puede iniciarse con un correo electrónico o un inocente mensaje instantáneo de AIM o ICQ, con un texto como "My personal home page http://XXXXXXX.X-XXXXXX.XXX/."; (mi página personal, etc.). Una vez que se hace clic en este enlace, el Internet Explorer abre un sitio web malicioso que infecta al usuario. También puede producirse por la visita directa a determinados sitios. Lo primero que un usuario infectado podría ver, sería la página de inicio del navegador, modificada para que apunte a un sitio identificado como TargetSearch, además de numerosas ventanas que muestran avisos para adultos. Las páginas maliciosas, se encuentran en diferentes sitios, aunque todos ellos parecen haberlo hecho de forma deliberada, ya que la información obtenida con un "whois", es similar en todos los casos ("whois" es un comando para consultar una base de datos mundial en la que aparecen los dominios registrados junto con los datos de sus titulares). Una vez que un usuario hace clic en el enlace, el servidor Web procura descargar un troyano backdoor. Thor Larholm, investigador principal de PivX Solutions LLC de California, Estados Unidos, dijo que una computadora personal que corre una versión totalmente al día, con todos los parches y actualizaciones de Windows XP e Internet Explorer 6, será afectada por esta nueva versión del Download.Ject, así como máquinas con versiones más viejas de estos programas. En cambio las computadoras que poseen el nuevo SP2 (Service Pack 2) para Windows XP, no son afectadas. Larholm agregó que todas las vulnerabilidades explotadas en este ataque, son conocidas desde hace bastante tiempo. "Otra diferencia es que utiliza mensajes instantáneos para propagarse. Si usted recibe un mensaje y hace clic en el enlace incluido, termina infectado. No utiliza ningún fallo desconocido," dijo. "Pero no es tan automatizado como podría llegar a serlo. Pienso que todavía puede evolucionar. Esto, claramente tiene detrás un motivo financiero." En el pasado mes de junio, los servidores usados para comprometer las máquinas de los usuarios, fueron víctimas de ataques dirigidos por individuos o entidades hacia servidores específicos. El troyano utilizado, afectaba a estos sitios y añadía un código de Javascript en el pie de sus páginas. Cuándo se ejecutaba, el Javascript conseguía descargar y ejecutar otro archivo desde otro servidor, ubicado en Rusia. Un usuario con software no actualizado que visitara las páginas servidas por los servidores atacados, terminaba infectándose por el troyano. Esta vez, los atacantes han sido capaces de colocar su código en una variedad bastante importante de servidores, aparentemente con el conocimiento de sus propietarios. Algunos de los sitios que sirven el código malicioso, son sitios dedicados a la pornografía, o que brindan anuncios publicitarios a otros servidores, dijo Larholm. La primera versión de Download.Ject fue utilizada para controlar el tráfico de salida de los equipos infectados, y capturar contraseñas y otros datos relacionados con bancos en línea y otros sitios financieros. Lo mismo que parece intentar la actual, aunque esta vez no es seguro que el grupo de piratas informáticos de origen ruso, conocido como The HangUP Team esté involucrado en el tema, como lo estuvo en el ataque del mes de junio. Los diferentes fabricantes de antivirus ya han sido notificados por PivX, y sus últimas actualizaciones reconocerán este código. * Relacionados W32/Scob.A. Infecta servidores IIS 5.0 http://www.vsantivirus.com/scob-a.htm JS/Scob.A. Descarga archivos al visitar sitios Web http://www.vsantivirus.com/js-scob-a.htm Todo sobre SCOB y su ataque a servidores de Internet http://www.vsantivirus.com/faq-scob.htm Fallo en SSL puede provocar ataque a servidores Apache http://www.vsantivirus.com/26-07-04.htm Parche de Microsoft para ADODB.Stream http://www.vsantivirus.com/parche-adodbstream.htm Microsoft culpa a los piratas, sepa como proteger su PC http://www.vsantivirus.com/ev-29-06-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Atak.C. Se propaga por correo electrónico _____________________________________________________________ http://www.vsantivirus.com/atak-c.htm Nombre: W32/Atak.C Tipo: Gusano de Internet Alias: Atak.C, I-Worm.Atak.c, I-Worm.Atak.C, I-Worm/Atak.C, W32.Atak.C@mm, W32/Atak.C, W32/Atak.C.worm, W32/Atak.c@MM, W32/Atak-C, Win32.Atak.C, Win32.Atak.C@mm, Win32.HLLM.Atak.C, Win32/Atak.C, Win32/Atak.C.Worm, Win32/Atak.C@mm, Worm.Atak.C, Worm/Atak.C, WORM_ATAK.C Fecha: 18/ago/04 Plataforma: Windows 32-bit Tamaño: 140,768 bytes Este gusano, escrito en Visual C++ 5.0, se propaga por correo electrónico, a través de mensajes con las siguientes características: De: [usuario] Donde [usuario] puede ser una dirección falsa, o uno de los siguientes nombres más un dominio al azar, seleccionado de direcciones obtenidas en la computadora infectada: account adam admin alex alice anna anthony antispam anyone bill bob brian brovac bugs carey certific claudia connie contact chang dave david dolly elvin feste fred freddy george hanson harry helen help humm jack james jane jerry jim jimmy joe john jose joshua julie kevin lenny linda lissy maria marie mary matt me michael mike niky no nobody noone not nothing otto penny peter privacy rating reject robert ronnie sam service site smith soft somebody someone stan stella stephen steve steven support tom undisclose vivian vladimir walter william you your zidane Asunto: [uno de los siguientes] - always smile ;-D - bad news - big ears! - Expected! - Familiar - Fwd: - ginie file! - got my file! - gotcha! ;-) - greet - happy go lucky - happy! - helo - hi! - History - hmmm.. - home sweet home!? - huh! - hurry up !!! - I know you!! - interesting - keep plz! - Keep Up to date - known issue - New Website - plz help us - Product Update - rate this! - Re: - Report - Reserved for you - thank for the idea - the sender - Top 10 Hoax! - varios - vote me again! - Warning! - what the tuut!! - wrong file! - you again! - Your Account Texto del mensaje: [uno de los siguientes] - Because of our services are not configured properly. We have converted your message as an attachment. Please download the file to read. - Don't get wrong anymore! Hope the files is right! - Here it is my response. Please reply back if got an idea. Hope this is not a wrong file as you told me. - If you found this email with an attachment please refer to the email attachment in order to read the sender email. You have received this email with an email attachment. Please refer to your email attachment if you want to read the message. - Please note that your message has been converted to an attachment. Please refer to the attachment in order to read the file. - So, this is the correct file. Have you read the file in the attachment? - Sorry, I'm late yesterday. But please read the file first! I really need your help! - Thanks for watching. - The previous file i have sended to you before are not correct. Datos adjuntos: [1]+[2] Donde [1] es uno de los siguientes nombres: against bitdefender content exporter f-secure finish gangster hundred idea important indoor install Issue mcafee panda protect readme reminder router seek setup skipper slam slipper something sophos symantec unseen word_file Y [2] es una de las siguientes extensiones: .bat .com .exe .pif .scr .zip La infección se produce solo cuando el usuario ejecuta el adjunto recibido. En ese caso, se crea el siguiente archivo: c:\windows\system\svrhost.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). El gusano también crea copias de si mismo en la carpeta de inicio del usuario actual, con un nombre al azar y extensión .EXE o .BAT. La carpeta de inicio puede ser alguna de las siguientes: * Windows XP, 2000 (español e inglés) c:\documents and settings \[nombre usuario]\menú inicio\programas\inicio c:\documents and settings \[nombre usuario]\start menu\programs\startup * Windows 95, 98, Me (español e inglés) c:\windows\menú inicio\programas\inicio c:\windows\start menu\programs\startup c:\windows\profiles\[nombre usuario] \menú inicio\programas\inicio c:\windows\profiles\[nombre usuario] \start menu\programs\startup Crea la siguiente entrada para ejecutarse en cada reinicio (Windows NT, 2000 y XP): HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows svrhost = c:\windows\system\svrhost.exe También puede modificar el archivo C:\WINDOWS\WIN.INI para ejecutarse en cada reinicio (Windows 95, 98 y Me): [Windows] load = c:\windows\system\svrhost.exe Las direcciones de correo a las que se envía, son obtenidas de aquellos archivos de la máquina infectada, que tengan las siguientes extensiones: .adb .asp .cfg .cgi .dbx .eml .html .jsp .log .mbx .mht .msg .nch .ods .php .pl .sht .tbb .uin .vbs .wab .xml El gusano utiliza su propio motor SMTP para enviarse. Intenta obtener el servidor SMTP del usuario infectado desde el registro. En caso contrario, realiza consultas a diversos servidores DNS. Para no ejecutarse más de una vez en memoria, crea un mutex con el siguiente nombre: MuTexasv01 El gusano no se ejecuta si detecta la presencia de algún "debugger" como "SoftIce" en el sistema. Un debugger permite examinar paso a paso la ejecución de un programa para examinarlo y es utilizado a menudo por los investigadores de virus. También borra archivos y entradas del registro relacionadas con otros gusanos. * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 3. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: svrhost 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Modificar WIN.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [Windows], bórrelo. Por ejemplo: [Windows] load = c:\windows\system\svrhost.exe Debe quedar como: [Windows] load = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Protoride.W. Se copia como MSUPDATE.EXE _____________________________________________________________ http://www.vsantivirus.com/protoride-w.htm Nombre: W32/Protoride.W Tipo: Gusano y caballo de Troya de acceso remoto Alias: Protoride.W, BackDoor.IRC.Cirilico, Protoride.I, W32/Protoride.H, Trojan.Protoride, W32.Protoride.Worm, W32/Protoride.B.worm, W32/Protoride.worm.dam, W32/Protoride- D, Win32.Protoride.J, Win32.Worm.Protoride.C, Win32/Protoride.W, Win32/Protoride.Worm, Worm.Protoride.H, Worm.Win32.Protoride.F, Worm.Win32.Protoride.k, Worm/Protoride.K, Worm/Protoride.S, WORM_PROTORIDE.S Fecha: 18/ago/04 Plataforma: Windows 32-bit Tamaño: 73,728 bytes (UPX) Se propaga a través de recursos compartidos en redes, intentando acceder a ellos utilizando diferentes nombres de usuario y contraseñas incluidos en su propio código. Posee capacidad de acceso remoto clandestino por puerta trasera (backdoor). Posee su propio cliente IRC (Internet Relay Chat), con el cuál intenta acceder a un determinado servidor de IRC. Una vez conectado a él, envía mensajes privados a un usuario remoto, notificándolo de su presencia, y queda a la espera de posibles comandos. Los comandos disponibles están en español, y permiten acciones como el robo de información confidencial del usuario infectado, tales como contraseñas, nombres de usuario, etc. El gusano intenta copiarse en los siguientes directorios, con el nombre de MSUPDATE.EXE: \Documents and Settings\All Users\Kynnist- valikko\Ohjelmat\Kynnistys\ \Documents and Settings\All Users\Men Inicio\Programas\Inicio\ \Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\ \Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar\ \Documents and Settings\All Users\Menu Start\Programma's\Opstarten\ \Documents and Settings\All Users\Menu Start\Programy\Autostart\ \Documents and Settings\All Users\Menuen Start\Programmer\Start\ \Documents and Settings\All Users\Start Menu\Programlar\BASLANGI \Documents and Settings\All Users\Start Menu\Programs\StartUp\ \Documents and Settings\All Users\Start- meny\Programmer\Oppstart\ \Documents and Settings\All Users\Start- menyn\Program\Autostart\ \Dokumente und Einstellungen\All Users\Startmen \Programme\Autostart\ \WIN95\Kynnist-valikko\Ohjelmat\Kynnistys\Documents and Settings\All Users\Menu Dmarrer\Programmes\Dmarrage\ \WIN95\Menú Inicio\Programas\Inicio\ \WIN95\Menu Avvio\Programmi\Esecuzione automatica\ \WIN95\Menu Dmarrer\Programmes\Dmarrage\ \WIN95\Menu Iniciar\Programas\Iniciar\ \WIN95\Menu Start\Programma's\Opstarten\ \WIN95\Menu Start\Programy\Autostart\ \WIN95\Menuen Start\Programmer\Start\ \WIN95\MenuIniciar\Programas\Iniciar\ \WIN95\Start Menu\Programlar\BASLANGI \WIN95\Start Menu\Programs\StartUp\ \WIN95\Startmen \WIN95\Start-meny\Programmer\Oppstart\ \WIN95\Start-menyn\Program\Autostart\ \WIN98\Kynnist-valikko\Ohjelmat\Kynnistys\ \WIN98\Menú Inicio\Programas\Inicio\ \WIN98\Menu Avvio\Programmi\Esecuzione automatica\ \WIN98\Menu Dmarrer\Programmes\Dmarrage\ \WIN98\Menu Iniciar\Programas\Iniciar\ \WIN98\Menu Start\Programma's\Opstarten\ \WIN98\Menu Start\Programy\Autostart\ \WIN98\Menuen Start\Programmer\Start\ \WIN98\MenuIniciar\Programas\Iniciar\ \WIN98\Start Menu\Programlar\BASLANGI \WIN98\Start Menu\Programs\StartUp\ \WIN98\Startmen \WIN98\Start-meny\Programmer\Oppstart\ \WIN98\Start-menyn\Program\Autostart\ \WINDOWS.000\Menú Inicio\Programas\Inicio\ \WINDOWS.000\Menu Iniciar\Programas\Iniciar\ \WINDOWS.000\Start Menu\Programs\StartUp\ \WINDOWS.000\Startmen \WINDOWS\Kynnist-valikko\Ohjelmat\Kynnistys\ \WINDOWS\Menú Inicio\Programas\Inicio\ \WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\ \WINDOWS\Menu Dmarrer\Programmes\Dmarrage\ \WINDOWS\Menu Iniciar\Programas\Iniciar\ \WINDOWS\Menu Start\Programma's\Opstarten\ \WINDOWS\Menu Start\Programy\Autostart\ \WINDOWS\Menuen Start\Programmer\Start\ \WINDOWS\MenuIniciar\Programas\Iniciar\ \WINDOWS\Start Menu\Programlar\BASLANGI \WINDOWS\Start Menu\Programs\StartUp\ \WINDOWS\Startmen \WINDOWS\Start-meny\Programmer\Oppstart\ \WINDOWS\Start-menyn\Program\Autostart\ \WINME\Kynnist-valikko\Ohjelmat\Kynnistys\ \WINME\Menú Inicio\Programas\Inicio\ \WINME\Menu Avvio\Programmi\Esecuzione automatica\ \WINME\Menu Dmarrer\Programmes\Dmarrage\ \WINME\Menu Iniciar\Programas\Iniciar\ \WINME\Menu Start\Programma's\Opstarten\ \WINME\Menu Start\Programy\Autostart\ \WINME\Menuen Start\Programmer\Start\ \WINME\MenuIniciar\Programas\Iniciar\ \WINME\Start Menu\Programlar\BASLANGI \WINME\Start Menu\Programs\StartUp\ \WINME\Startmen \WINME\Start-meny\Programmer\Oppstart\ \WINME\Start-menyn\Program\Autostart\ También modifica la siguiente entrada en el registro para ejecutarse cada vez que se accede a un archivo .EXE: HKCR\exefile\shell\open\command (Predeterminado) = [camino y nombre del gusano] "%1" %* El gusano se propaga por redes locales, copiándose en todos los recursos compartidos con permisos de escritura disponibles. Si existen contraseñas, intenta con varios nombres de usuario y claves predeterminadas, disponibles en su código. Utiliza su propio cliente IRC para conectarse a uno de los siguientes servidores donde crea un canal especial o una sala de chat: naipe.damaged.com.ar naipe.no-ip.org Luego envía un mensaje privado a un usuario determinado. Cualquier usuario que tenga acceso al canal creado, puede ingresar a los equipos infectados, pudiendo realizar cualquiera de las siguientes acciones: - Descargar y enviar archivos - Enumerar cuentas de acceso telefónico - Examinar direcciones IP - Finalizar la ejecución del propio troyano - Listar las conexiones TCP actuales - Listar los procesos en ejecución - Obtener información del sistema infectado - Ocultar o mostrar ventanas de programas - Realizar ataques de denegación de servicio (DoS) - Realizar ataques flood con paquetes UDP - Robar contraseñas La información robada incluye lo siguiente: - Cantidad de memoria instalada - Contraseñas del sistema y de redes (usa API indocumentado) - Datos de las cuentas de conexión telefónica - Idioma del sistema operativo - Lista de actuales sesiones de red - Lista de procesos en ejecución - Tipo y velocidad del procesador - Versión instalada del sistema operativo Puede realizar ataques de denegación de servicio (DoS) a determinados servidores de IRC. * Reparación manual Estos pasos deben ser repetidos en cada computadora conectada a la misma red local de la maquina infectada. Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus (preparación) 1. Actualice sus antivirus con las últimas definiciones 2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 3. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 4. Borre los archivos detectados como infectados por el virus. * Renombre REGEDIT.EXE como REGEDIT.COM Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com En Windows 2000 y XP, cambie COMMAND por CMD. Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). 2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter 3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \exefile \shell \open \command 4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como: (Predeterminado) = [nombre del gusano] "%1" %* 5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del gusano y dejar solo lo siguiente (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco): (Predeterminado) = "%1" %* 6. Cierre el editor del registro. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar los archivos creados por el gusano. * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: MSUPDATE.EXE 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: MSUPDATE.EXE 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Bagle.AI. Se propaga en un ZIP conteniendo un HTML _____________________________________________________________ http://www.vsantivirus.com/bagle-ai.htm Nombre: W32/Bagle.AI Tipo: Gusano de Internet Alias: Bagle.AI@mm, Bagle.AL, Beagle.AL, HTML_BAGLE.AC, I-Worm.Bagle.al, I-Worm.Bagle.AO, TROJ_BAGLE.AC, Trojan.DL.Bagle.AN, W32.Beagle.AO@mm, W32/Bagle.AJ@mm, W32/Bagle.AM.worm, W32/Bagle.aq@MM, W32/Bagle.dll.dr, W32/Bagle-AQ, Win32.Bagle.AG, Win32.Bagle.AL@mm, Win32.HLLM.Beagle.25088, Win32/Bagle.AG.Worm, Win32/Bagle.AI, Win32/Bagle.AQ@mm, Win32/WDirect.DLL.Worm, Win32/WDirect.Trojan, Win32:BeagleCraw [Drp], Worm.Beagle.Ao, WORM_BAGLE.AC Relacionados: Win32/IE.DWord (Exploit), JS/IllWill, W32/Bagle.dll.gen Fecha: 09/ago/04 Plataforma: Windows 32-bit Tamaño: 14,848 bytes (PeX) Puertos: TCP/80 Se trata de un gusano de envío masivo que utiliza como adjunto un archivo .ZIP conteniendo un archivo HTML y una carpeta que contiene un .EXE. [ver imagen http://www.vsantivirus.com/bagle-ai.htm] Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso. Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos. Los mensajes que utiliza para su propagación tienen las siguientes características: De: [una dirección falsa] Asunto: [vacío] Texto del mensaje: new price Si el archivo adjunto contiene contraseña, el texto del mensaje agrega uno de los siguientes textos: The password is [contraseña] Password: [contraseña] Datos adjuntos: [uno de los siguientes] 08_price.zip new__price.zip new_price.zip newprice.zip price.zip price_08.zip price_new.zip price2.zip El archivo adjunto contiene un .HTML y un .EXE, éste último dentro de una carpeta llamada "price": price.html \price\price.exe Si el archivo .ZIP es abierto con Windows Explorer, en las últimas versiones de Windows se muestra el archivo HTML y la carpeta PRICE, como se muestra en la imagen. Si el usuario hace doble clic en el archivo HTML, se ejecuta el EXE de la mencionada carpeta, y el usuario se infecta. Este archivo HTML es detectado por algunos antivirus como Win32/IE.DWord (Exploit) o JS/IllWill. Cuando se ejecuta el archivo PRICE/PRICE.EXE, se activa el gusano, copiándose en la siguiente ubicación: c:\windows\system32\windirect.exe También libera el siguiente archivo .DLL: c:\windows\system32\_dll.exe El DLL es inyectado en el proceso del EXPLORER.EXE, de modo que se oculta de la lista de procesos, simulando sus acciones como parte de éste último (EXPLORER.EXE es uno de los procesos básicos de Windows). NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). El gusano agrega las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run win_upd2.exe = c:\windows\system32\windirect.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run win_upd2.exe = c:\windows\system32\windirect.exe El gusano intenta acceder a los siguientes sitios de Internet, para descargar un falso archivo .JPG (se trata de un .EXE renombrado). Algunas de estas direcciones no son válidas, en un intento del gusano de ocultar su origen: http:/ / polobeer .de/ 2 .jpg http:/ / r2626r .de/ 2 .jpg http:/ / kooltokyo .ru/ 2 .jpg http:/ / mmag .ru/ 2 .jpg http:/ / advm1 .gm .fh-koeln .de/ 2 .jpg http:/ / evadia .ru/ 2 .jpg http:/ / megion .ru/ 2 .jpg http:/ / molinero-berlin .de/ 2 .jpg http:/ / dozenten .f1 .fhtw-berlin .de/ 2 .jpg http:/ / shadkhan .ru/ 2 .jpg http:/ / sacred .ru/ 2 .jpg http:/ / kypexin .ru/ 2 .jpg http:/ / www .gantke-net .com/ 2 .jpg http:/ / www .mcschnaeppchen .com/ 2 .jpg http:/ / www .rollenspielzirkel .de/ 2 .jpg http:/ / 134 .102 .228 .45/ 2 .jpg http:/ / 196 .12 .49 .27/ 2 .jpg http:/ / aus-Zeit .com/ 2 .jpg http:/ / lottery .h11 .ru/ 2 .jpg http:/ / herzog .cs .uni-magdeburg .de/ 2 .jpg http:/ / yaguark .h10 .ru/ 2 .jpg http:/ / 213 .188 .129 .72/ 2 .jpg http:/ / thorpedo .us/ 2 .jpg http:/ / szm .sk/ 2 .jpg http:/ / lars-s .privat .t-online .de/ 2 .jpg http:/ / www .no-abi2003 .de/ 2 .jpg http:/ / www .mdmedia .org/ 2 .jpg http:/ / abi-2004 .org/ 2 .jpg http:/ / sovea .de/ 2 .jpg http:/ / www .porta .de/ 2 .jpg http:/ / matzlinger .com/ 2 .jpg http:/ / pocono .ru/ 2 .jpg http:/ / controltechniques .ru/ 2 .jpg http:/ / alexey .pioneers .com .ru/ 2 .jpg http:/ / momentum .ru/ 2 .jpg http:/ / omegat .ru/ 2 .jpg http:/ / www .perfectgirls .net/ 2 .jpg http:/ / porno-mania .net/ 2 .jpg http:/ / colleen .ai .net/ 2 .jpg http:/ / ourcj .com/ 2 .jpg http:/ / free .bestialityhost .com/ 2 .jpg http:/ / slavarik .ru/ 2 .jpg http:/ / burn2k .ipupdater .com/ 2 .jpg http:/ / carabi .ru/ 2 .jpg http:/ / spbbook .ru/ 2 .jpg http:/ / binn .ru/ 2 .jpg http:/ / sbuilder .ru/ 2 .jpg http:/ / protek .ru/ 2 .jpg http:/ / www .PlayGround .ru/ 2 .jpg http:/ / celine .artics .ru/ 2 .jpg http:/ / www .artics .ru/ 2 .jpg http:/ / www .laserbuild .ru/ 2 .jpg http:/ / www .lamatec .com/ 2 .jpg http:/ / www .sensi .com/ 2 .jpg http:/ / www .oldtownradio .com/ 2 .jpg http:/ / www .youbuynow .com/ 2 .jpg http:/ / 64 .62 .172 .118/ 2 .jpg http:/ / www .tayles .com/ 2 .jpg http:/ / dodgetheatre .com/ 2 .jpg http:/ / www .thepositivesideofsports .com/ 2 .jpg http:/ / www .bridesinrussia .com/ 2 .jpg http:/ / fairy .dataforce .net/ 2 .jpg http:/ / www .pakwerk .ru/ 2 .jpg http:/ / home .profootball .ru/ 2 .jpg http:/ / www .ankil .ru/ 2 .jpg http:/ / www .ddosers .net/ 2 .jpg http:/ / tarkosale .net/ 2 .jpg http:/ / www .boglen .com/ 2 .jpg http:/ / change .east .ru/ 2 .jpg http:/ / www .teatr-estrada .ru/ 2 .jpg http:/ / www .glass-master .ru/ 2 .jpg http:/ / www .zeiss .ru/ 2 .jpg http:/ / www .sposob .ru/ 2 .jpg http:/ / www .glavriba .ru/ 2 .jpg http:/ / alfinternational .ru/ 2 .jpg http:/ / euroviolence .com/ 2 .jpg http:/ / www .webronet .com/ 2 .jpg http:/ / www .virtmemb .com/ 2 .jpg http:/ / www .infognt .com/ 2 .jpg http:/ / www .vivamedia .ru/ 2 .jpg http:/ / www .zelnet .ru/ 2 .jpg http:/ / www .dsmedia .ru/ 2 .jpg http:/ / www .vendex .ru/ 2 .jpg http:/ / www .elit-line .ru/ 2 .jpg http:/ / pixel .co .il/ 2 .jpg http:/ / www .milm .ru/ 2 .jpg http:/ / dev .tikls .net/ 2 .jpg http:/ / www .met .pl/ 2 .jpg http:/ / www .strefa .pl/ 2 .jpg http:/ / kafka .punkt .pl/ 2 .jpg http:/ / www .rubikon .pl/ 2 .jpg http:/ / www .neostrada .pl/ 2 .jpg http:/ / werel1 .web-gratis .net/ 2 .jpg http:/ / www .tuhart .net/ 2 .jpg http:/ / www .antykoncepcja .net/ 2 .jpg http:/ / www .dami .com .pl/ 2 .jpg http:/ / vip .pnet .pl/ 2 .jpg http:/ / www .webzdarma .cz/ 2 .jpg http:/ / emnesty .w .interia .pl/ 2 .jpg http:/ / niebo .net/ 2 .jpg http:/ / strony .wp .pl/ 2 .jpg http:/ / sec .polbox .pl/ 2 .jpg http:/ / www .phg .pl/ 2 .jpg http:/ / emnezz .e-mania .pl/ 2 .jpg http:/ / www .republika .pl/ 2 .jpg http:/ / www .silesianet .pl/ 2 .jpg http:/ / www .republika .pl/ 2 .jpg http:/ / tdi-router .opola .pl/ 2 .jpg http:/ / republika .pl/ 2 .jpg http:/ / infokom .pl/ 2 .jpg http:/ / silesianet .pl/ 2 .jpg http:/ / terramail .pl/ 2 .jpg http:/ / silesianet .pl/ 2 .jpg http:/ / www .iluminati .kicks-ass .net/ 2 .jpg http:/ / www .dilver .ru/ 2 .jpg http:/ / www .yarcity .ru/ 2 .jpg http:/ / www .scli .ru/ 2 .jpg http:/ / www .elemental .ru/ 2 .jpg http:/ / diablo .homelinux .com/ 2 .jpg http:/ / www .interrybflot .ru/ 2 .jpg http:/ / www .webpark .pl/ 2 .jpg http:/ / www .rafani .cz/ 2 .jpg http:/ / gutemine .wu-wien .ac .at/ 2 .jpg http:/ / przeglad-tygodnik .pl/ 2 .jpg http:/ / przeglad-tygodnik .pl/ 2 .jpg http:/ / pb195 .slupsk .sdi .tpnet .pl/ 2 .jpg http:/ / www .ciachoo .pl/ 2 .jpg http:/ / cavalierland .5u .com/ 2 .jpg http:/ / www .nefkom .net/ 2 .jpg http:/ / rausis .latnet .lv/ 2 .jpg http:/ / www .hgr .de/ 2 .jpg http:/ / www .airnav .com/ 2 .jpg http:/ / www .astoria-stuttgart .de/ 2 .jpg http:/ / ultimate-best-hgh .0my .net/ 2 .jpg http:/ / wynnsjammer .proboards18 .com/ 2 .jpg http:/ / www .jewishgen .org/ 2 .jpg http:/ / www .hack-gegen-rechts .com/ 2 .jpg http:/ / host .wallstreetcity .com/ 2 .jpg http:/ / quotes .barchart .com/ 2 .jpg http:/ / www .aannemers-nederland .nl/ 2 .jpg http:/ / www .sjgreatdeals .com/ 2 .jpg http:/ / financial .washingtonpost .com/ 2 .jpg http:/ / www .biratnagarmun .org .np/ 2 .jpg http:/ / hsr .zhp .org .pl/ 2 .jpg http:/ / traveldeals .sidestep .com/ 2 .jpg http:/ / www .hbz-nrw .de/ 2 .jpg http:/ / www .ifa-guide .co .uk/ 2 .jpg http:/ / www .inversorlatino .com/ 2 .jpg http:/ / www .zhp .gdynia .pl/ 2 .jpg http:/ / host .businessweek .com/ 2 .jpg http:/ / packages .debian .or .jp/ 2 .jpg http:/ / www .math .kobe-u .ac .jp/ 2 .jpg http:/ / www .k2kapital .com/ 2 .jpg http:/ / www .tanzen-in-sh .de/ 2 .jpg http:/ / www .wapf .com/ 2 .jpg http:/ / www .hgrstrailer .com/ 2 .jpg http:/ / www .forbes .com/ 2 .jpg http:/ / www .oshweb .com/ 2 .jpg http:/ / www .rumbgeo .ru/ 2 .jpg http:/ / www .dicto .ru/ 2 .jpg http:/ / www .busheron .ru/ 2 .jpg http:/ / www .omnicom .ru/ 2 .jpg http:/ / www .teleline .ru/ 2 .jpg http:/ / www .dynex .ru/ 2 .jpg http:/ / www .gamma .vyborg .ru/ 2 .jpg http:/ / nominal .kaliningrad .ru/ 2 .jpg http:/ / www .baltmatours .com/ 2 .jpg http:/ / www .interfoodtd .ru/ 2 .jpg http:/ / www .baltnet .ru/ 2 .jpg http:/ / www .neprifan .ru/ 2 .jpg http:/ / photo .gornet .ru/ 2 .jpg http:/ / www .aktor .ru/ 2 .jpg http:/ / catalog .zelnet .ru/ 2 .jpg http:/ / www .sdsauto .ru/ 2 .jpg http:/ / www .gradinter .ru/ 2 .jpg http:/ / www .avant .ru/ 2 .jpg http:/ / www .porsa .ru/ 2 .jpg http:/ / www .taom-clan .de/ 2 .jpg http:/ / www .perfectjewel .com/ 2 .jpg http:/ / www .vrack .net/ 2 .jpg http:/ / www .netradar .com/ 2 .jpg http:/ / www .pgipearls .com/ 2 .jpg http:/ / www .vconsole .net/ 2 .jpg http:/ / www .ccbootcamp .com/ 2 .jpg http:/ / host23 .ipowerweb .com/ 2 .jpg http:/ / www .timelessimages .com/ 2 .jpg http:/ / www .peterstar .ru/ 2 .jpg http:/ / www .5100 .ru/ 2 .jpg http:/ / www .gin .ru/ 2 .jpg http:/ / www .rweb .ru/ 2 .jpg http:/ / www .metacenter .ru/ 2 .jpg http:/ / www .biysk .ru/ 2 .jpg http:/ / www .free-time .ru/ 2 .jpg http:/ / www .rastt .ru/ 2 .jpg http:/ / www .chelny .ru/ 2 .jpg http:/ / www .chat4adult .com/ 2 .jpg http:/ / www .landofcash .net/ 2 .jpg http:/ / relay .great .ru/ 2 .jpg http:/ / www .kefaloniaresorts .com/ 2 .jpg http:/ / www .epski .gr/ 2 .jpg http:/ / www .myrtoscorp .com/ 2 .jpg http:/ / www .aphel .de/ 2 .jpg http:/ / www .intellect .lvc/ 2 .jpg http:/ / www .abcdesign .ru/ 2 .jpg Copia el archivo 2.JPG como ~.EXE en la carpeta de Windows, y lo ejecuta: c:\windows\~.exe Esta descarga se reitera cada 10 horas, por lo que podría llegar a descargarse otro archivo, con diferentes propiedades y acciones. Una vez que el archivo es descargado y ejecutado, el virus se copia a si mismo en la siguiente ubicación: c:\windows\system32\windll.exe También crea los siguientes archivos: c:\windows\system32\windll.exeopen c:\windows\system32\windll.exeopenopen Y agrega las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run erthgdr = c:\windows\system32\windll.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n Crea un mutex para no ejecutarse más de una vez al mismo tiempo, y otros para impedir la ejecución del gusano Netsky. El gusano abre el puerto TCP/80 y un puerto UDP al azar, para notificar su presencia a un usuario remoto, quedando a la espera de comandos. Luego se propaga por correo electrónico, en mensajes como los ya descriptos. Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Ignora direcciones de correo que contengan las siguientes cadenas: @avp. @derewrdgrs @eerswqe @foo @iana @messagelab @microsoft abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe Mientras se está ejecutando, intenta finalizar los siguientes procesos: atupdater.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avpupd.exe avwupd32.exe avxquar.exe avxquar.exe cfiaudit.exe drwebupw.exe escanh95.exe escanhnt.exe firewall.exe icssuppnt.exe icsupp95.exe luall.exe mcupdate.exe nupgrade.exe nupgrade.exe outpost.exe sys_xp.exe sysxp.exe update.exe winxp.exe También intenta borrar las entradas en el registro creadas por versiones de otros gusanos, como Netsky. * Herramienta de limpieza automática: Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla. Descarga: http://www.vsantivirus.com/bagle-al.htm NOTA: Este gusano es identificado como Bagle.AI por Nod32 * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos ellos pueden estar presentes): c:\windows\system32\_dll.exe c:\windows\system32\windirect.exe c:\windows\system32\windll.exe c:\windows\system32\windll.exeopen c:\windows\system32\windll.exeopenopen Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion 3. Pinche en la carpeta "CurrentVersion" y borre la siguiente entrada: Ru1n 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: erthgdr win_upd2.exe 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: win_upd2.exe 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 19/08/04 - 12:03 -0300 (Renombrado Bagle.AL a Bagle.AI) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/Bagle.AH2. Se propaga por e-mail y P2P _____________________________________________________________ http://www.vsantivirus.com/bagle-ah2.htm Nombre: W32/Bagle.AH2 Tipo: Gusano de Internet Alias: Bagle.AH2, Beagle.AH2, Bagle.AG@mm, I-Worm.Bagle.ac, I-Worm.Bagle.AI, I-Worm/Bagle.AG, W32.Beagle.AH@mm, W32/Bagle.AH@mm, W32/Bagle.ah@MM, W32/Bagle.AI.worm, Win32.Bagle.AD, Win32.Bagle.AH@mm, Win32/Bagle.AD.Worm, Win32/Bagle.AH@mm, Worm/Bagle.AG Fecha: 23/jul/04 Plataforma: Windows 32-bit Tamaño: 16 Kb (agrega basura para aumentar su tamaño) Puertos: TCP/1234 Variante del Bagle (gusano escrito en Visual C), detectado el 23 de julio de 2004. Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus. Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.) Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso. Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos. Cuando se ejecuta por primera vez, muestra un mensaje de error falso: Error! Can't find a viewer associated with the file [ Aceptar ] El gusano no se ejecuta después del 25 de enero de 2005. Si es ejecutado después de esa fecha, se auto invoca con el parámetro -DEL para desinstalarse del sistema. Los mensajes que utiliza para su propagación tienen las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] - Changes.. - Encrypted document - Fax Message - Forum notify - Incoming message - Notification - Protected message - Re: Document - Re: Hello - Re: Hi - Re: Incoming Message - RE: Incoming Msg - RE: Message Notify - Re: Msg reply - RE: Protected message - RE: Text message - Re: Thank you! - Re: Thanks :) - Re: Yahoo! - Site changes - Update Texto del mensaje: [uno de los siguientes] - Attach tells everything. - Attached file tells everything. - Check attached file for details. - Check attached file. - Here is the file. - Message is in attach - More info is in attach - Pay attention at the attach. - Please, have a look at the attached file. - Please, read the document. - Read the attach. - See attach. - See the attached file for details. - Your document is attached. - Your file is attached. Datos adjuntos: [uno de los siguientes] Details Document Info Information Message MoreInfo Readme text_document Updates Dicho nombre, puede tener alguna de las siguientes extensiones: .com .cpl .exe .hta .scr .vbs .zip [con contraseña] Si el adjunto es un ZIP, está encriptado con una contraseña. En esos casos, el asunto del mensaje puede ser uno de los siguientes: - Pass - [contraseña] - Password - [contraseña] - Password: [contraseña] Y el texto de los mensajes puede ser alguno de los siguientes: - Archive password: [contraseña] - Attached file is protected with the password for security reasons. Password is [contraseña] - For security purposes the attached file is password protected. Password -- [contraseña] - For security reasons attached file is password protected. The password is [contraseña] - In order to read the attach you have to use the following password: [contraseña] - Note: Use password [contraseña] - Password [contraseña] - Password: [contraseña] Donde [contraseña] es una imagen JPEG insertada, o un texto que muestra un número de cinco dígitos. El gusano cambia el tipo de archivo del adjunto, de acuerdo a la extensión. Por ejemplo, si el archivo tiene extensión .VBS, el adjunto es creado como un script de Visual Basic que genera al gusano, un archivo ejecutable de Win32. Por ello, existen tres formatos para el "dropper" del gusano, Visual Basic Script, HTML, y aplicación del Panel de control (.CPL). En el caso de un adjunto .ZIP, el archivo contenido dentro del mismo, posee un nombre generado al azar de 5 a 9 caracteres con extensión .EXE. También contiene un segundo archivo conteniendo solo basura, con nombre al azar y alguna de las siguientes extensiones: .cfg .def .dll .ini .txt .vxd Cuando se ejecuta, crea los siguiente archivos en la carpeta System de Windows: c:\windows\system\fukulamer.exe c:\windows\system\fukulamer.exeopen c:\windows\system\fukulamer.exeopenopen c:\windows\system\fukulamer.exeopenopenopen c:\windows\system\fukulamer.exeopenopenopenopen NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run reg_key = c:\windows\system\fukulamer.exe Crea también la siguiente entrada para almacenar valores de su configuración actual: HKCU\Software\base_reg_path Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe Posee algunas características de troyano de acceso remoto y para ello abre el puerto TCP/1234, quedando a la espera de comandos. Esta opción puede ser usada para actualizar al propio gusano. Cuando ello sucede, se descarga la nueva versión que luego se ejecuta para suplantar la anterior. También intenta borrar las entradas en el registro creadas por versiones de otros gusanos, como Netsky. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos ellos pueden estar presentes): c:\windows\system\fukulamer.exe c:\windows\system\fukulamer.exeopen c:\windows\system\fukulamer.exeopenopen c:\windows\system\fukulamer.exeopenopenopen c:\windows\system\fukulamer.exeopenopenopenopen Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: reg_key 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \base_reg_path 5. Pinche en la carpeta "base_reg_path" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 19/08/04 - 00:31 -0300 (Renombrado Bagle.AJ a Bagle.AI) 19/08/04 - 11:43 -0300 (Renombrado Bagle.AI a Bagle.AH2) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1506 Año 8, viernes 20 de agosto de 2004