| Asunto: | VSantivirus No. 1526 Año 8, viernes 10 de setiembre de 2004 | | Fecha: | Viernes, 10 de Septiembre, 2004 00:48:13 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1526 Año 8, viernes 10 de setiembre de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Mydoom.X. Descarga y ejecuta otros archivos
2 - W32/Mydoom.W. Descarga y ejecuta otros archivos
3 - W32/Mydoom.V. Descarga y ejecuta otros archivos
4 - Troj/Surila.NAA. Troyano de acceso remoto
5 - Troj/Small.VA. Deshabilita cortafuegos de Windows XP
_____________________________________________________________
1 - W32/Mydoom.X. Descarga y ejecuta otros archivos
_____________________________________________________________
http://www.vsantivirus.com/mydoom-x.htm
Nombre: W32/Mydoom.X
Nombre Nod32: Win32/Mydoom.X
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.X, I-Worm.Mydoom.t, MyDoom.V
Fecha: 9/set/04
Plataforma: Windows 32-bit
Tamaño: 18,200 (UPX)
Variante del Mydoom detectada el 9 de setiembre de 2004.
Se propaga por correo electrónico. Los remitentes de los
mensajes son falsos, generados con los siguientes componentes
[Usuario]+[Dominio]:
Donde [Usuario] es creado con los siguientes nombres y
apellidos:
Nombres:
alex
alexander
andrew
anthony
barry
bernard
bill
brian
calvin
carl
charles
christopher
clifford
daniel
david
dennis
donald
douglas
edward
eric
francisco
frank
gary
george
gregory
harold
henry
james
jason
jay
jeffrey
jerry
jim
john
jon
jose
joseph
joshua
kenneth
kevin
larry
leon
leroy
lloyd
marcus
mario
mark
matthew
michael
micheal
miguel
oscar
patrick
paul
peter
randall
raymond
richard
ricky
robert
ronald
ronnie
scott
stephen
steven
theodore
thomas
timothy
tom
tommy
troy
walter
william
Apellidos:
adams
allen
anderson
baker
brown
campbell
carter
clark
cruz
davis
freeman
garcia
gomez
gonzalez
green
hall
harris
hernandez
hill
jackson
johnson
jones
king
lee
lewis
lopez
marshall
martin
martinez
miller
mitchell
moore
murray
nelson
ortiz
parker
perez
phillips
porter
roberts
robinson
rodriguez
scott
simpson
smith
stevens
taylor
thomas
thompson
tucker
turner
walker
webb
wells
white
williams
wilson
wright
young
[Dominio] es el dominio del destinatario, o uno de los
siguientes:
@ aol .com
@ dailymail .co .uk
@ gmx .net
@ hotmail .com
@ mail .com
@ msn .com
@ t-online .de
@ yahoo .co .uk
cox .net
yahoo .com
El asunto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- hello
- here
- hi
- Hi!
- important
- Information
- my
- News
- Notice again
- Private document
- Re: Hello
- Re: Hi
- Re: Message
- Re: Proof of concept
- Re: Question
- Re: Status
- Re: Your document
- read it immediately
- Thank you!
- thanks!
- You win!
El texto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- apply patch.
- apply this patch!
- Can you confirm it?
- For further details see the attachment....
- For more details see the attachment.
- fun game!
- fun photos
- fun!
- game
- I have attached document.
- lol!
- Monthly news report.
- New game
- Please answer quickly!
- Please confirm the document.
- Please confirm!
- Please read the attached file!
- Please read the attached file.
- Please read the document.
- Please read the important document.
- Please see the attached file for detail...
- relax
- screensaverlol!
- See attached file for details.
- See the file.
- See the file.
- Thanks!
- Thanks!
- Virus removal tool
- Waiting for a Response. Please read the...
- You are infected by virus. Run this exe...
- Your archive is attached.
- Your requested mail has been attached.
Al texto del mensaje puede agregar al final, el siguiente
reporte falso:
+++ Attachment: No Virus found
+++ [nombre antivirus]
Donde [nombre antivirus] es uno de los siguientes:
Bitdefender AntiVirus - www .bitdefender .com
F-Secure AntiVirus - www .f-secure .com
Kaspersky AntiVirus - www .kaspersky .com
MC-Afee AntiVirus - www .mcafee .com
MessageLabs AntiVirus - www .messagelabs .com
Norman AntiVirus - www .norman .com
Norton AntiVirus - www .symantec .de
Panda AntiVirus - www .pandasoftware .com
El archivo adjunto, puede tener alguno de los siguientes
nombres:
antivirus.exe
bill.doc .pif
bill.rtf .pif
bill.txt .pif
bill.zip
data.zip
details.zip
doc.doc .pif
doc.rtf .pif
doc.txt .pif
doc.zip
doc.zip
document.doc .pif
document.zip
file.exe
file.zip
fun.scr
game.exe
info.zip
information.zip
letter.zip
lol.scr
mesg.doc .pif
mesg.rtf .pif
mesg.txt .pif
Message.html .pif
message.zip
new.exe
new.zip
patch.exe
photo.exe
pic.exe
rep.txt .pif
report.doc .pif
report.rtf .pif
report.txt .pif
report.zip
review.doc .pif
review.rtf .pif
review.txt .pif
Si el adjunto es un ZIP, el contenido puede tener uno de los
nombres anteriores con dos extensiones.
Cuando se ejecuta, crea el siguiente archivo en el sistema
infectado:
c:\windows\system32\windrv32.exe
NOTA: En todos los casos, "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
También se copia en la carpeta de inicio del usuario actual,
con el siguiente nombre:
[carpeta de inicio]\autostart.exe
Nota: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
Para autoejecutarse en cada reinicio, modifica la siguiente
entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSPF = c:\windows\system32\windrv32.exe
El gusano también crea o modifica las siguientes entradas del
registro:
HKCU\Software\Microsoft\Internet Explorer
FuckedInst = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\User Agent
Version = "FrankenShteiN"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\User Agent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\UserAgent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\User Agent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\User Agent
Version = "FrankenShteiN"
Al iniciarse, crea el siguiente mutex para no cargarse más de
una vez en memoria:
WWWdefacedWWW
El gusano evita enviar mensajes a cualquier dirección que en
su nombre contenga algunas de las siguientes cadenas:
.gov
.mil
@foo.
@iana
abuse
accoun
acketst
admin
antivi
anyone
arin.
avp.
berkeley
borlan
bsd
certific
contact
example
feste
fido
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icq.com
icrosof
icrosoft
icrosoft
ietf
info
inpris
isc.o
isi.e
kasp
kernel
linux
linux
linux
listserv
math
messagelabs
mit.e
mozilla
mydomai
news
nobody
nodomai
noone
noreply
nothing
ntivi
panda
pgp
postmaster
privacy
rating
rating
rfc-ed
ripe.
root
root
ruslis
samples
secur
sendmail
service
site
somebody
someone
sopho
spam
submit
support
support
support
syman
tanford.e
unix
unix
unix
upport
usenet
utgers.ed
webmaster
www
Las direcciones para el envío de los mensajes infectados, son
tomadas de archivos seleccionados de diferentes carpetas de
las unidades de discos de la C a la Z. Los archivos
examinados, poseen las siguientes extensiones:
.asp
.cfg
.cgi
.dbx
.dht
.eml
.htm
.jsp
.mht
.msg
.php
.sht
.stm
.tbb
.txt
.uin
.vbs
.wab
.xls
También genera direcciones al azar, usando nombres de dominio
obtenidos de direcciones válidas.
El gusano descarga y ejecuta otros archivos, de los
siguientes dominios:
vugs .geog .uu .nl
www .ach .ch
www .hiw .kuleuven .ac .be
www .llc .unibo .it
www .mercyships .de
www .planetboredom .net
www .surrenderzeeland .nl
El archivo descargado al momento actual es el troyano
Surila.NAA:
Troj/Surila.NAA. Troyano de acceso remoto
http://www.vsantivirus.com/troj-surila-naa.htm
El gusano deja de funcionar y se borra a si mismo el 20 de
setiembre de 2004, después de las 01:18:31, hora local.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
3. Pinche en la carpeta "Internet Explorer" y en el panel de
la derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
FuckedInst = "1"
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\User Agent
5. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\5.0
\User Agent
7. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
WinSPF
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\UserAgent
11. Pinche en la carpeta "UserAgent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
12. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\User Agent
13. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
14. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\5.0
\User Agent
15. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Mydoom.W. Descarga y ejecuta otros archivos
_____________________________________________________________
http://www.vsantivirus.com/mydoom-w.htm
Nombre: W32/Mydoom.W
Nombre Nod32: Win32/Mydoom.W
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.W, MyDoom.U, I-Worm.Mydoom.s,
W32/Mydoom.U.worm, W32/Mydoom.u@MM, W32/Mydoom.V, W32/MyDoom-
Gen,
Win32/Mydoom.Variant.Worm, WORM_MYDOOM.GEN
Fecha: 9/set/04
Plataforma: Windows 32-bit
Tamaño: 18,200 (UPX)
Variante del Mydoom detectada el 9 de setiembre de 2004.
Se propaga por correo electrónico. Los remitentes de los
mensajes son falsos, generados con los siguientes componentes
[Usuario]+[Dominio]:
Donde [Usuario] es creado con los siguientes nombres y
apellidos:
Nombres:
alex
alexander
andrew
anthony
barry
bernard
bill
brian
calvin
carl
charles
christopher
clifford
daniel
david
dennis
donald
douglas
edward
eric
francisco
frank
gary
george
gregory
harold
henry
james
jason
jay
jeffrey
jerry
jim
john
jon
jose
joseph
joshua
kenneth
kevin
larry
leon
leroy
lloyd
marcus
mario
mark
matthew
michael
micheal
miguel
oscar
patrick
paul
peter
randall
raymond
richard
ricky
robert
ronald
ronnie
scott
stephen
steven
theodore
thomas
timothy
tom
tommy
troy
walter
william
Apellidos:
adams
allen
anderson
baker
brown
campbell
carter
clark
cruz
davis
freeman
garcia
gomez
gonzalez
green
hall
harris
hernandez
hill
jackson
johnson
jones
king
lee
lewis
lopez
marshall
martin
martinez
miller
mitchell
moore
murray
nelson
ortiz
parker
perez
phillips
porter
roberts
robinson
rodriguez
scott
simpson
smith
stevens
taylor
thomas
thompson
tucker
turner
walker
webb
wells
white
williams
wilson
wright
young
[Dominio] es el dominio del destinatario, o uno de los
siguientes:
@ aol .com
@ dailymail .co .uk
@ gmx .net
@ hotmail .com
@ mail .com
@ msn .com
@ t-online .de
@ yahoo .co .uk
cox .net
yahoo .com
El asunto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- hello
- here
- hi
- Hi!
- important
- Information
- my
- News
- Notice again
- Private document
- Re: Hello
- Re: Hi
- Re: Message
- Re: Proof of concept
- Re: Question
- Re: Status
- Re: Your document
- read it immediately
- Thank you!
- thanks!
- You win!
El texto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- apply patch.
- apply this patch!
- Can you confirm it?
- For further details see the attachment....
- For more details see the attachment.
- fun game!
- fun photos
- fun!
- game
- I have attached document.
- lol!
- Monthly news report.
- New game
- Please answer quickly!
- Please confirm the document.
- Please confirm!
- Please read the attached file!
- Please read the attached file.
- Please read the document.
- Please read the important document.
- Please see the attached file for detail...
- relax
- screensaverlol!
- See attached file for details.
- See the file.
- See the file.
- Thanks!
- Thanks!
- Virus removal tool
- Waiting for a Response. Please read the...
- You are infected by virus. Run this exe...
- Your archive is attached.
- Your requested mail has been attached.
Al texto del mensaje puede agregar al final, el siguiente
reporte falso:
+++ Attachment: No Virus found
+++ [nombre antivirus]
Donde [nombre antivirus] es uno de los siguientes:
Bitdefender AntiVirus - www .bitdefender .com
F-Secure AntiVirus - www .f-secure .com
Kaspersky AntiVirus - www .kaspersky .com
MC-Afee AntiVirus - www .mcafee .com
MessageLabs AntiVirus - www .messagelabs .com
Norman AntiVirus - www .norman .com
Norton AntiVirus - www .symantec .de
Panda AntiVirus - www .pandasoftware .com
El archivo adjunto, puede tener alguno de los siguientes
nombres:
antivirus.exe
bill.doc .pif
bill.rtf .pif
bill.txt .pif
bill.zip
data.zip
details.zip
doc.doc .pif
doc.rtf .pif
doc.txt .pif
doc.zip
doc.zip
document.doc .pif
document.zip
file.exe
file.zip
fun.scr
game.exe
info.zip
information.zip
letter.zip
lol.scr
mesg.doc .pif
mesg.rtf .pif
mesg.txt .pif
Message.html .pif
message.zip
new.exe
new.zip
patch.exe
photo.exe
pic.exe
rep.txt .pif
report.doc .pif
report.rtf .pif
report.txt .pif
report.zip
review.doc .pif
review.rtf .pif
review.txt .pif
Si el adjunto es un ZIP, el contenido puede tener uno de los
nombres anteriores con dos extensiones.
Cuando se ejecuta, crea el siguiente archivo en el sistema
infectado:
c:\windows\system32\winspf32.exe
NOTA: En todos los casos, "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
También se copia en la carpeta de inicio del usuario actual,
con el siguiente nombre:
[carpeta de inicio]\rx32hh00.exe
Nota: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
Para autoejecutarse en cada reinicio, modifica la siguiente
entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSPF = c:\windows\system32\winspf32.exe
El gusano también crea o modifica las siguientes entradas del
registro:
HKCU\Software\Microsoft\Internet Explorer
FuckedInst = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\User Agent
Version = "FrankenShteiN"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\User Agent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\UserAgent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\User Agent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\User Agent
Version = "FrankenShteiN"
Al iniciarse, crea el siguiente mutex para no cargarse más de
una vez en memoria:
qwedefacedRDE
El gusano evita enviar mensajes a cualquier dirección que en
su nombre contenga algunas de las siguientes cadenas:
.gov
.mil
@foo.
@iana
abuse
accoun
acketst
admin
antivi
anyone
arin.
avp.
berkeley
borlan
bsd
certific
contact
example
feste
fido
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icq.com
icrosof
icrosoft
icrosoft
ietf
info
inpris
isc.o
isi.e
kasp
kernel
linux
linux
linux
listserv
math
messagelabs
mit.e
mozilla
mydomai
news
nobody
nodomai
noone
noreply
nothing
ntivi
panda
pgp
postmaster
privacy
rating
rating
rfc-ed
ripe.
root
root
ruslis
samples
secur
sendmail
service
site
somebody
someone
sopho
spam
submit
support
support
support
syman
tanford.e
unix
unix
unix
upport
usenet
utgers.ed
webmaster
www
Las direcciones para el envío de los mensajes infectados, son
tomadas de archivos seleccionados de diferentes carpetas de
las unidades de discos de la C a la Z. Los archivos
examinados, poseen las siguientes extensiones:
.asp
.cfg
.cgi
.dbx
.dht
.eml
.htm
.jsp
.mht
.msg
.php
.sht
.stm
.tbb
.txt
.uin
.vbs
.wab
.xls
También genera direcciones al azar, usando nombres de dominio
obtenidos de direcciones válidas.
El gusano descarga y ejecuta otros archivos, de los
siguientes dominios:
vugs .geog .uu .nl
www .ach .ch
www .hiw .kuleuven .ac .be
www .llc .unibo .it
www .mercyships .de
www .planetboredom .net
www .surrenderzeeland .nl
El archivo descargado al momento actual es el troyano
Surila.NAA:
Troj/Surila.NAA. Troyano de acceso remoto
http://www.vsantivirus.com/troj-surila-naa.htm
El gusano deja de funcionar y se borra a si mismo el 20 de
setiembre de 2004, después de las 01:18:31, hora local.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
3. Pinche en la carpeta "Internet Explorer" y en el panel de
la derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
FuckedInst = "1"
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\User Agent
5. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\5.0
\User Agent
7. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
WinSPF
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\UserAgent
11. Pinche en la carpeta "UserAgent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
12. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\User Agent
13. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
14. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\5.0
\User Agent
15. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Mydoom.V. Descarga y ejecuta otros archivos
_____________________________________________________________
http://www.vsantivirus.com/mydoom-v.htm
Nombre: W32/Mydoom.V
Nombre Nod32: Win32/Mydoom.V
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.V, MyDoom.V, MyDoom.W, I-Worm.Mydoom.t,
W32.Mydoom.T@mm
Fecha: 9/set/04
Plataforma: Windows 32-bit
Tamaño: 18,432 (UPX)
Variante del Mydoom detectada el 9 de setiembre de 2004.
Se propaga por correo electrónico. Los remitentes de los
mensajes son falsos, generados con los siguientes componentes
[Usuario]+[Dominio]:
Donde [Usuario] es creado con los siguientes nombres y
apellidos:
Nombres:
alex
alexander
andrew
anthony
barry
bernard
bill
brian
calvin
carl
charles
christopher
clifford
daniel
david
dennis
donald
douglas
edward
eric
francisco
frank
gary
george
gregory
harold
henry
james
jason
jay
jeffrey
jerry
jim
john
jon
jose
joseph
joshua
kenneth
kevin
larry
leon
leroy
lloyd
marcus
mario
mark
matthew
michael
micheal
miguel
oscar
patrick
paul
peter
randall
raymond
richard
ricky
robert
ronald
ronnie
scott
stephen
steven
theodore
thomas
timothy
tom
tommy
troy
walter
william
Apellidos:
adams
allen
anderson
baker
brown
campbell
carter
clark
cruz
davis
freeman
garcia
gomez
gonzalez
green
hall
harris
hernandez
hill
jackson
johnson
jones
king
lee
lewis
lopez
marshall
martin
martinez
miller
mitchell
moore
murray
nelson
ortiz
parker
perez
phillips
porter
roberts
robinson
rodriguez
scott
simpson
smith
stevens
taylor
thomas
thompson
tucker
turner
walker
webb
wells
white
williams
wilson
wright
young
[Dominio] es el dominio del destinatario, o uno de los
siguientes:
@ aol .com
@ dailymail .co .uk
@ gmx .net
@ hotmail .com
@ mail .com
@ msn .com
@ t-online .de
@ yahoo .co .uk
cox .net
yahoo .com
El asunto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- hello
- here
- hi
- Hi!
- important
- Information
- my
- News
- Notice again
- Private document
- Re: Hello
- Re: Hi
- Re: Message
- Re: Proof of concept
- Re: Question
- Re: Status
- Re: Your document
- read it immediately
- Thank you!
- thanks!
- You win!
El texto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- apply patch.
- apply this patch!
- Can you confirm it?
- For further details see the attachment....
- For more details see the attachment.
- fun game!
- fun photos
- fun!
- game
- I have attached document.
- lol!
- Monthly news report.
- New game
- Please answer quickly!
- Please confirm the document.
- Please confirm!
- Please read the attached file!
- Please read the attached file.
- Please read the document.
- Please read the important document.
- Please see the attached file for detail...
- relax
- screensaverlol!
- See attached file for details.
- See the file.
- See the file.
- Thanks!
- Thanks!
- Virus removal tool
- Waiting for a Response. Please read the...
- You are infected by virus. Run this exe...
- Your archive is attached.
- Your requested mail has been attached.
Al texto del mensaje puede agregar al final, el siguiente
reporte falso:
+++ Attachment: No Virus found
+++ [nombre antivirus]
Donde [nombre antivirus] es uno de los siguientes:
Bitdefender AntiVirus - www .bitdefender .com
F-Secure AntiVirus - www .f-secure .com
Kaspersky AntiVirus - www .kaspersky .com
MC-Afee AntiVirus - www .mcafee .com
MessageLabs AntiVirus - www .messagelabs .com
Norman AntiVirus - www .norman .com
Norton AntiVirus - www .symantec .de
Panda AntiVirus - www .pandasoftware .com
El archivo adjunto, puede tener alguno de los siguientes
nombres:
antivirus.exe
bill.doc .pif
bill.rtf .pif
bill.txt .pif
bill.zip
data.zip
details.zip
doc.doc .pif
doc.rtf .pif
doc.txt .pif
doc.zip
doc.zip
document.doc .pif
document.zip
file.exe
file.zip
fun.scr
game.exe
info.zip
information.zip
letter.zip
lol.scr
mesg.doc .pif
mesg.rtf .pif
mesg.txt .pif
Message.html .pif
message.zip
new.exe
new.zip
patch.exe
photo.exe
pic.exe
rep.txt .pif
report.doc .pif
report.rtf .pif
report.txt .pif
report.zip
review.doc .pif
review.rtf .pif
review.txt .pif
Si el adjunto es un ZIP, el contenido puede tener uno de los
nombres anteriores con dos extensiones.
Cuando se ejecuta, crea el siguiente archivo en el sistema
infectado:
c:\windows\system32\windrv32.exe
NOTA: En todos los casos, "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
También se copia en la carpeta de inicio del usuario actual,
con el siguiente nombre:
[carpeta de inicio]\autostart.exe
Nota: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
Para autoejecutarse en cada reinicio, modifica la siguiente
entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSPF = c:\windows\system32\windrv32.exe
El gusano también crea o modifica las siguientes entradas del
registro:
HKCU\Software\Microsoft\Internet Explorer
FuckedInst = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\User Agent
Version = "FrankenShteiN"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\User Agent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\UserAgent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\User Agent
Version = "FrankenShteiN"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\User Agent
Version = "FrankenShteiN"
Al iniciarse, crea el siguiente mutex para no cargarse más de
una vez en memoria:
DDDDefaceDDDD
El gusano evita enviar mensajes a cualquier dirección que en
su nombre contenga algunas de las siguientes cadenas:
.gov
.mil
@foo.
@iana
abuse
accoun
acketst
admin
antivi
anyone
arin.
avp.
berkeley
borlan
bsd
certific
contact
example
feste
fido
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icq.com
icrosof
icrosoft
icrosoft
ietf
info
inpris
isc.o
isi.e
kasp
kernel
linux
linux
linux
listserv
math
messagelabs
mit.e
mozilla
mydomai
news
nobody
nodomai
noone
noreply
nothing
ntivi
panda
pgp
postmaster
privacy
rating
rating
rfc-ed
ripe.
root
root
ruslis
samples
secur
sendmail
service
site
somebody
someone
sopho
spam
submit
support
support
support
syman
tanford.e
unix
unix
unix
upport
usenet
utgers.ed
webmaster
www
Las direcciones para el envío de los mensajes infectados, son
tomadas de archivos seleccionados de diferentes carpetas de
las unidades de discos de la C a la Z. Los archivos
examinados, poseen las siguientes extensiones:
.asp
.cfg
.cgi
.dbx
.dht
.eml
.htm
.jsp
.mht
.msg
.php
.sht
.stm
.tbb
.txt
.uin
.vbs
.wab
.xls
También genera direcciones al azar, usando nombres de dominio
obtenidos de direcciones válidas.
El gusano descarga y ejecuta otros archivos, de los
siguientes dominios:
vugs .geog .uu .nl
www .ach .ch
www .hiw .kuleuven .ac .be
www .llc .unibo .it
www .mercyships .de
www .planetboredom .net
www .surrenderzeeland .nl
El archivo descargado al momento actual es el troyano
Surila.NAA:
Troj/Surila.NAA. Troyano de acceso remoto
http://www.vsantivirus.com/troj-surila-naa.htm
El gusano deja de funcionar y se borra a si mismo el 20 de
setiembre de 2004, después de las 01:18:31, hora local.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
3. Pinche en la carpeta "Internet Explorer" y en el panel de
la derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
FuckedInst = "1"
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\User Agent
5. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\5.0
\User Agent
7. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
WinSPF
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\UserAgent
11. Pinche en la carpeta "UserAgent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
12. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\User Agent
13. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
14. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\5.0
\User Agent
15. Pinche en la carpeta "User Agent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Version = "FrankenShteiN"
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Surila.NAA. Troyano de acceso remoto
_____________________________________________________________
http://www.vsantivirus.com/troj-surila-naa.htm
Nombre: Troj/Surila.NAA
Nombre Nod32: Win32/Surila.NAA
Tipo: Caballo de Troya de acceso remoto
Alias: W32/Surila-A, BackDoor-CEB.c, Backdoor.Nemog.B,
Backdoor.Win32.Surila.i, Win32.Gavvo.C, Win32/Surila.NAA
Fecha: 9/set/04
Plataforma: Windows NT, 2000, XP y 2003
Tamaño: 234,496 bytes
Este troyano, programado en Visual C++ y comprimido con la
herramienta, puede ser descargado y ejecutado por el gusano
Mydoom.V, Mydoom.W y Mydoom.X (nada impide que el troyano sea
descargado y ejecutado por otros métodos).
Solo funciona en equipos con Windows NT, 2000, XP o 2003.
Cuando se ejecuta, oculta su actividad en la máquina
infectada, mientras se instala como un servidor proxy HTTP, y
como un servidor relay de SMTP (permite el reenvío de spam).
Modifica el archivo HOSTS de Windows, para impedir el acceso
a los siguientes sitios, todos ellos pertenecientes a
fabricantes de antivirus:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
downloads-eu1 .kaspersky-labs .com
downloads-us1 .kaspersky-labs .com
f-secure .com
kaspersky .com
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
Intenta conectarse a numerosos servidores IRC desde donde
espera recibir determinados comandos.
Las direcciones IP y los puertos a los que intenta conectarse
son los siguientes:
62.241.53.15:4242
62.241.53.16:4242
62.241.53.17:4242
62.241.53.2:4242
62.241.53.4:4242
64.246.16.11:4661
64.246.18.98:4661
64.246.54.12:3306
65.75.161.70:4661
66.111.43.80:4242
66.90.68.2:6565
66.98.144.100:4242
66.98.192.99:3306
67.15.18.45:3306
67.15.18.57:3306
69.50.187.210:4661
69.50.228.50:4646
69.57.132.8:4661
80.64.179.46:4242
81.23.250.167:4242
81.23.250.169:4242
193.19.227.24:4661
205.209.176.220:4661
207.44.142.33:4242
207.44.206.27:4661
207.44.222.47:4661
211.214.161.107:4661
211.233.41.235:4661
212.199.125.36:8080
213.158.119.104:4661
216.127.94.107:4661
218.78.211.62:4661
Utiliza los siguientes puertos para estas conexiones:
3306
4242
4646
4661
6565
8080
Cuando se ejecuta, se copia en la carpeta de inicio del
equipo infectado:
[carpeta de inicio]\dx32cxlp.exe
Donde [carpeta de inicio] es tomada del valor asignado a
"Common Startup" en la siguiente rama del registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders
Esto puede ser una de las siguientes carpetas:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\all users\menú inicio\programas\inicio
c:\documents and settings
\all users\start menu\programs\startup
El troyano crea también los siguientes archivos:
c:\windows\system32\dx32cxconf.ini
c:\windows\system32\dx32cxel.sys
c:\windows\system32\dx32cxlp.exe
c:\windows\system32\svkp.sys
El componente DX32CXEL.SYS se instala como un servicio en el
equipo de la víctima:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DX32CXEL\
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\
HKLM\SYSTEM\CurrentControlSet\Services\dx32cxel\
HKLM\SYSTEM\CurrentControlSet\Services\SVKP\
Cuando este servicio se ejecuta, el mismo no puede ser
detectado por un antivirus en un modo de escaneo
convencional.
El troyano abre otros puertos TCP al azar.
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\dx32cxconf.ini
c:\windows\system32\dx32cxel.sys
c:\windows\system32\dx32cxlp.exe
c:\windows\system32\svkp.sys
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
DX32CXLP.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
DX32CXLP.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_DX32CXEL
3. Pinche en la carpeta "LEGACY_DX32CXEL" y bórrela.
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_SVKP
5. Pinche en la carpeta "LEGACY_SVKP" y bórrela.
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\dx32cxel
7. Pinche en la carpeta "dx32cxel" y bórrela.
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SVKP
9. Pinche en la carpeta "SVKP" y bórrela.
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Troj/Small.VA. Deshabilita cortafuegos de Windows XP
_____________________________________________________________
http://www.vsantivirus.com/troj-small-va.htm
Nombre: Troj/Small.VA
Nombre Nod32: Win32/TrojanDownloader.Small.VA
Tipo: Gusano de Internet y caballo de Troya
Variantes: Zusha.A, Zusha.B
Alias: Zusha, W32/Zusha, Trojan.Win32.Small.aq,
Worm.Win32.Zusha.a, Worm.Win32.Zusha.b,
TrojanDownloader.Win32.Agent.co
Fecha: 8/set/04
Plataforma: Windows 32-bit
Tamaño: 1,536 bytes
Se trata de un gusano de redes, capaz de propagarse
utilizando un exploit que se aprovecha de la vulnerabilidad
en el componente LSASS, corregida por Microsoft en abril de
2004 (ver "MS04-011 Actualización crítica de Windows
(835732)", http://www.vsantivirus.com/vulms04-011.htm).
Luego de ejecutarse, el gusano descarga y ejecuta archivos
adicionales de Internet. Estos archivos son a su vez troyano
del tipo "downloaders", o sea códigos que descargan otros
programas.
Los archivos descargados, pueden eliminar los procesos de
diversas aplicaciones de seguridad, incluyendo cortafuegos.
También pueden modificar la configuración del cortafuegos de
Windows XP, de tal modo que otros programas descargados por
el gusano (troyanos), puedan comunicarse de y hacia Internet
sin el conocimiento del usuario infectado.
Finalmente, se libera y ejecuta un componente de acceso
remoto por puerta trasera (backdoor), en todos los sistemas
infectados, con la posibilidad de comunicarse entre ellos.
El gusano crea los siguientes archivos:
c:\windows\system32\explorer32.exe
c:\windows\system32\mspxs32.dll
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea la siguiente entrada en el registro, para autoejecutarse
en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Explorer = c:\windows\system32\explorer32.exe
Al ejecutarse, inyecta el archivo MSPXS32.DLL como un objeto
BHO del Internet Explorer.
Un objeto BHO (Browser Helper Object), es un DLL que se
adjunta a si mismo a cada nueva instancia del Internet
Explorer, pudiendo ejecutar eventos predeterminados.
* Reparación manual
IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet,
hasta instalar el parche para la vulnerabilidad LSASS (MS04-
011). Si es necesario, descargarlo antes de proceder al resto
de la limpieza, desde el siguiente enlace para instalarlo
posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Métodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse
dificultada por el constante reinicio del equipo infectado
(un efecto secundario del exploit que se vale de la
vulnerabilidad en el componente LSASS). Para evitarlo, siga
cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas
(ajústelo nuevamente a la hora correcta luego de la
instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego
ingrese el siguiente comando (más Enter):
shutdown -a
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Win32 Explorer
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP y la conexión
compartida de Windows 2000
* En Windows XP SP2
1. Abra el Panel de Control, haga doble clic en el icono
"Centro de Seguridad"
2. Active el cortafuego de Windows (si este se encuentra
desactivado).
3. Cierra la ventana del cortafuego, cierre el Centro de
Seguridad, por ultimo cierre el panel de control.
* En Windows 2000 o Windows XP SP1
1. Haga clic en el botón Inicio, Ejecutar e ingrese lo
siguiente:
services.msc
2. Presione el botón Aceptar.
* En Windows 2000 en la columna nombre localice el servicio
"Internet Connection Sharing (ICS)" y haga doble clic en el.
* En Windows XP en la columna nombre localice el servicio
"Internet Connection Firewall (ICF) / Internet Connection
Sharing (ICS)" y haga doble clic en el.
3. En la opción "Tipo de inicio" seleccione en el menú
desplegable "Automático".
4. Bajo la opción "Estado del servicio" presione el botón
"Iniciar".
5. Haga clic en el botón "Aceptar".
6. Reinicie el equipo.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1526 Año 8, viernes 10 de setiembre de 2004
|
VSantivirus No. 15
Responder a este mensaje
