Mostrando mensaje 579     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1529 Año 8, lunes 13 de setiembre de 2004 Fecha: Martes, 14 de Septiembre, 2004  02:55:25 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1530 Año 8, martes 14 de setiembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Peligro de phishing con cuentas de Gmail 2 - Graves vulnerabilidades en protocolo MIME 3 - W32/Spybot.DNB. Se copia como "hpprint.exe" 4 - W32/Spybot.DNC. Se copia como "timesrv.exe" _____________________________________________________________ 1 - Peligro de phishing con cuentas de Gmail _____________________________________________________________ http://www.vsantivirus.com/14-09-04.htm Peligro de phishing con cuentas de Gmail Por Angela Ruiz angela@videosoft.net.uy ¿Ha recibido algún mensaje proveniente del equipo de Gmail con el asunto "More Gmail invites"?. Nuestro consejo es que no lo acepte. Gmail es el nuevo servicio de correo electrónico gratuito vía web, ofrecido por Google, con la característica de ofrecerle un gigabyte de espacio de almacenamiento para sus mensajes. El problema con esto, es que usted podría ser víctima de un ataque de phishing. Si recibe un mensaje con un enlace que lo dirige a algún sitio donde se le solicite información de su cuenta actual (usuario y contraseña), debería sospechar. No hemos tenido informes de que esto haya ocurrido (aún), pero algunos usuarios nos hicieron ver que esto podría ser terreno fértil para que los piratas informáticos obtengan acceso a las cuentas de los usuarios de este servicio. Se llama "phishing" a toda técnica utilizada para suplantar un sitio real por uno falso, y existen muchas formas para explotar esto con éxito. A pesar de que se han cerrado muchos de los caminos usados por usuarios maliciosos en el pasado, todavía existen personas que utilizan versiones sin actualizar de sus programas de navegación. La versión actualizada del Internet Explorer (la que instala el SP2 de Windows XP), impide que muchas de esas técnicas funcionen, haciéndolo menos propenso a ser víctima de un engaño. Pero no solo el Internet Explorer podía ser engañado, también otros navegadores alternativos como Opera, Mozilla o Firefox pueden ayudar a ocultar la verdadera identidad de un sitio, haciéndole creer que es el verdadero. Y ello aún puede ocurrir si usted no usa las últimas versiones de cualquiera de esos programas. De todos modos, sin importar quien le envíe un mensaje, jamás acepte enlaces que de una forma u otra, lo redirigen a un formulario donde debe ingresar sus datos, cualesquiera que estos sean. Para ingresar a Gmail, utilice el enlace directo (digite en la ventana de direcciones de su navegador el enlace al sitio, en este caso "https://gmail.google.com/";), pero nunca haga clic en un enlace ofrecido en un correo electrónico. Nota: Gmail requiere que tenga habilitado JavaScript y las cookies. * Relacionados: "Phishing" con favicon en Opera 7.50 y anteriores http://www.vsantivirus.com/vul-opera-favicons.htm Ataque DoS con certificados en Mozilla y Firefox http://www.vsantivirus.com/vul-certificados-mozilla.htm Clientes de Visa Internacional víctimas de "phishing" http://www.vsantivirus.com/ev-phishing-visa.htm El navegador Firefox facilita técnicas de phishing http://www.vsantivirus.com/vul-firefox-xul.htm Estafa a clientes del Banco de Crédito de Perú (BCP) http://www.vsantivirus.com/scam-bcp.htm Fallo que afecta al 90% de usuarios de computadoras http://www.vsantivirus.com/15-06-04.htm HTML/Citifraud.A. Timo al Citibank en forma de virus http://www.vsantivirus.com/citifraud-a.htm HTML/Visafraud.A. Timo a usuarios de Visa http://www.vsantivirus.com/visafraud-a.htm Intento de estafa a clientes de Banesto http://www.vsantivirus.com/scam-banesto.htm La suplantación de sitios y robo de identidades http://www.vsantivirus.com/agr-phishing.htm Nueva falsificación de barra de direcciones en IE http://www.vsantivirus.com/vul-ie-spoofing-direcciones.htm Nuevo timo a clientes del Grupo Banco Popular http://www.vsantivirus.com/scam-grupobanco2.htm Otra falsificación de certificados SSL en Mozilla http://www.vsantivirus.com/vul-certificados2-mozilla.htm Pros y contras de drástica decisión de Microsoft http://www.vsantivirus.com/ev-07-02-04.htm SCAM: CITIONLINE EMAIL Veerification http://www.vsantivirus.com/scam-citionline.htm Scam: Intento de estafa a usuarios de PayPal http://www.vsantivirus.com/scam-paypal.htm Scam: Nuevo intento de estafa a usuarios de PayPal http://www.vsantivirus.com/scam-paypal2.htm Scam: Otro timo a clientes del Grupo Banco Popular http://www.vsantivirus.com/scam-grupobanco3.htm Scam: Timo a clientes del Banco Pastor (España) http://www.vsantivirus.com/scam-bancopastor.htm Su cuenta bancaria a merced de un estafador http://www.vsantivirus.com/31-05-04.htm Timo a clientes del Grupo Banco Popular de España http://www.vsantivirus.com/scam-grupobanco.htm Vulnerabilidad "IFrame OnLoad" en Opera http://www.vsantivirus.com/vul-opera-iframeonload.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Graves vulnerabilidades en protocolo MIME _____________________________________________________________ http://www.vsantivirus.com/vul-mime-140904.htm Graves vulnerabilidades en protocolo MIME Por Angela Ruiz angela@videosoft.net.uy El cuerpo responsable de proteger la infraestructura nacional crítica del Reino Unido contra ataques cibernéticos, ha publicado una advertencia urgente acerca de ocho graves agujeros de seguridad, que afectan a centenares de productos relacionados con el filtrado de correo electrónico. El NISCC (National Infrastructure Security Co-ordination Centre), dependiente del centro de alertas contra ataques cibernéticos del Reino Unido (UNIRAS), advierte que estos errores en el protocolo MIME (Multipurpose Internet Mail Extensions), en caso de ser explotados, pueden permitir a los piratas informáticos, eludir la verificación de contenido de los mensajes, así como saltearse la protección de algunas herramientas antivirus, además de facilitar el lanzamiento de ataques de denegación de servicio (DoS). MIME es un protocolo que especifica la codificación y el formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. Este protocolo clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. Según el reporte de vulnerabilidades publicado por el NSC, el uso de técnicas de encapsulación MIME centradas en la presencia de múltiples ocurrencias de campos, puede permitir que un mensaje eluda las funcionalidades de chequeo de contenido de algunos productos, pudiendo los mismos no llegar a detectar ciertas amenazas. Por otro lado, el uso no estándar de espacios en blanco también puede ayudar a evadir el chequeo de contenido, permitiendo que algunos productos no detecten amenazas ocultas. Lo mismo puede producirse con el uso de comillas, o de separadores no estándares, de forma tal que ciertas cadenas puedan confundir a los programas de seguridad. Las vulnerabilidades descriptas, afectan a todas las implementaciones MIME. Existen diferentes tipos de software que utilizan o interpretan este protocolo, y todos ellos son potencialmente afectados por estos fallos. Ellos son: - Clientes de correo electrónico - Navegadores de Internet - Productos antivirus - Comprobadores de contenido (e-mail y web) Ya hace más de un año que estos errores fueron descubiertos por la consultora de seguridad Corsaire, después de trabajar asegurando el sistema de correo electrónico de ciertas compañías. Corsaire dice que pasó todos los detalles de las vulnerabilidades al NISCC el último verano (hemisferio norte), debido a la escala del problema, y a la coordinación necesaria entre los diferentes vendedores afectados. Muchos vendedores han solucionado en forma silenciosa estos problemas, como Apple, HP, MessageLabs y Mozilla, que ya han declarado que sus productos no son afectados por estas vulnerabilidades. Otras compañías han confirmado que sus productos aún son vulnerables, pero que serán reparados en próximas versiones. * Más información: Vulnerability Issues in MIME http://www.uniras.gov.uk/vuls/2004/380375/mime.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Spybot.DNB. Se copia como "hpprint.exe" _____________________________________________________________ http://www.vsantivirus.com/spybot-dnb.htm Nombre: W32/Spybot.DNB Tipo: Gusano de Internet y caballo de Troya Alias: Spybot.DNB, W32.Spybot.DNB, Backdoor.Rbot.gen Plataforma: Windows 32-bit Fecha: 13/set/04 Puerto: TCP 6667 Variante de la familia de gusanos W32/Spybot.fam. Utiliza varias vulnerabilidades (como la DCOM/RPC y LSASS), para tomar el control y propagarse a otros equipos vulnerables. También posee capacidad de troyano de acceso remoto por puerta trasera vía IRC. Cuando se ejecuta, crea el siguiente archivo en la carpeta del sistema: c:\windows\system32\hpprint.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También agrega las siguientes entradas al registro de Windows, para su autoejecución: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Win USB 2.0 USB Driver = hpprint.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices Win USB 2.0 USB Driver = hpprint.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Win USB 2.0 USB Driver = hpprint.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Win USB 2.0 USB Driver = hpprint.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Win USB 2.0 USB Driver = hpprint.exe El nombre de estas claves pueden ser cambiadas por el atacante que controle al troyano via remota, después de una infección. El gusano también agrega o modifica las siguientes entradas en el registro: HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM EnableDCOM = "N" HKLM\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous = "1" HKLM\SYSTEM\CurrentControlSe\ENUM\ROOT\LEGACY_KINGSTON HKLM\SYSTEM\CurrentControlSet\Services\Kingston Permanece residente, enganchándose al proceso EXPLORER.EXE. Después de auto instalarse en el sistema, el gusano se borra a si mismo. Pero al volver a ejecutarse su copia en la carpeta del sistema (al reiniciarse Windows), continúa el proceso iniciado. Toma ventaja de la vulnerabilidad en los componentes DCOM/RPC de Windows XP, 2000 y NT, en aquellas computadoras que no poseen el parche correspondiente, para obtener acceso total al sistema y copiarse en otras computadoras. También utiliza la vulnerabilidad LSASS, entre otras. Posee un componente troyano con acceso backdoor vía IRC, que permite a un intruso el control remoto de la computadora. Para ello intenta conectarse a un servidor de IRC, a través del puerto 6667. Crea el siguiente archivo para almacenar la información relacionada con dichas conexiones: c:\debug.txt El troyano puede capturar todo lo tecleado por el usuario infectado, descargar archivos de Internet, etc. También intenta robar las llaves de CD y las contraseñas de conocidos juegos: Battlefield 1942 Battlefield 1942: Secret Weapons Of WWII Battlefield 1942: The Road To Rome Battlefield 1942: Vietnam Black and White Call of Duty Command and Conquer: Generals Command and Conquer: Generals: Zero Hour Command and Conquer: Red Alert2 Command and Conquer: Tiberian Sun Counter-Strike FIFA 2002 FIFA 2003 Freedom Force Global Operations Gunman Chronicles Hidden and Dangerous 2 IGI2: Covert Strike Industry Giant 2 James Bond 007: Nightfire Medal of Honor: Allied Assault: Medal of Honor: Allied Assault: Breakthrough Medal of Honor: Allied Assault: Spearhead Nascar Racing 2002 Nascar Racing 2003 Need For Speed: Hot Pursuit 2 Need For Speed: Underground Neverwinter Nights NHL 2002 NHL 2003 Ravenshield Shogun: Total War: Warlord Edition Soldier of Fortune II - Double Helix Soldiers Of Anarchy The Gladiators Unreal Tournament 2003 Unreal Tournament 2004 También roba la información del usuario del siguiente software: AOL instant messenger (AIM) Microsoft messenger service (MSN) Microsoft Windows Product ID Yahoo messenger * Reparación manual IMPORTANTE: Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para las siguientes vulnerabilidades (si corresponden a su sistema operativo): Windows XP vulnerable al acceso no autorizado (MS01-059) http://www.vsantivirus.com/vulms01-059.htm Elevación de privilegios en las tareas de SQL Server (MS02- 061) http://www.vsantivirus.com/vulms-059-060-061.htm Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) http://www.vsantivirus.com/vulms03-007.htm Vulnerabilidad RPC/DCOM: MS03-026 http://www.vsantivirus.com/vulms03-026-027-028.htm MS03-043 Ejecución de código con el Mensajero (828035) http://www.vsantivirus.com/vulms03-043.htm MS03-049 Falla en servicio Estación de Trabajo (828749) http://www.vsantivirus.com/vulms03-049.htm MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de algunas de las vulnerabilidades). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\debug.txt c:\windows\system32\hpprint.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Win USB 2.0 USB Driver 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Win USB 2.0 USB Driver 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Win USB 2.0 USB Driver 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 9. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Win USB 2.0 USB Driver 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunOnce 11. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Win USB 2.0 USB Driver 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \ENUM \ROOT \LEGACY_KINGSTON 13. Pinche en la carpeta "LEGACY_KINGSTON" y bórrela. 14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Kingston 15. Pinche en la carpeta "Kingston" y bórrela. 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Instalar parche acumulativo de Outlook Express Para protegerse de las vulnerabilidades que explota este troyano, instale el último parche acumulativo de Outlook Express: MS04-018 Parche acumulativo para Outlook Express (823353) http://www.vsantivirus.com/vulms04-018.htm * Instalar parche acumulativo de Internet Explorer Para protegerse de las vulnerabilidades que explota este troyano, instale el último parche acumulativo de Internet Explorer: MS04-025 Actualización acumulativa para IE (867801) http://www.vsantivirus.com/vulms04-025.htm * Sobre RPC y DCOM RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows para permitir que un programa que se ejecuta en un equipo, pueda acceder a los servicios de otro equipo conectado en red. El fallo ocurre en el intercambio de mensajes entre procesos que se realiza sobre protocolos TCP/IP al utilizarse RPC, por un desbordamiento de búfer, y afectan la interfase DCOM con RPC, que controla las solicitudes de activación de objetos de DCOM que las máquinas clientes envían al servidor. DCOM (Distributed Component Object Model o Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse entre sí. Los objetos de programa de un cliente pueden solicitar los servicios de objetos de programas servidores, en otras computadoras dentro de una red. Solo es necesario que todos se estén ejecutando en Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP). Usando una interfase DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (Remote Procedure Call o RPC) a un objeto de otro programa especializado, que proporciona el procesamiento necesario y devuelve el resultado. DCOM emplea a su vez protocolos TCP/IP y HTTP, y está incluido en las versiones posteriores a Windows 98 y NT. DCOM escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445 y 593 de TCP. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Spybot.DNC. Se copia como "timesrv.exe" _____________________________________________________________ http://www.vsantivirus.com/spybot-dnc.htm Nombre: W32/Spybot.DNC Tipo: Gusano de Internet y caballo de Troya Alias: Spybot.DNC, W32.Spybot.DNC, Backdoor.Rbot.gen Plataforma: Windows 32-bit Fecha: 13/set/04 Puerto: TCP 6667 Utiliza varias vulnerabilidades (como la DCOM/RPC y LSASS), para tomar el control y propagarse a otros equipos vulnerables. También posee capacidad de troyano de acceso remoto por puerta trasera vía IRC. Cuando se ejecuta, crea el siguiente archivo en la carpeta del sistema: c:\windows\system32\timesrv.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También agrega las siguientes entradas al registro de Windows, para su autoejecución: HKCU\Software\Microsoft\OLE Windows Time Server = timesrv.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Time Server = timesrv.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Windows Time Server = timesrv.exe El nombre de estas claves pueden ser cambiadas por el atacante que controle al troyano via remota, después de una infección. El gusano también agrega o modifica las siguientes entradas en el registro: HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM EnableDCOM = "N" HKLM\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous = "1" Permanece residente, enganchándose al proceso EXPLORER.EXE. Después de auto instalarse en el sistema, el gusano se borra a si mismo. Pero al volver a ejecutarse su copia en la carpeta del sistema (al reiniciarse Windows), continúa el proceso iniciado. Toma ventaja de la vulnerabilidad en los componentes DCOM/RPC de Windows XP, 2000 y NT, en aquellas computadoras que no poseen el parche correspondiente, para obtener acceso total al sistema y copiarse en otras computadoras. También utiliza la vulnerabilidad LSASS, entre otras. Posee un componente troyano con acceso backdoor vía IRC, que permite a un intruso el control remoto de la computadora. Para ello intenta conectarse a un servidor de IRC, a través del puerto 6667. El troyano puede capturar todo lo tecleado por el usuario infectado, descargar archivos de Internet, etc. También intenta robar las llaves de CD y las contraseñas de conocidos juegos: Battlefield 1942 Battlefield 1942 (Road To Rome) Battlefield 1942 (Secret Weapons of WWII) Battlfield Vietnam Black and White Chrome Command and Conquer: Generals Command and Conquer: Red Alert Command and Conquer: Red Alert 2 Command and Conquer: Tiberian Sun Counter-Strike FIFA 2002 FIFA 2003 Freedom Force Global Operations Gunman Chronicles Half-Life Hidden & Dangerous 2 IGI 2: Covert Strike Industry Giant 2 James Bond 007: Nightfire Legends of Might and Magic Medal of Honor: Allied Assault Medal of Honor: Allied Assault: Breakthrough Medal of Honor: Allied Assault: Spearhead Nascar Racing 2002 Nascar Racing 2003 Need For Speed Hot Pursuit 2 Need For Speed: Underground Neverwinter Nights Neverwinter Nights (Hordes of the Underdark) Neverwinter Nights (Shadows of Undrentide) NHL 2002 NHL 2003 NOX Rainbow Six III RavenShield Shogun: Total War: Warlord Edition Soldier of Fortune II - Double Helix Soldiers Of Anarchy The Gladiators Unreal Tournament 2003 Unreal Tournament 2004 * Reparación manual IMPORTANTE: Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para las siguientes vulnerabilidades (si corresponden a su sistema operativo): Windows XP vulnerable al acceso no autorizado (MS01-059) http://www.vsantivirus.com/vulms01-059.htm Elevación de privilegios en las tareas de SQL Server (MS02- 061) http://www.vsantivirus.com/vulms-059-060-061.htm Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) http://www.vsantivirus.com/vulms03-007.htm Vulnerabilidad RPC/DCOM: MS03-026 http://www.vsantivirus.com/vulms03-026-027-028.htm MS03-043 Ejecución de código con el Mensajero (828035) http://www.vsantivirus.com/vulms03-043.htm MS03-049 Falla en servicio Estación de Trabajo (828749) http://www.vsantivirus.com/vulms03-049.htm MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de algunas de las vulnerabilidades). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\timesrv.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \OLE 3. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Time Server 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Time Server 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Time Server 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Instalar parche acumulativo de Outlook Express Para protegerse de las vulnerabilidades que explota este troyano, instale el último parche acumulativo de Outlook Express: MS04-018 Parche acumulativo para Outlook Express (823353) http://www.vsantivirus.com/vulms04-018.htm * Instalar parche acumulativo de Internet Explorer Para protegerse de las vulnerabilidades que explota este troyano, instale el último parche acumulativo de Internet Explorer: MS04-025 Actualización acumulativa para IE (867801) http://www.vsantivirus.com/vulms04-025.htm * Sobre RPC y DCOM RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows para permitir que un programa que se ejecuta en un equipo, pueda acceder a los servicios de otro equipo conectado en red. El fallo ocurre en el intercambio de mensajes entre procesos que se realiza sobre protocolos TCP/IP al utilizarse RPC, por un desbordamiento de búfer, y afectan la interfase DCOM con RPC, que controla las solicitudes de activación de objetos de DCOM que las máquinas clientes envían al servidor. DCOM (Distributed Component Object Model o Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse entre sí. Los objetos de programa de un cliente pueden solicitar los servicios de objetos de programas servidores, en otras computadoras dentro de una red. Solo es necesario que todos se estén ejecutando en Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP). Usando una interfase DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (Remote Procedure Call o RPC) a un objeto de otro programa especializado, que proporciona el procesamiento necesario y devuelve el resultado. DCOM emplea a su vez protocolos TCP/IP y HTTP, y está incluido en las versiones posteriores a Windows 98 y NT. DCOM escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445 y 593 de TCP. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1529 Año 8, lunes 13 de setiembre de 2004