Mostrando mensaje 576     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1527 Año 8, sábado 11 de setiembre de 2004 Fecha: Sabado, 11 de Septiembre, 2004  00:40:34 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1527 Año 8, sábado 11 de setiembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Graves agujeros de seguridad en Linux (Imlib y LHA) 2 - Los autores del Mydoom piden trabajo 3 - OpenOffice revela archivos de usuarios locales 4 - W32/Mydoom.Y. Descarga y ejecuta otros archivos 5 - W32/Gaobot.NNT. Se copia como "fsdqd.exe" _____________________________________________________________ 1 - Graves agujeros de seguridad en Linux (Imlib y LHA) _____________________________________________________________ http://www.vsantivirus.com/vul-linux-100904.htm Graves agujeros de seguridad en Linux (Imlib y LHA) Por Angela Ruiz angela@videosoft.net.uy Severos agujeros en dos componentes de Linux, pueden permitir que un atacante llegue a tomar el control del sistema comprometiendo gravemente su seguridad, con solo engañar a un usuario para que visualice una imagen o abra un archivo. Imlib, una librería usada por aplicaciones capaces de visualizar gráficos que utiliza Gnome (el entorno gráfico de escritorio para sistemas operativos de tipo Unix), contiene un error que permite la ejecución de código malicioso cuando un usuario visualiza una imagen especialmente modificada del tipo mapa de bits (bitmap). La vulnerabilidad se debe a un error de límites en la decodificación de este formato de imágenes, que provoca un desbordamiento de búfer, de acuerdo a un alerta publicado por la empresa de seguridad Secunia. El problema afecta a las versiones Imlib 1.x e Imlib2 1.x. Gentoo, Mandrake y otros vendedores de Linux, han comenzado a distribuir parches para este fallo. El mismo también está disponible en el sitio del proyecto Gnome. El problema se relaciona con un fallo en la decodificación BMP, anunciado hace un mes en la herramienta Qt, utilizada por programadores para crear interfases gráficas de usuario con el sistema X Window en Unix y Linux. Por otra parte, el vendedor de Linux, Red Hat, advirtió de tres agujeros de seguridad en LHA, la utilidad para comprimir y descomprimir archivos con formato LHArc. Los fallos afectan todas las versiones hasta la 1.14 inclusive. Dos de ellos pueden permitir la ejecución de código malicioso si el usuario es engañado para extraer o probar un archivo comprimido especialmente modificado, o a través de la ejecución de una línea de comandos con determinadas características. El tercer fallo en LHA, puede permitir a un atacante crear un directorio mediante comandos con meta caracteres del shell (interfase de comandos), que podría ser usado para la ejecución arbitraria de otros comandos. Hay parches disponibles para Red Hat, Gentoo y otros. * Relacionados: imlib/imlib2 BMP Image Decoding Buffer Overflow Vulnerability http://secunia.com/advisories/12429/ Bug 151034: buffer overflow in bmp handling http://bugzilla.gnome.org/show_bug.cgi?id=151034 Gentoo http://www.gentoo.org/security/en/glsa/glsa-200409-12.xml Mandrakesoft Security Advisories http://www.mandrakesoft.com/security/advisories?name=MDKSA- 2004:089 qt 3.3.2 BMP parser heap overflow error http://scary.beasts.org/security/CESA-2004-004.txt LHA Multiple Vulnerabilities http://secunia.com/advisories/12435/ An updated lha package fixes security vulnerability http://rhn.redhat.com/errata/RHSA-2004-323.html Gentoo http://www.gentoo.org/security/en/glsa/glsa-200409-13.xml (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Los autores del Mydoom piden trabajo _____________________________________________________________ http://www.vsantivirus.com/11-09-04.htm Los autores del Mydoom piden trabajo Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Como variantes anteriores, las cuatro nuevas versiones del Mydoom, detectadas todas este fin de semana (Mydoom.V, W, X e Y) se propagan por correo electrónico, en un adjunto cuya apertura por parte del usuario tiene como resultado la activación del gusano y una tentativa de descargar un caballo de Troya de acceso remoto llamado Surila, en las máquinas infectadas. Escondido dentro del código de estas versiones del Mydoom, existe un mensaje que literalmente expresa un pedido de sus programadores para trabajar en la industria de los antivirus: "We searching 4 work in AV industry" (Estamos buscando trabajo en la industria antivirus). No se indica ninguna clase de dirección de contacto, ni se agrega otra información al respecto en el curioso aviso. Por otra parte, ninguna de estas variantes se han propagado demasiado, desde su aparición en la red, el pasado jueves 9 de setiembre. Antivirus como Nod32 lo han detectado desde el primer momento con su capacidad de monitorización heurística, aún antes de haber actualizado su base de datos. El comentario de la mayoría de los fabricantes de antivirus, al respecto de esta "solicitud de trabajo", ha sido tajante, jamás emplearían a nadie que haya escrito y liberado un virus. Aunque este tipo de mensajes es raro, no es la primera vez que los escritores de virus apelan a esconder un mensaje en sus creaciones solicitando un empleo. Michael Buen incluyó su Curriculum Vitae (CV), en el código del virus de macros que había creado, llamado W97M/Michael. Pero ni el virus ni el CV de Michael, se propagaron demasiado. * Más información: W32/Mydoom.V. Descarga y ejecuta otros archivos http://www.vsantivirus.com/mydoom-v.htm W32/Mydoom.W. Descarga y ejecuta otros archivos http://www.vsantivirus.com/mydoom-w.htm W32/Mydoom.X. Descarga y ejecuta otros archivos http://www.vsantivirus.com/mydoom-x.htm W32/Mydoom.Y. Descarga y ejecuta otros archivos http://www.vsantivirus.com/mydoom-y.htm Troj/Surila.NAA. Troyano de acceso remoto http://www.vsantivirus.com/troj-surila-naa.htm W97M/Michael. Curriculum interactivo y cambios en el teclado http://www.vsantivirus.com/michael.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - OpenOffice revela archivos de otros usuarios _____________________________________________________________ http://www.vsantivirus.com/vul-openoffice-110904.htm OpenOffice revela archivos de otros usuarios Por Angela Ruiz angela@videosoft.net.uy Una vulnerabilidad ha sido reportada en OpenOffice, la conocida suite de oficina de uso libre, que permite que un usuario local pueda acceder a documentos que pertenecen a otros usuarios. El problema también afecta a StarOffice, la versión de pago. OpenOffice y StarOffice, incluyen procesador de textos, hoja de cálculo, bases de datos, edición HTML, presentaciones, creación y tratamiento de gráficos, etc. La vulnerabilidad detectada, está relacionada con el uso que estas aplicaciones hacen de los archivos temporales. Al iniciarse el programa, se crea un directorio temporal con permisos de lectura del tipo "/TMP/SV???.TMP", donde "???" son tres caracteres al azar. Al grabarse un archivo o documento creado o editado por el programa, una versión comprimida en formato ZIP es almacenada en dicho directorio. Al tener esa carpeta los permisos de lectura habilitados para todos los usuarios, cualquiera de ellos puede acceder a la misma, y obtener así esos archivos, aún cuando no sean documentos creados por él. Existe una actualización del producto que soluciona este problema. Sun también ha publicado la solución para StarOffice. El fallo afecta solo a usuarios de las versiones para Linux y Unix. * Relacionados: (Sun Issues Fix for StarOffice) OpenOffice World-Readable Temporary Files Disclose Files to Local Users http://www.securitytracker.com/alerts/2004/Sep/1011206.html OpenOffice Issue 33357 http://www.openoffice.org/issues/show_bug.cgi?id=33357 Patch ID 117073-03 StarOffice/StarSuite 7_x86 (Solaris): Product patch update http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=117073-03&method=h Patch ID 116519-05 StarOffice/StarSuite 7 (Solaris): Product patch update http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116519-05&method=h Patch ID 116518-05 StarOffice/StarSuite 7 (Linux): Product update patch http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116518-05&method=h (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Mydoom.Y. Descarga y ejecuta otros archivos _____________________________________________________________ http://www.vsantivirus.com/mydoom-y.htm Nombre: W32/Mydoom.Y Nombre Nod32: Win32/Mydoom.Y Tipo: Gusano de Internet y caballo de Troya Alias: Mydoom.Y, I-Worm.Mydoom.p, I-Worm.Mydoom.v, Mydoom.X, W32.Mydoom.gen@mm, W32/Mydoom.r@MM, W32/Mydoom.X.worm, W32/Mydoom.X@mm, Win32.Mydoom.X, Win32/Mydoom.Variant.Worm Fecha: 10/set/04 Plataforma: Windows 32-bit Tamaño: 18,432 (UPX) Variante del Mydoom detectada el 10 de setiembre de 2004. Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]: Donde [Usuario] es creado con los siguientes nombres y apellidos: Nombres: Alex Alexander Andrew Anthony Barry Bernard Bill Brian Calvin Carl Charles Christopher Clifford Daniel David Dennis Donald Douglas Edward Eric Francisco Frank Gary George Gregory Harold Henry James Jason Jay Jeffrey Jerry Jim John Jon Jose Joseph Joshua Kenneth Kevin Larry Leon Leroy Lloyd Marcus Mario Mark Matthew Michael Micheal Miguel Oscar Patrick Paul Peter Randall Raymond Richard Ricky Robert Ronald Ronnie Scott Stephen Steven Theodore Thomas Timothy Tom Tommy Troy Walter William Apellidos: Adams Allen Anderson Baker Brown Campbell Carter Clark Cruz Davis Freeman Garcia Gomez Gonzalez Green Hall Harris Hernandez Hill Jackson Johnson Jones King Lee Lewis Lopez Marshall Martin Martinez Miller Mitchell Moore Murray Nelson Ortiz Parker Perez Phillips Porter Roberts Robinson Rodriguez Scott Simpson Smith Stevens Taylor Thomas Thompson Tucker Turner Walker Webb Wells White Williams Wilson Wright Young [Dominio] es el dominio del destinatario, o uno de los siguientes: @ aol .com @ cox .net @ dailymail .co .uk @ gmx .net @ hotmail .com @ mail .com @ msn .com @ t-online .de @ yahoo .co .uk @ yahoo .com El asunto del mensaje puede ser alguno de los siguientes: - FW: (no subject) - FW: 2 new photos - FW: hello sweety :> - FW: hi - FW: hi, it's me - FW: it's me - FW: jenna's photos :) - FW: my photos - FW: new photos - FW: remember me?.. - FW: that's me :-D El texto del mensaje puede ser alguno de los siguientes: -----Original Message----- From: Jeny K. Sent: Tuesday, September 7, 2004 8:57 PM To: Morpheus check my new photos :)) miss you, jeny k -----Original Message----- From: Jena K. Sent: Tuesday, September 7, 2004 5:23 AM To: friends Check Out Archive.. So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key -----Original Message----- From: jenny k. Sent: Tuesday, September 7, 2004 10:23 AM To: My Tiger (e-mail) new fotos(archived) you asked jenny k -----Original Message----- From: jenna k. (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: Cat my new fotos archived )) kiss, jenna k -----Original Message----- From: Jeny Sent: Tuesday, September 7, 2004 8:57 PM To: Neo see the photos in attached archive :)) kiss you, jeny -----Original Message----- From: Jena Sent: Tuesday, September 7, 2004 5:23 AM To: friend Photos in archive.. So.. Am I Hot? :) Waining For Your Answer Jena -----Original Message----- From: Jenna Knukles Sent: Tuesday, September 7, 2004 9:05 AM To: Friends Group in self-extracting archive my photos Jenna :) -----Original Message----- From: jenna (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: ma kittie my photos archived )) kiss, jenna -----Original Message----- From: Jeny K. Sent: Tuesday, September 7, 2004 8:57 PM To: Morpheus check out the new photos :)) miss you, jeny k -----Original Message----- From: Jena K. Sent: Tuesday, September 7, 2004 5:23 AM To: friends So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key -----Original Message----- From: Jenna Knukles Sent: Tuesday, September 7, 2004 9:05 AM in archive my new fotos Jenna K :) -----Original Message----- From: jenny k. Sent: Tuesday, September 7, 2004 10:23 AM To: My Tiger (e-mail) new fotos you asked jenny k -----Original Message----- From: jenna k. (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: Cat my new fotos zipped )) kiss, jenna k -----Original Message----- From: Jeny Sent: Tuesday, September 7, 2004 8:57 PM To: Neo see the photos :)) kiss you, jeny -----Original Message----- From: Jena Sent: Tuesday, September 7, 2004 5:23 AM To: friend So.. Am I Hot? :) Waining For Your Answer Jena -----Original Message----- From: Jenna Knukles Sent: Tuesday, September 7, 2004 9:05 AM To: Friends Group in archive my photos Jenna :) -----Original Message----- From: jenny Sent: Tuesday, September 7, 2004 10:23 AM To: Mr.X (e-mail) photos you asked jenny -----Original Message----- From: jenna (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: ma kittie my photos zipped )) kiss, jenna Al texto del mensaje puede agregar al final, el siguiente reporte falso: +++ Attachment: No Virus found +++ [nombre antivirus] Donde [nombre antivirus] es uno de los siguientes: Bitdefender AntiVirus - www .bitdefender .com F-Secure AntiVirus - www .f-secure .com Kaspersky AntiVirus - www .kaspersky .com MC-Afee AntiVirus - www .mcafee .com MessageLabs AntiVirus - www .messagelabs .com Norman AntiVirus - www .norman .com Norton AntiVirus - www .symantec .de Panda AntiVirus - www .pandasoftware .com El archivo adjunto, puede tener alguno de los siguientes nombres: 2004042301.jpg .pif arc.exe.safe foto.exe fotos.exe fotos.zip images.zip julia038.jpg .pif marie_dancing.jpg .pif me_01.jpg .pif my_foto.exe my_photos.exe my_photos.zip myfoto.exe myfoto.exe.safe myphotos.zip myphotos_arc.exe new_photos.exe new_photos.zip newphotos.exe nude_.jpg .pif photo_se.exe photo08.jpg .pif photoarchive.exe photofile.exe.safe photos.exe.safe photos.selfextracting.exe.safe photos.zip photos_arc.exe sunny.jpg .pif with_flowers.jpg .pif Si el adjunto es un ZIP, el contenido puede tener uno de los nombres anteriores con dos extensiones. Cuando se ejecuta, crea los siguientes archivos en el sistema infectado: c:\windows\system\win32s.exe c:\windows\system\kill.bat NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). También se copia en la carpeta de inicio del usuario actual, con el siguiente nombre: [carpeta de inicio]\autorun.exe Nota: [carpeta de inicio] es una de las siguientes: * Windows XP, 2000 (español e inglés) c:\documents and settings \[nombre usuario]\menú inicio\programas\inicio c:\documents and settings \[nombre usuario]\start menu\programs\startup * Windows 95, 98, Me (español e inglés) c:\windows\menú inicio\programas\inicio c:\windows\start menu\programs\startup c:\windows\profiles\[nombre usuario] \menú inicio\programas\inicio c:\windows\profiles\[nombre usuario] \start menu\programs\startup Para autoejecutarse en cada reinicio, modifica las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Win32System = c:\windows\system\win32s.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Win32System = c:\windows\system\win32s.exe El gusano también crea la siguiente entrada del registro: HKCU\Software\Microsoft\Internet Explorer\ShushaGung Al iniciarse, crea el siguiente mutex para no cargarse más de una vez en memoria: LLLf54fxrDLLL El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas: .gov .mil @foo. @iana abuse accoun acketst admin antivi anyone arin. avp. berkeley borlan bsd certific contact example feste fido fsf. gnu gold-certs google google gov. help iana ibm.com icq.com icrosof icrosoft icrosoft ietf info inpris isc.o isi.e kasp kernel linux linux linux listserv math messagelabs mit.e mozilla mydomai news nobody nodomai noone noreply nothing ntivi panda pgp postmaster privacy rating rating rfc-ed ripe. root root ruslis samples secur sendmail service site somebody someone sopho spam submit support support support syman tanford.e unix unix unix upport usenet utgers.ed webmaster www Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones: .asp .cfg .cgi .dbx .dht .eml .htm .jsp .mbx .mht .msg .php .sht .stm .tbb .txt .uin .wab .xls También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas. El gusano descarga y ejecuta otros archivos, de los siguientes dominios: 64 .40 .98 .94 69 .93 .58 .116 www .il-legno .it www .masteratwork .com www .mercyships .de www .professionals-active .com El archivo descargado al momento actual es el troyano Surila.NAA: Troj/Surila.NAA. Troyano de acceso remoto http://www.vsantivirus.com/troj-surila-naa.htm El gusano deja de funcionar y se borra a si mismo el 17 de setiembre de 2004, después de las 01:18:31, hora local. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \ShushaGung 3. Pinche en la entrada "ShushaGung" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Win32System 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Win32System 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Gaobot.NNT. Se copia como "fsdqd.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-nnt.htm Nombre: W32/Gaobot.NNT Nombre Nod32: Win32/Agobot.NNT Tipo: Gusano de Internet y caballo de Troya Alias: Gaobot.NNT, Agobot.NNT, Win32/Agobot.NNT, W32.Gaobot.BIQ, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen Fecha: 9/set/04 Plataforma: Windows NT, 2000 y XP Puertos: TCP/135, TCP/445, TCP/80, TCP/65475 Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades. Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC. Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora. Se copia en el sistema infectado con el siguiente nombre: c:\windows\system32\fsdqd.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Agrega las siguientes entradas en el registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run dasxdads = "fsdqd.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices dasxdads = "fsdqd.exe" El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos. Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles: - Ejecutar comandos en forma remota - Eliminar procesos seleccionados - Examinar el tráfico HTTP, FTP, e IRC (sniffer) - Finalizar servicios de Windows - Listar los procesos activos - Obtener archivos a través de FTP y HTTP - Obtener direcciones de correo de la computadora infectada - Obtener información del registro - Obtener un determinado URL - Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP) - Reiniciar la computadora - Robar contraseñas * Reparación manual * IMPORTANTE: Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces: Windows XP vulnerable al acceso no autorizado (MS01-059) http://www.vsantivirus.com/vulms01-059.htm Elevación de privilegios en las tareas de SQL Server http://www.vsantivirus.com/vulms-059-060-061.htm MS03-001 Vulnerabilidad en el Servicio Localizador http://www.vsantivirus.com/vulms03-001-002-003.htm#1 Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) http://www.vsantivirus.com/vulms03-007.htm MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm MS03-043 Ejecución de código con el Mensajero (828035) http://www.vsantivirus.com/vulms03-043.htm MS03-049 Falla en servicio Estación de Trabajo (828749) http://www.vsantivirus.com/vulms03-049.htm MS04-011 Actualización crítica (LSASS) (835732) http://www.vsantivirus.com/vulms04-011.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad RPC/DCOM). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a * Cortafuegos Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: dasxdads 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: dasxdads 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\fsdqd.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y haga clic en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Haga clic en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1527 Año 8, sábado 11 de setiembre de 2004