| Asunto: | VSantivirus No. 1574 Año 8, jueves 28 de octubre de 2004 | | Fecha: | Jueves, 28 de Octubre, 2004 05:22:31 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1574 Año 8, jueves 28 de octubre de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Ejecución de código en RealPlayer/RealOne (DUNZIP32.DLL)
2 - W32/Bagz.F. Desactiva cortafuegos de Windows
3 - W32/Liber.I. Se propaga en un mensaje sobre terrorismo
_____________________________________________________________
1 - Ejecución de código en RealPlayer/RealOne (DUNZIP32.DLL)
_____________________________________________________________
http://www.vsantivirus.com/vul-real-dunzip-271004.htm
Ejecución de código en RealPlayer/RealOne (DUNZIP32.DLL)
Por Angela Ruiz
angela@videosoft.net.uy
Según informa Secunia, eEye Digital Security ha reportado una
vulnerabilidad en RealPlayer y RealOne, que puede ser
explotada por usuarios maliciosos para comprometer el sistema
afectado.
La vulnerabilidad es causada por un error de límites
(desbordamiento de búfer), en la librería de compresión
DUNZIP32.DLL, cuando se procesan los archivos con skins para
la interfase del reproductor.
DUNZIP32.DLL es utilizada por RealPlayer y otra variedad de
programas, incluido el propio Windows, que corrigió un fallo
similar en uno de sus boletines de octubre de 2004 (ver "MS04-
034 Vulnerabilidad en carpetas comprimidas (873376)",
http://www.vsantivirus.com/vulms04-034.htm).
En el caso de los productos de RealNetworks, un atacante
podría construir un archivo con skins (comprimido), de tal
forma que pudiera ejecutar código malicioso en el equipo del
usuario afectado, cuando éste intentara abrirlo con un
RealPlayer o un RealOne vulnerable.
La vulnerabilidad afecta a las siguientes versiones:
- RealPlayer 10.5 anterior al build 6.0.12.1056
- RealPlayer 10
- RealOne Player v2
- RealOne Player v1
Las versiones posteriores ya no son afectadas (RealNetworks
publicó estas versiones recientemente).
Para actualizarse, los usuarios deben seleccionar la opción
"Buscar actualizaciones" del menú Herramientas.
Más información (en español):
www.service.real.com/help/faq/security/041026_player/ES-XM/
* Créditos: eEye Digital Security
* Referencias:
RealNetworks, Inc. lanza una actualización de seguridad para
resolver puntos vulnerables.
www.service.real.com/help/faq/security/041026_player/ES-XM/
RealPlayer/RealOne "DUNZIP32.dll" Buffer Overflow
Vulnerability
http://secunia.com/advisories/12869/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Bagz.F. Desactiva cortafuegos de Windows
_____________________________________________________________
http://www.vsantivirus.com/bagz-f.htm
Nombre: W32/Bagz.F
Nombre Nod32: Win32/Bagz.F
Tipo: Gusano de Internet
Alias: W32.Bagz.F@mm, WORM_BAGZ.E, I-Worm.Bagz.f,
W32/Bagz.f@MM , W32/Bagz-E, W32/Bagz.gen@MM
Fecha: 27/oct/04
Plataforma: Windows 32-bit
Tamaño: 70,146 bytes
Gusano que intenta deshabilitar el cortafuegos de Windows XP.
Su presencia en un sistema infectado, resulta en una notoria
caída de rendimiento en la conexión a Internet.
Se propaga por correo electrónico en forma masiva, utilizando
su propio motor SMTP, a direcciones obtenidas en archivos de
la máquina infectada. Utiliza remitentes falsos.
Los mensajes tienen las siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- Administrator
- Allert!
- Amirecans
- ASAP
- Att
- attach
- attachments
- best regards
- contract
- Have a nice day
- Hello
- Hi
- Money
- office
- please responce
- re: Andrey
- re: order
- re: please
- Read this
- Russian's
- text
- toxic
- urgent
- Vasia
- waiting
- Warning
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
Hi
Did you get the previous document I attached
for you? I resent it in this email just in
case, because I really need you to check it out
asap.
Best Regards
Ejemplo 2:
Hi
I made a mistake and forgot to click attach
on the previous email I sent you. Please give
me your opinion on this opportunity when you
get a chance.
Best Regards
Ejemplo 3:
Hi
I was supposed to send you this document
yesterday. Sorry for the delay, please forward
this to your family if possible.
It contains important info for both of you.
Best Regards
Ejemplo 4:
Hi
Sorry, I forgot to send an important
document to you in that last email. I had an
important phone call. Please checkout attached
doc file when you have a moment.
Best Regards
Ejemplo 5:
Hi
I was in a rush and I forgot to attach an
important document. Please see attached doc
file.
Best Regards
Ejemplo 6:
Sorry to bother you, but I am having a problem
receiving your emails. I am responding to your
last email in the attached file.
Please get back to me if there is any problem
reading the attachment.
Ejemplo 7:
I am responding to your last email in the
attached file. I had a delivery problem with
your inbox, so maybe you'll receive this now.
Ejemplo 8:
Can you please check out the email I have
attached? For some reason, I received only part
of your last several emails.
I want to make sure that there are no problems
with either of our accounts.
This email is being sent as attachment because
it was previously blocked by your email
filters.
Please view the attachment and respond.
Thanks
Ejemplo 9:
I resent this email as attachment because
it was previously blocked by your email
filters.
Please read the attachment and respond.
Thanks
Ejemplo 10:
I apologize, but I need you to verify
that I have the correct contact info for you.
My system crashed last weekend and
I lost most of my friends and work contacts.
Please check the attached (.pdf) and
please let me know if your info is current.
Ejemplo 11:
My last email to you was returned.
The reason is that I am not currently
added to your "allowed" contact list.
Please add my updated contact info
provided in the attached (.pdf) file
so I can send you emails in the future.
Sincerely
Ejemplo 12:
I have updated my email address
See the (.pdf) file attached and
please respond if you have any questions.
Ejemplo 13:
We have made recent updates to our database.
Please verify your mailing address on file is
correct. We have attached a (.pdf) sheet for
you to use for your response.
Ejemplo 14:
Hello
Our contact information has changed.
See the attached (.pdf) sheet for details.
Sincerely,
Ejemplo 15:
***URGENT: SERVICE SHUTDOWN NOTICE***
Due to your failure to comply with our email
Rules and Regulations, your email account has
been temporarily suspended for 24 hours unless
we are contacted regarding this situation.
You must read the attached document for further
instructions. Failure to comply will result in
termination of your account.
Regards,
Net Operator
***URGENT: SERVICE SHUTDOWN NOTICE***
Ejemplo 16:
***ATTENTION: YOUR EMAIL IS NOT BEING
DELIVERED!***
You are currently unable to send emails.
This may be a billing issue.
Please call the billing center.
The # for the billing office is located in the
attached
contact list for your convenience.
***ATTENTION: YOUR EMAIL IS NOT BEING
DELIVERED!***
Ejemplo 17:
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Hello,
The previous email you sent has been recognized
as spam. This means your email was not
delivered to your friend or client.
You must open the attached file to receive more
information.
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Ejemplo 18:
Hello,
What version of windows you are using?
This last document I received from you came out
weird.
Please see the attached word file and resend
the file to me.
Many thanks,
User
Ejemplo 19:
Hello,
My PC crashed while I was sending that last
email.
I have re-attached the document of yours that I
discovered.
Please read attached document and respond ASAP.
Sincerely,
User
Ejemplo 20:
Hello,
Your email was sent in an INVALID format.
To verify this email was sent from you,
simply open the attached email (.eml) file
and click yes in the sender options box.
Thank You,
User
Ejemplo 21:
Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for
instructions.
Regards,
User
Ejemplo 22:
Hello,
I was in a hurry and I forgot to attach an
important document. Please see attached.
Best Regards,
User
Ejemplo 23:
Hello,
I resent this email as attachment because
it was previously blocked by your email
filters.
Please read the attachment and respond.
Thanks,User
Ejemplo 24:
Hello,
Sorry, I forgot to attach the new contact
information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User
Datos adjuntos: [uno de los siguientes]
about.doc [espacios] .exe
about.zip
admin.doc [espacios] .exe
admin.zip
archivator.doc [espacios] .exe
archivator.zip
archives.doc [espacios] .exe
archives.zip
ataches.doc [espacios] .exe
ataches.zip
backup.doc [espacios] .exe
backup.zip
docs.doc [espacios] .exe
docs.zip
documentation.doc [espacios] .exe
documentation.zip
help.doc [espacios] .exe
help.zip
inbox.doc [espacios] .exe
inbox.zip
manual.doc [espacios] .exe
manual.zip
outbox.doc [espacios] .exe
outbox.zip
payment.doc [espacios] .exe
payment.zip
photos.doc [espacios] .exe
photos.zip
rar.doc [espacios] .exe
rar.zip
readme.doc [espacios] .exe
readme.zip
save.doc [espacios] .exe
save.zip
sqlssl.doc [espacios] .exe
zip.doc [espacios] .exe
zip.zip
Los archivos ZIP contienen una copia del gusano con una o dos
extensiones separadas por espacios (JPG y PIF).
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system32\sqlssl.doc [espacios] .exe
c:\windows\system32\sysinfo32.exe
c:\windows\system32\trace32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP
y Windows Server 2003, como "c:\winnt\system32" en Windows NT
y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano crea la siguiente entrada en el registro:
HKLM\SYSTEM\CurrentControlSet\Services\ALEXORA
Esto genera un servicio llamado"Windows Secure SSL" ejecutando
TRACE32.EXE.
Deshabilita el cortafuegos de Windows XP, e instala su propio
driver de redes para eludir el cortafuegos de la red local.
También puede descargar y ejecutar otros archivos desde
Internet.
Busca direcciones electrónicas a las que luego se envía en
mensajes como los descriptos antes, en archivos del equipo
infectado con las siguientes extensiones:
.dbx
.htm
.tbb
.tbi
.txt
El gusano evita enviarse a direcciones con las siguientes
cadenas en sus nombres:
@avp
@foo
@iana
@messagelab
@microsoft
abuse
admin
administrator@
all@
anyone@
bsd
bugs@
cafee
certific
certs@
contact@
contract@
feste
free-av
f-secur
gold-
gold-certs@
google
help@
hostmaster@
icrosoft
info@
kasp
linux
listserv
local
netadmin@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
support@
unix
update
webmaster@
winrar
winzip
También modifica el archivo HOSTS de Windows, para impedir que
el usuario infectado pueda acceder a los siguientes sitios de
Internet:
ad .doubleclick .net
ad .fastclick .net
ads .fastclick .net
ar .atwola .com
atdmt .com
avp .com
avp .ch
avp .ru
awaps .net
banner .fastclick .net
banners .fastclick .net
ca .com
click .atdmt .com
clicks .atdmt .com
dispatch .mcafee .com
download .mcafee .com
download .microsoft .com
downloads .microsoft .com
engine .awaps .net
fastclick .net
f-secure .com
ftp .f-secure .com
ftp .sophos .com
go .microsoft .com
liveupdate .symantec .com
mast .mcafee .com
mcafee .com
media .fastclick .net
msdn .microsoft .com
my-etrust .com
nai .com
networkassociates .com
office .microsoft .com
phx .corporate-ir .net
secure .nai .com
securityresponse .symantec .com
service1 .symantec .com
sophos .com
spd .atdmt .com
support .microsoft .com
symantec .com
update .symantec .com
updates .symantec .com
us .mcafee .com
vil .nai .com
viruslist .ru
windowsupdate .microsoft .com
www .avp .com
www .avp .ch
www .avp .ru
www .awaps .net
www .ca .com
www .fastclick .net
www .f-secure .com
www .kaspersky .ru
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .ru
www3 .ca .com
También elimina procesos y entradas en el registro, de
múltiples aplicaciones de seguridad, relacionadas con los
siguientes archivos:
804mbd1.chk
804mbd1.img
aboutplg.dll
alert.zap
appinit.ini
apwcmdnt.dll
apwutil.dll
ashavast.exe
ashbug.exe
ashchest.exe
ashdisp.exe
ashldres.dll
ashlogv.exe
ashmaisv.exe
ashpopwz.exe
ashquick.exe
ashserv.exe
ashsimpl.exe
ashskpcc.exe
ashskpck.exe
aswboot.exe
aswregsvr.exe
aswupdsv.exe
avcompbr.dll
avres.dll
bootwarn.exe
camupd.dll
ccavmail.dll
ccimscan.dll
ccimscn.exe
cerbprovider.pvx
cfgwiz.exe
cfgwzres.dll
defalert.dll
djsalert.dll
dunzip32.dll
edisk.dll
email.zap
emscnres.dll
filter.zap
firewall.zap
framewrk.dll
ftscnres.dll
idlock.zap
imscnbin.inf
imscnres.inf
ltchkres.dll
mcappins.exe
mcavtsub.dll
mcinfo.exe
mcmnhdlr.exe
mcscan32.dll
mcshield.dll
mcshield.exe
mcurial.dll
mcvsctl.dll
mcvsescn.exe
mcvsftsn.exe
mcvsmap.exe
mcvsrte.exe
mcvsscrp.dll
mcvsshl.dll
mcvsshld.exe
mcvsskt.dll
mcvsworm.dll
mghtml.exe
mpfagent.exe
mpfconsole.exe
mpfservice.exe
mpftray.exe
mpfui.dll
mpfupdchk.dll
mpfwizard.exe
mvtx.exe
n32call.dll
n32exclu.dll
naiann.dll
naievent.dll
navap32.dll
navapscr.dll
navapsvc.exe
navapw32.dll
navapw32.exe
navcfgwz.dll
navcomui.dll
naverror.dll
navevent.dll
navlcom.dll
navlnch.dll
navlogv.dll
navlucbk.dll
navntutl.dll
navoptrf.dll
navopts.dll
navprod.dll
navshext.dll
navstats.dll
navstub.exe
navtasks.dll
navtskwz.dll
navui.dll
navui.nsi
navuihtm.dll
navw32.exe
navwnt.exe
netbrext.dll
ntclient.dll
oeheur.dll
officeav.dll
opscan.exe
outscan.dll
outscres.dll
patch25d.dll
patchw32.dll
persfw.exe
pfwadmin.exe
probegse.dll
programs.zap
ptchinst.dll
qconres.dll
qconsole.exe
qspak32.dll
quar32.dll
quarantine
quaropts.dat
s32integ.dll
s32navo.dll
savrt.sys
savrt32.dll
savrtpel.sys
savscan.exe
scan.dat
scandlvr.dll
scandres.dll
scanmgr.dll
scanserv.dll
scriptui.dll
scrpres.dll
scrpsbin.inf
scrstres.inf
sched.exe
sdpck32i.dll
sdsnd32i.dll
sdsok32i.dll
sdstp32i.dll
security.zap
shextbin.inf
shextres.inf
shlres.dll
ssleay32.dll
statushp.dll
symnavo.dll
tutorwiz.dll
vsagntui.dll
vsavpro.dll
vsdb.dll
vsmon.exe
vsoui.dll
vsoupd.dll
vsowow.dll
vsruledb.dll
vsvault.dll
wormres.dll
zatutor.exe
zauninst.exe
zav.zap
zl_priv.htm
zlclient.exe
zlparser.dll
zonealarm.exe
* Reparación manual
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecutar Administrador de tareas.
a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización
de la herramienta "Process Explorer")
b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la
lengüeta "Procesos"
3. En la lista de programas (nombre de imagen) localice el
siguiente proceso:
Trace32.exe
4. Seleccione ese nombre y haga clic en "Terminar proceso" o
"Finalizar tarea".
5. Para asegurarse de haberlo quitado, vuelva a ejecutar los
pasos 2, 3 y 4 si fuera necesario.
* Utilización de la herramienta "Process Explorer"
Para completar exitosamente el proceso de eliminación, es
necesario detener la ejecución del virus en memoria. Puede
usarse el administrador de tareas de Windows como se indicó
antes, pero en Windows 95, 98 y Me, no todas las tareas en
ejecución son visibles. Por ello se sugiere la herramienta de
uso gratuito "Process Explorer" (100 Kb), que puede ser
descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta,
copie allí el contenido del archivo .ZIP descargado y ejecute
el archivo PROCEXP.EXE.
Para la finalización de los procesos indicados, localice y
"mate" (Kill Process), cada proceso cuyo nombre se menciona en
los pasos anteriores (ver "Eliminación de procesos del virus
en memoria"), buscándolo bajo la columna "Process" de la
ventana superior de la utilidad "Process Explorer".
* Buscar y detener el servicio (Windows XP):
1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter.
2. En la lista de servicios busque "Windows Secure SSL".
3. Haga doble clic sobre ese servicio, y haga clic en el botón
"Detener" si corresponde.
4. Cambie el "Tipo de inicio" a Manual.
5. Haga clic en "Aceptar" y cierre la ventana de Servicios.
* Antivirus
1. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
2. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\sqlssl.doc [espacios] .exe
c:\windows\system32\sysinfo32.exe
c:\windows\system32\trace32.exe
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\ALEXORA
3. Pinche en la carpeta "ALEXORA" y bórrela.
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
* Información adicional
* Activar el cortafuegos de Windows XP y la conexión
compartida de Windows 2000
* En Windows XP SP2
1. Abra el Panel de Control, haga doble clic en el icono
"Centro de Seguridad"
2. Active el cortafuego de Windows (si este se encuentra
desactivado).
3. Cierra la ventana del cortafuego, cierre el Centro de
Seguridad, por ultimo cierre el panel de control.
* En Windows 2000 o Windows XP SP1
1. Haga clic en el botón Inicio, Ejecutar e ingrese lo
siguiente:
services.msc
2. Presione el botón Aceptar.
* En Windows 2000 en la columna nombre localice el servicio
"Conexión compartida a Internet (ICS)" y haga doble clic en
el.
* En Windows XP en la columna nombre localice el servicio
"Conexión de seguridad a Internet (ICF) / Conexión compartida
a Internet (ICS)" y haga doble clic en el.
3. En la opción "Tipo de inicio" seleccione en el menú
desplegable "Automático".
4. Bajo la opción "Estado del servicio" presione el botón
"Iniciar".
5. Haga clic en el botón "Aceptar".
6. Reinicie el equipo.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Liber.I. Se propaga en un mensaje sobre terrorismo
_____________________________________________________________
http://www.vsantivirus.com/liber-i.htm
Nombre: W32/Liber.I
Nombre Nod32: Win32/Liber.I
Tipo: Gusano de Internet
Alias: Liber.I, Win32/Liber.I, W32/Famus.C.worm, W32/RED.J
Fecha: 27/oct/04
Plataforma: Windows 32-bit
Tamaño: 155,647 bytes
Este gusano, escrito en Visual Basic y de origen cubano, fue
detectado el 27 de octubre de 2004.
El gusano utiliza la librería MSVBVM60.DLL de Windows (Visual
Basic Virtual Machine), de modo que puede fallar en aquellos
sistemas que no la tengan. La misma es instalada por otras
aplicaciones como Office por ejemplo.
Cuando el gusano está activo en memoria, el rendimiento
general de la computadora infectada puede caer sensiblemente.
Al ejecutarse, el gusano muestra una ventana de error falsa,
con el siguiente texto:
File corrupted
File corrupted or bad format
[ Aceptar ]
Inmediatamente después crea los siguientes archivos en el
sistema:
c:\windows\system\video.scr
c:\windows\system\SMTP.ocx
\TEMP\attck0234.pif
\TEMP\microsoft office.pif
\TEMP\Svhost.pif
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP
y Windows Server 2003, como "c:\winnt\system32" en Windows NT
y 2000 y "c:\windows\system" en Windows 9x y ME). La carpeta
TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o
"c:\documents and settings\[usuario]\local settings\temp", de
acuerdo al sistema operativo.
Para autoejecutarse en cada reinicio, el gusano crea las
siguientes entradas:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NortonUtility = c:\recycled\NortonRecycled.pif
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sav32 = c:\recycled\video.scr
Nota: El archivo "NortonRecycled.pif" puede no ser creado.
Si la carpeta C:\RECYCLED no existe en la computadora
infectada, el gusano no la crea. Cómo en Windows XP, por
defecto esta carpeta (la papelera de reciclaje), no existe con
ese nombre, el gusano no se ejecutará luego del primer
reinicio (aunque si realizará el resto de sus acciones).
Cuando la computadora se reinicia (no en XP), y la fecha
actual se encuentra entre los días 17 y 21 de cualquier mes,
el gusano vuelve a mostrar el mensaje de error anterior.
La única opción posible para continuar, es pulsar el botón
aceptar o cerrar la ventana con el aspa de cierre. En
cualquiera de los dos casos, en ese momento se mostrará una
pantalla negra que ocupa todo el espacio del monitor, con el
siguiente texto en letras blancas:
Esta computadora ha sido infectada
por el virus LIBERTAD.
Como protesta por la violación del
derecho a la libertad de expresión en
Cuba.
En estos momentos toda la información de
su
disco duro esta siendo borrada
El Hobbit
A pesar de lo que indica el mensaje, el gusano no borra ningún
archivo. La pantalla negra generada solo oculta el escritorio
de Windows. Un usuario puede detener el proceso del gusano, si
pulsa en ese momento CTRL+ALT+DEL y selecciona en la lista de
procesos (Windows 2000, XP, etc.) la imagen VIDEO.SCR (y/o
NORTONRECYCLED.PIF si existe).
El gusano puede propagarse en un mensaje como el siguiente (o
ser enviado en forma de spam con otro mensaje):
Asunto: Més terrorismo este año \ More terrorism this year
Texto del mensaje:
Password: "cnn"
Ultimas declaraciones de Bin Laden
Reenvme este video a todo el mundo.
======================================================
Password: "cnn"
Last speech from Bin Laden
Please forwards this video to everybody.
Datos adjuntos: videos.zip
El adjunto está protegido por contraseña, la cuál se indica en
el texto del mensaje.
Las direcciones a las que se envía, son tomadas de archivos de
la máquina infectada, con las siguientes extensiones:
.dbx
.doc
.doc
.eml
.htm
.htt
.wab
El gusano intenta enviar información de la computadora
infectada al autor del gusano.
En el código, se encuentran también las siguientes direcciones
y textos:
hobbit @ cubalibre .com
internetprovider .com
MICROSOFT
SEGURMATICA
NORTON
VIR
KASPER
LOCALHOST
DAEMON
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\video.scr
c:\windows\system\SMTP.ocx
\TEMP\attck0234.pif
\TEMP\microsoft office.pif
\TEMP\Svhost.pif
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
NortonUtility
Sav32
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones son diarias
(AVP, Panda y otros) o al menos semanales. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes. Asegurarse
con esa persona del envío ("Melissa" y otros pueden ser
enviados por conocidos que ignoran estar mandando el virus en
sus mensajes), y nunca ejecutarlos, sino guardarlos en una
carpeta temporal y pasarle a esa carpeta dos o tres antivirus
actualizados antes de tomar la opción de ejecutarlos (.EXE) o
abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda,
simplemente se debe optar por borrar el mensaje (y archivos
adjuntos). Como se dice vulgarmente, "la confianza mata al
hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1574 Año 8, jueves 28 de octubre de 2004
|
VSantivirus No. 15
Responder a este mensaje
