Mostrando mensaje 639     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1590 Año 8, sábado 13 de noviembre de 2004 Fecha: Sabado, 13 de Noviembre, 2004  06:40:22 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1590 Año 8, sábado 13 de noviembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - W32/Bofra.H. Se vale de la vulnerabilidad en IFRAME 2 - W32/Cran.A. Usa vulnerabilidad en LSASS (MS04-011) _____________________________________________________________ 1 - W32/Bofra.H. Se vale de la vulnerabilidad en IFRAME _____________________________________________________________ http://www.vsantivirus.com/bofra-h.htm Nombre: W32/Bofra.H Nombre Nod32: Win32/Bofra.H Tipo: Gusano de Internet Alias: Bofra.H, Win32/Bofra.H, W32/Bofra-G, W32.Bofra.E, W32.Bofra.E@mm, I-Worm.Bofra.gen, W32/Mydoom.gen@MM Fecha: 12/nov/04 Plataforma: Windows 32-bit Tamaño: 20 Kb Puertos: TCP 1639, TCP 1640, TCP 6667 Basado en el código del Mydoom, este gusano posee características propias debido a lo cuál, la mayoría de los antivirus lo clasifican dentro de una nueva familia de gusanos denominada Bofra. Esta variante ha sido detectada el 12 de noviembre de 2004. Se vale de una vulnerabilidad recientemente descubierta en el Internet Explorer y que se describe en el siguiente artículo: Desbordamiento de búfer con etiqueta IFRAME en IE http://www.vsantivirus.com/vul-ie-iframe-031104.htm El gusano se propaga por medio de mensajes de correo electrónico, enviados a direcciones obtenidas en archivos del sistema infectado. El mensaje no posee adjunto alguno. El enlace incluido en su texto, apunta al sistema infectado. Haciendo clic en dicho enlace, se accede a un servidor Web que se está ejecutando en el sistema comprometido (la computadora que envió el mensaje). Dicho servidor ofrece un documento HTML conteniendo el código en JavaScript para provocar un desbordamiento de búfer, debido a un error de límites en el manejo de ciertos atributos de las etiquetas FRAME e IFRAME por parte del Internet Explorer. Este desbordamiento de búfer provoca la ejecución del gusano. Los mensajes enviados poseen las siguientes características: De: [usuario]@[dominio] Donde [usuario] puede ser alguno de los siguientes nombres: adam alex alice andrew anna bill bob bob brenda brent brian claudia dan dave david debby fred george helen jack james jane jerry jim jimmy joe john john jose julie kevin leo linda maria mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom y [dominio] uno de los siguientes (entre otros): aol.com hotmail.com msn.com yahoo.com Asunto: [alguno de los siguientes] - [caracteres al azar] - [vacío] - Confirmation - CONFIRMATION - funny photos :) - hello - Hello! - hello! - Hey! - HEY! - hey! - Hi! - HI! Texto del mensaje: [alguno de los siguientes] Ejemplo 1: Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days. To see details please click this link. DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received. Thank you for using PayPal. Ejemplo 2: Hi! I am looking for new friends. My name is Jane, I am from Miami, FL. See my homepage with my weblog and last webcam photos! See you! Ejemplo 3: Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos! Hello! Ejemplo 4: FREE ADULT VIDEO! SIGN UP NOW! Ejemplo 5: Look at my homepage with my last webcam photos! Los mensajes contienen un enlace al equipo infectado que envía el mensaje. Las propiedades del mensaje, pueden contener alguno de los siguientes campos: X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http:/ /amavis .org/) X-AntiVirus: Checked by Dr.Web (http:/ /www .drweb .net) X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software Los sistemas infectados mostrarán al Internet Explorer escuchando por el puerto TCP 1639 o 1640, el puerto donde se ejecuta el servidor Web. Si el usuario sigue el enlace enviado por el gusano, es conectado con un servidor Web la computadora infectada: http://[dirección IP]:[puerto]/[página] Donde [dirección IP] es la IP actual de la máquina que envió el mensaje, [puerto] es el puerto usado (por ejemplo 1639 o 1640), y página el nombre de un documento HTML, por ejemplo INDEX.HTM, WEBCAM.HTM, etc. Esa página es la que contiene el código para provocar el desbordamiento de búfer. Al ser visualizada, se ejecuta el código de una consola de comandos (shell), que instruye a la máquina local a descargar un archivo remoto: http://[dirección IP]:[puerto]/[archivo a descargar] El [archivo a descargar], (generalmente REACTOR, sin extensión), es almacenado en el escritorio del usuario con el nombre de VV.DAT y luego ejecutado. Cuando se ejecuta, el gusano crea un archivo en la carpeta System de Windows: c:\windows\system32\??????32.exe Donde los "????" son caracteres al azar. NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También se crean las siguientes entradas en el registro, las primeras para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [nombre] = C:\WINDOWS\System32\??????32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre] = C:\WINDOWS\System32\??????32.exe Donde [nombre] puede ser alguno de los siguientes: center reactor Rhino Reactor? El caracter "?" en "Reactor" representa un dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc. También se pueden crear las siguientes entradas: HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\ComExplore HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\ComExplore\Version HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\ComExplore HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\ComExplore\Version Cuando el archivo "??????32.exe" es ejecutado, se ejecuta un servidor en el equipo infectado, y se envían los mensajes antes descriptos, conteniendo el enlace a dicho equipo. El gusano contiene una lista de servidores IRC, a los que intenta conectarse a través del puerto TCP 6667: broadway.ny.us.dal.net brussels.be.eu.undernet.org caen.fr.eu.undernet.org ced.dal.net coins.dal.net diemen.nl.eu.undernet.org flanders.be.eu.undernet.org graz.at.eu.undernet.org london.uk.eu.undernet.org los-angeles.ca.us.undernet.org lulea.se.eu.undernet.org ozbytes.dal.net qis.md.us.dal.net vancouver.dal.net viking.dal.net washington.dc.us.undernet.org Posee un componente de acceso remoto a través de una puerta trasera, capaz de recibir instrucciones de un atacante desde los canales de IRC a los que se conecta. El gusano obtiene direcciones a las que enviarse, de archivos de la máquina infectada con las siguientes extensiones: .adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab Evita enviarse a direcciones que contengan cualquiera de las siguientes cadenas en sus nombres: .gov .mil accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your El gusano intenta además borrar las entradas en el registro de versiones anteriores del propio gusano. Funciona hasta el 16 de diciembre de 2004. Después de esa fecha, al ser ejecutado no realiza ninguna acción. Los usuarios con Windows XP SP2 no son afectados por la vulnerabilidad que permite la ejecución de este gusano. * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \ComExplore 3. Haga clic en la carpeta "ComExplore" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas que coincidan con alguno de los siguientes nombres: center reactor Rhino Reactor? El caracter "?" en "Reactor" representa un dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc. 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \ComExplore 7. Haga clic en la carpeta "ComExplore" y bórrela. 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas que coincidan con alguno de los siguientes nombres: center reactor Rhino Reactor? El caracter "?" en "Reactor" representa un dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc. 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Cran.A. Usa vulnerabilidad en LSASS (MS04-011) _____________________________________________________________ http://www.vsantivirus.com/cran-a.htm Nombre: W32/Cran.A Tipo: Gusano de Internet Alias: Cran, W32/Cran.worm.a, Win32/Cran.A, Exploit-DcomRPC, Sniff-NT110, Exploit-MS04-011.gen Fecha: 12/nov/04 Plataforma: Windows 32-bit Tamaño: 100,352 bytes Este gusano se propaga a través de la vulnerabilidad en el servicio Local Security Authority Subsystem Service (LSASS) de Windows, corregida por Microsoft en su actualización MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm). El gusano libera una serie de componentes en la máquina infectada, utilizados para su propagación. Uno de esos componentes (LSASSEX.EXE), ataca dos mil direcciones IP generadas al azar para producir un acceso por puerta trasera en cada equipo vulnerable. Un segundo componente, es una herramienta normalmente utilizada para administración de redes (NC.EXE), el cuál intenta conectarse al backdoor creado en cada máquina atacada, descargando el gusano propiamente dicho desde un servidor FTP al equipo de la víctima, para luego ejecutarlo. Utiliza para esto y otras acciones, varios archivos .BAT. El gusano se copia a si mismo en el directorio de Windows con el siguiente nombre: c:\windows\lsas12.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea la siguiente clave del registro para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run LSASScran = c:\wndows\lsas12.exe Abre un acceso por puerta trasera en el puerto 4444, y libera los siguientes archivos: c:\windows\downloader.bat c:\windows\ftpdw.txt c:\windows\lsas12.exe c:\windows\lsassex.bat c:\windows\lsassex.exe c:\windows\lsassex.txt c:\windows\nc.exe c:\windows\starter.bat c:\windows\starter2.bat c:\windows\system32\readme.txt * Reparación manual IMPORTANTE: Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04- 011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\downloader.bat c:\windows\ftpdw.txt c:\windows\lsas12.exe c:\windows\lsas12.exe c:\windows\lsassex.bat c:\windows\lsassex.exe c:\windows\lsassex.txt c:\windows\nc.exe c:\windows\starter.bat c:\windows\starter2.bat c:\windows\system32\readme.txt Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: LSASScran 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1590 Año 8, sábado 13 de noviembre de 2004