Mostrando mensaje 622     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1573 Año 8, miércoles 27 de octubre de 2004 Fecha: Miercoles, 27 de Octubre, 2004  06:40:43 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1573 Año 8, miércoles 27 de octubre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - GSuite ofrece encriptación débil de contraseña de Gmail 2 - W32/Mydoom.AF. Se propaga por e-mail y P2P _____________________________________________________________ 1 - GSuite ofrece encriptación débil de contraseña de Gmail _____________________________________________________________ http://www.vsantivirus.com/vul-gsuite-261004.htm GSuite ofrece encriptación débil de contraseña de Gmail Por Angela Ruiz angela@videosoft.net.uy GSuite es una herramienta de terceros especialmente creada para usuarios de Gmail, que permite un fácil acceso a opciones de búsqueda de información en Gmail y Google, y a la propia cuenta de correo en este servicio. Añade además, menús contextuales al Internet Explorer. Gmail es el servicio de correo electrónico gratuito vía Web ofrecido por Google, que ofrece un gigabyte de espacio de almacenamiento para los mensajes. Según reporta Lostmon, la utilidad GSuite, crea en la carpeta del usuario un archivo de configuración con extensión XML, que contiene la contraseña de acceso a la cuenta de correo electrónico del usuario, en un formato codificado. El problema es que el programa genera para esto, una encriptación sencilla, basada en sumar un valor fijo a cada caracter ASCII de la contraseña original, de tal modo que podría ser fácilmente decodificada por un usuario malicioso. Cómo resultado, la utilidad GSuite brinda una seguridad muy débil cuando se utiliza en un entorno local al que pueden acceder otros usuarios. * Créditos: Lostmon <lostmon@gmail.com> * Relacionados: GSuite (Imspire.com) http://www.imspire.com/gsuite/index.html Gmail (sitio oficial) http://gmail.google.com Gmail revela la lista de contactos a otros usuarios http://www.vsantivirus.com/vul-gmail-contactos-241004.htm Ingreso a cuentas de terceros con GMail Drive http://www.vsantivirus.com/vul-gmaildrive-181004.htm Peligro de phishing con cuentas de Gmail http://www.vsantivirus.com/14-09-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Mydoom.AF. Se propaga por e-mail y P2P _____________________________________________________________ http://www.vsantivirus.com/mydoom-af.htm Nombre: W32/Mydoom.AF Tipo: Gusano de Internet y caballo de Troya Alias: Mydoom.AF, I-Worm.Mydoom.ab, W32.Mydoom.AG@mm, W32/Mydoom.af@MM, W32/MyDoom-AG, W32/MyDoom-Gen, W32/Swash.A.worm, Win32.Mydoom.AE, Win32.Swash.A, Win32/Mydoom.Variant.Worm, WORM_SWASH.A, Win32/Mydoom.AE Fecha: 26/oct/04 Plataforma: Windows 32-bit Tamaño: 31,864 bytes (ZIP), 31,744 bytes Variante del Mydoom detectada el 26 de octubre de 2004. Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]: Donde [Usuario] es uno de los siguientes nombres: angela anthony barbara betty cissi cynthia charles christopher daniel david donald dorothy edward elizabeth emily ethan george hannah hans harris helen james jennifer john josefine joseph karen kevin kimberly lee len linda maria mark martin melissa michael nancy nicholas olivia patricia paul richard robert ronald sandra susan thomas william [Dominio] es el dominio del destinatario, o uno de los siguientes: aol.com compuserve.com earthlink.net hotmail.com juno.com msn.com yahoo.co.uk yahoo.com El asunto del mensaje puede ser alguno de los siguientes: - Attention!!! - Do not reply to this email - Error - Good day - hello - Mail Delivery System - Mail Transaction Failed - Server Report - Status El texto del mensaje puede ser alguno de los siguientes: Mail transaction failed. Partial message is available. Thank you for registering at WORLDXXXPASS.COM All your payment info, login and password you can find in the attachment file. It's a real good choise to go to WORLDXXXPASS.COM Attention! New self-spreading virus! Be careful, a new self-spreading virus called "RTSW.Smash" spreading very fast via e-mail and P2P networks. It's about two million people infected and it will be more. To avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. Your can find it in the attachment. c 2004 Networks Associates Technology, Inc. All Rights Reserved New terms and conditions for credit card holders Here a new terms and conditions for credit card holders using a credit cards for making purchase in the Internet in the attachment. Please, read it carefully. If you are not agree with new terms and conditions do not use your credit card in the World Wide Web. Thank you, The World Bank Group c 2004 The World Bank Group, All Rights Reserved Attention! Your IP was logged by The Internet Fraud Complaint Center Your IP was logged by The Internet Fraud Complaint Center. There was a fraud attempt logged by The Internet Fraud Complaint Center from your IP. This is a serious crime, so all records was sent to the FBI. All information you can find in the attachment. Your IP was flagged and if there will be anover attemption you will be busted. This message is brought to you by the Federal Bureau of Investigation and the National White Collar Crime Center El archivo adjunto, puede tener alguno de los siguientes nombres: body data doc docs document file message readme rules Seguido de alguna de estas extensiones: .bat .cmd .exe .pif .scr .zip Cuando se ejecuta, crea los siguientes archivos en el sistema infectado: \hserv.sys c:\windows\system32\lsasrv.exe c:\windows\system32\version.ini NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). Para autoejecutarse en cada reinicio, modifica las siguientes entradas en el registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run lsass = "c:\windows\system32\lsasrv.exe" HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = "explorer.exe c:\windows\system32\lsasrv.exe" El gusano se propaga por redes P2P como KaZaa, copiándose en la carpeta compartida con los siguientes nombres y la extensión .BAT, .PIF, .SCR, o .EXE: porno avpprokey Ad-awareref01R349 winxp_patch adultpasswds dcom_patches activation_crack icq2004-final winamp5 K-LiteCodecPack2.34a NeroBROM6.3.1.27 El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas: .edu .gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs certific contact example fcnz feste fido foo. fsf. gnu gold-certs google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math mit.e mozilla msn. mydomai nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho spm submit support syma tanford.e the.bat unix usenet utgers.ed webmaster www you your Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones: .adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab Intenta detener los siguientes procesos que pudieran estar en memoria: bbeagle.exe d3dupdate.exe i11r54n4.exe irun4.exe MSBLAST.exe msblast.exe mscvb32.exe navapw32.exe navw32.exe netstat.exe outpost.exe PandaAVEngine.exe Penis32.exe rate.exe ssate.exe sysinfo.exe SysMonXP.exe taskmon.exe teekids.exe wincfg32.exe winsys.exe winupd.exe zapro.exe zonealarm.exe Modifica el archivo HOSTS de Windows, para impedir el acceso a los siguientes sitios de Internet, pertenecientes a conocidos antivirus: 127.0.0.1 avp .com 127.0.0.1 ca .com 127.0.0.1 customer.symantec .com 127.0.0.1 dispatch.mcafee .com 127.0.0.1 download.mcafee .com 127.0.0.1 f-secure .com 127.0.0.1 grisoft .com 127.0.0.1 kaspersky .com 127.0.0.1 kaspersky-labs .com 127.0.0.1 liveupdate.symantec .com 127.0.0.1 liveupdate.symantecliveupdate .com 127.0.0.1 mast.mcafee .com 127.0.0.1 mcafee .com 127.0.0.1 my-etrust .com 127.0.0.1 nai .com 127.0.0.1 networkassociates .com 127.0.0.1 rads.mcafee .com 127.0.0.1 secure.nai .com 127.0.0.1 securityresponse.symantec .com 127.0.0.1 sophos .com 127.0.0.1 symantec .com 127.0.0.1 trendmicro .com 127.0.0.1 update.symantec .com 127.0.0.1 updates.symantec .com 127.0.0.1 us.mcafee .com 127.0.0.1 viruslist .com 127.0.0.1 www.avp .com 127.0.0.1 www.ca .com 127.0.0.1 www.f-secure .com 127.0.0.1 www.grisoft .com 127.0.0.1 www.kaspersky .com 127.0.0.1 www.mcafee .com 127.0.0.1 www.my-etrust .com 127.0.0.1 www.nai .com 127.0.0.1 www.networkassociates .com 127.0.0.1 www.sophos .com 127.0.0.1 www.symantec .com 127.0.0.1 www.trendmicro .com 127.0.0.1 www.viruslist .com También intenta descargar un archivo de un sitio web (wmspb.net). * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: lsass 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon 5. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y modifique la siguiente entrada para que quede solo lo siguiente: Shell = "explorer.exe" 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1573 Año 8, miércoles 27 de octubre de 2004