Mostrando mensaje 690     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1641 Año 8, lunes 3 de enero de 2005 Fecha: Lunes, 3 de Enero, 2005  04:37:49 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1641 Año 8, lunes 3 de enero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Perl/Asan.A. Borra archivos INDEX.* en servidores 2 - EPOC/Cabir.L. Gusano de teléfonos móviles 3 - EPOC/Cabir.K. Gusano de teléfonos móviles 4 - EPOC/Cabir.J. Gusano de teléfonos móviles 5 - EPOC/Cabir.I. Gusano de teléfonos móviles 6 - EPOC/Cabir.H. Gusano de teléfonos móviles _____________________________________________________________ 1 - Perl/Asan.A. Borra archivos INDEX.* en servidores _____________________________________________________________ http://www.vsantivirus.com/perl-asan-a.htm Nombre: Perl/Asan.A Tipo: Caballo de Troya de Perl Alias: Asan.A, Anti-Santy-Worm, Net-Worm.Perl.Asan.a, PERL/Sown.A-tr Fecha: 2/ene/05 Plataforma: Unix, Linux Tamaño: 536 bytes Caballo de Troya que se propaga por servidores web en forma de un script en PERL (Practical Extraction and Report Languaje), un lenguaje de programación utilizado en la elaboración de tareas comunes principalmente en sistemas tipo UNIX. Compromete los archivos INDEX.*, reemplazándolos con un archivo que contiene solo el siguiente texto: spykids ownz your server El script se ejecuta utilizando la instrucción reservada "system" para invocar la ejecución de archivos a nivel del sistema en el servidor. Una vez que el script es invocado, el mismo utiliza el comando "find" para buscar archivos con las características mencionadas en todos los directorios y subdirectorios del servidor, y luego los suplanta por el texto indicado. Este troyano puede ser invocado o instalado por otros troyanos, como Perl/Santy. Para limpiar un sistema infectado, se debe borrar el script, y recuperar los archivos INDEX.* suplantados, utilizando un respaldo anterior. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - EPOC/Cabir.L. Gusano de teléfonos móviles _____________________________________________________________ http://www.vsantivirus.com/epoc-cabir-l.htm Nombre: EPOC/Cabir.L Tipo: Gusano Alias: Cabir.L, SymbOS/Cabir.L, EPOC/Cabir.L, Worm.Symbian.Cabir.L, Worm.SymbOS.Cabir.gen, SymbOS.Cabir, SymbOS/Cabir.A Fecha: 31/dic/04 Plataforma: EPOC, Nokia Series 60 Tamaño: 15,092 bytes Variante similar al Cabir.B. Solo cambian los mensajes que el gusano muestra al instalarse o ejecutarse. Se trata de un gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance de voz y datos entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible. Los síntomas de una infección son una actividad frecuente (cada 15 o 20 segundos), originada desde un móvil infectado por el gusano. Algunos de los teléfonos móviles afectados: Nokia 3650, 3600 Nokia 3660, 3620 Nokia 6600 Nokia 6620 Nokia 7610 Nokia 7650 Nokia N-Gage Panasonic X700 Sendo X Siemens SX1 Afecta productos de la Serie 60 v0.9, lo que abarca todos los dispositivos existentes de la serie 60, que usen Symbian OS 6.1 o superior. Cuando se ejecuta, muestra en la pantalla del móvil el mensaje "Skulls". Luego, inicia la búsqueda de otros dispositivos conectados, que usen la tecnología "Bluetooth". Si localiza alguno, se enviará a si mismo al primer dispositivo que encuentre. No envía más copias. Aunque también puede copiarse en dispositivos que empleen la tecnología Bluetooth, pero con otro sistema operativo, el gusano no se propagará desde dicho dispositivo. El gusano llega como un archivo .SIS (Skulls.SIS) y se instala por si solo en la carpeta APPS (aplicaciones). La extensión .SIS es utilizada por el sistema operativo EPOC para las instalaciones. Cuando ello sucede, se despliegan en la pantalla del teléfono móvil, una serie de mensajes. Estos mensajes advierten al usuario de la "posible naturaleza maliciosa" del archivo recibido, antes de instalarlo. Una vez instalado y activo, puede ser visto desde la lista de aplicaciones con el nombre de "Skulls". NOTA: Aunque su nombre es "Skulls", el gusano no está relacionado directamente con la familia de gusanos SymbOS/Skulls. El gusano puede crear la siguiente carpeta: c:\system\skullsxsecuredata\skullssecuritymanager\ El gusano no puede catalogarse de un serio riesgo, por varias razones: 1. Una comunicación "Bluetooth" no está habilitada por defecto. 2. El rango de transmisión es corto en distancia, por la propia naturaleza del sistema "Bluetooth". 3. "Bluetooth" utiliza un mecanismo de comunicación entre pares. Dispositivos fuera de ese par, requieren un PIN para confirmar el acceso. 4. Aceptar una transmisión "Bluetooth", requiere una confirmación manual. * Eliminación manual Para eliminar el gusano de un dispositivo infectado, siga estos pasos: 1. Seleccione la opción "Skulls" de la lista de aplicaciones. 2. Seleccione "Cancel" (Exit Skulls?) y confirme con "Yes". 3. Borre la siguiente carpeta: c:\system\skullsxsecuredata\skullssecuritymanager\ Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos. Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - EPOC/Cabir.K. Gusano de teléfonos móviles _____________________________________________________________ http://www.vsantivirus.com/epoc-cabir-k.htm Nombre: EPOC/Cabir.K Tipo: Gusano Alias: Cabir.K, SymbOS/Cabir.K, EPOC/Cabir.K, Worm.Symbian.Cabir.K, Worm.SymbOS.Cabir.gen, SymbOS.Cabir, SymbOS/Cabir.A Fecha: 31/dic/04 Plataforma: EPOC, Nokia Series 60 Tamaño: 15,092 bytes Gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. Se trata de la versión Cabir.H recodificada. * Más información: EPOC/Cabir.H. Gusano de teléfonos móviles http://www.vsantivirus.com/epoc-cabir-h.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - EPOC/Cabir.J. Gusano de teléfonos móviles _____________________________________________________________ http://www.vsantivirus.com/epoc-cabir-j.htm Nombre: EPOC/Cabir.J Tipo: Gusano Alias: Cabir.J, SymbOS/Cabir.J, EPOC/Cabir.J, Worm.Symbian.Cabir.J, Worm.SymbOS.Cabir.gen, SymbOS.Cabir, SymbOS/Cabir.A Fecha: 31/dic/04 Plataforma: EPOC, Nokia Series 60 Tamaño: 15,092 bytes Gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. Se trata de la versión Cabir.H recodificada. * Más información: EPOC/Cabir.H. Gusano de teléfonos móviles http://www.vsantivirus.com/epoc-cabir-h.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - EPOC/Cabir.I. Gusano de teléfonos móviles _____________________________________________________________ http://www.vsantivirus.com/epoc-cabir-i.htm Nombre: EPOC/Cabir.I Tipo: Gusano Alias: Cabir.I, SymbOS/Cabir.I, EPOC/Cabir.I, Worm.Symbian.Cabir.I, Worm.SymbOS.Cabir.gen, SymbOS.Cabir, SymbOS/Cabir.A Fecha: 31/dic/04 Plataforma: EPOC, Nokia Series 60 Tamaño: 15,092 bytes Gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. Se trata de la versión Cabir.H recodificada. * Más información: EPOC/Cabir.H. Gusano de teléfonos móviles http://www.vsantivirus.com/epoc-cabir-h.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - EPOC/Cabir.H. Gusano de teléfonos móviles _____________________________________________________________ http://www.vsantivirus.com/epoc-cabir-h.htm Nombre: EPOC/Cabir.H Tipo: Gusano Alias: Cabir.H, SymbOS/Cabir.H, EPOC/Cabir.H, Worm.Symbian.Cabir.H, Caribe virus, Worm.SymbOS.Cabir.gen, SymbOS.Cabir, SymbOS/Cabir.A Fecha: 31/dic/04 Plataforma: EPOC, Nokia Series 60 Tamaño: 15,092 bytes Gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. El gusano no posee ninguna carga destructiva (salvo el gasto de baterías por el constante uso que hace del equipo). Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance de voz y datos entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible. Los síntomas de una infección son una actividad frecuente (cada 15 o 20 segundos), originada desde un móvil infectado por el gusano. Algunos de los teléfonos móviles afectados: Nokia 3650, 3600 Nokia 3660, 3620 Nokia 6600 Nokia 6620 Nokia 7610 Nokia 7650 Nokia N-Gage Panasonic X700 Sendo X Siemens SX1 Afecta productos de la Serie 60 v0.9, lo que abarca todos los dispositivos existentes de la serie 60, que usen Symbian OS 6.1 o superior. Cuando se ejecuta, inicia la búsqueda de otros dispositivos conectados que usen la tecnología "Bluetooth". Si localiza alguno, se enviará a si mismo al primer dispositivo que encuentre. Aunque también puede copiarse en dispositivos que empleen la tecnología Bluetooth, pero con otro sistema operativo, el gusano no se propagará desde dicho dispositivo. El gusano llega como un archivo .SIS (velasco.sis), y se instala por si solo en la carpeta APPS (aplicaciones). La extensión .SIS es utilizada por el sistema operativo EPOC para las instalaciones. El gusano puede crear los siguientes archivos (y algunas de las carpetas relacionadas): c:\system\apps\velasco\flo.mdl c:\system\apps\velasco\velasco.app c:\system\apps\velasco\velasco.rsc c:\system\recogs\flo.mdl c:\system\symbiansecuredata\velasco\caribe.rsc c:\system\symbiansecuredata\velasco\velasco.app El gusano no puede catalogarse de un serio riesgo, por varias razones: 1. Una comunicación "Bluetooth" no está habilitada por defecto. 2. El rango de transmisión es corto en distancia, por la propia naturaleza del sistema "Bluetooth". 3. "Bluetooth" utiliza un mecanismo de comunicación entre pares. Dispositivos fuera de ese par, requieren un PIN para confirmar el acceso. 4. Aceptar una transmisión "Bluetooth", requiere una confirmación manual. * Eliminación manual Para eliminar el gusano de un dispositivo infectado, siga estos pasos: 1. Seleccione la opción "velasco" de la lista de aplicaciones. 2. Seleccione "Cancel" (Exit velasco?) y confirme con "Yes". 3. Borre el siguiente archivo utilizando el manejador de archivos (file manager): c:\system\recogs\flo.mdl 4. Borre las siguientes carpetas: c:\system\apps\velasco\ c:\system\symbiansecuredata\velasco\ Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos. Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1641 Año 8, lunes 3 de enero de 2005