Mostrando mensaje 647     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1598 Año 8, domingo 21 de noviembre de 2004 Fecha: Domingo, 21 de Noviembre, 2004  07:08:04 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1598 Año 8, domingo 21 de noviembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Aumento de spam, phishing y gusanos en Navidad 2 - W32/Dumaru.NAD. Redirige el tráfico de Internet _____________________________________________________________ 1 - Aumento de spam, phishing y gusanos en Navidad _____________________________________________________________ http://www.vsantivirus.com/21-11-04.htm Aumento de spam, phishing y gusanos en Navidad Por Angela Ruiz angela@videosoft.net.uy Con la llegada de las fiestas de Navidad y Año Nuevo, se espera una avalancha de correo no deseado, lo que provocará no solo saturación de casillas de correo y demora en el tráfico de mensajes, sino que también aumentará el riesgo de ataques maliciosos (phishing, gusanos, etc.) FrontBridge, una empresa especializada en seguridad y filtrado de correo electrónico, predice que el spam provocará un incremento de hasta el 90 por ciento de todos los mensajes enviados a empresas y usuarios en las próximas semanas a medida que se acerque la Navidad. Clearswift, otra compañía especialista en el tema, dijo que los spammers se están volviendo cada vez mas sofisticados usando la ingeniería social para explotar las debilidades humanas, y en la adaptación del correo spam para objetivos personales. Según la firma, una reciente investigación muestra que dichas técnicas de ingeniería social, se han convertido en la clave para la propagación de gusanos que benefician a los spammers, al tomar el control de las computadoras infectadas, usándolas incluso para el reenvío de su correo basura. FrontBridge advirtió principalmente a las compañías, que la proporción de spam se incrementará inmediatamente después de la celebración del Día de Acción de Gracias en los Estados Unidos (25 de noviembre). Informó además, que el spam ha crecido a casi un 87 por ciento del total de los correos electrónicos, y predice que esta cifra podría llegar a ser alrededor del 90 por ciento a fin de año. Dicho de otra manera, de cada 10 mensajes recibidos, 9 serían basura no solicitada. "Así como en época de las tradicionales fiestas, todos se preparan para una gran actividad, los spammers seguramente enviarán un número récord de correo no deseado, para cerrar el año dando su gran nota", dijo Craig Whitney, director europeo de FrontBridge. La firma de seguridad espera que mucho del spam, serán sofisticados correos electrónicos con ataques del tipo phishing (técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima, generalmente por medio de un "scam", mensaje electrónico fraudulento, o falsificación de página web). Estos mensajes también contendrán código o técnicas para robar información personal (como contraseñas), o para tomar el control de las computadoras. Clearswift dijo que los spammers están experimentando diferentes tipos de mensajes diseñados para diferentes mercados y sectores, mientras se adaptan a cuales funcionan y cuales no lo hacen. Esta advertencia llega después de una reciente alarma de la compañía analista Gartner Group, donde se afirma que los ataques de ingeniería social podrían ser la amenaza de seguridad mas grande para las empresas durante los próximos 10 años (se le llama ingeniería social al uso de la astucia para convencer a una persona a dar por si mismo información privada). Clearswift predice que es muy probable que algunos spammers comiencen a usar tarjetas electrónicas falsas para propagar caballos de Troya. Alyn Hockey, director de investigación de Clearswift, agregó que "... sus trucos en constante desarrollo significan que las organizaciones tienen que confiar cada vez más en un software de seguridad en correo electrónico para eliminar esta basura". Estos son los principales consejos dados por los expertos, para ayudar principalmente al usuario doméstico a disminuir un poco el impacto de esta avalancha y disfrutar de una Navidad segura: 1. No abrir datos adjuntos o responder mensajes donde se solicite cualquier clase de información personal. 2. Nunca hacer clic sobre enlaces en aquellos mensajes donde se invita a visitar una página Web. En su lugar, siempre que precise hacerlo, corte y pegue en el navegador de Internet la dirección ofrecida. 3. Siempre buscar sitios seguros y evitar compartir cualquier clase de información personal a través del correo electrónico. * Relacionados: La Navidad, un terreno fértil para el ataque de los virus http://www.vsantivirus.com/06-12-01.htm Una tarjeta de Navidad para la abuela http://www.vsantivirus.com/cronicas-08-12-02.htm El SPAM de mi mamá http://www.vsantivirus.com/cronicas-10-05-02.htm Felices fiestas, felices virus http://www.vsantivirus.com/16-12-01.htm ¿Aumentarán los riesgos de virus con las próximas fiestas? http://www.vsantivirus.com/11-12-00.htm Ingeniería Social, vieja y eficaz amiga de los virus http://www.vsantivirus.com/lz-ingenieria.htm El correo basura crece exponencialmente http://www.vsantivirus.com/mm-spam2.htm Internet, entre el miedo y la prudencia http://www.vsantivirus.com/07-11-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Dumaru.NAD. Redirige el tráfico de Internet _____________________________________________________________ http://www.vsantivirus.com/dumaru-nad.htm Nombre: W32/Dumaru.NAD Nombre NOD32: Win32/Dumaru.NAD Tipo: Gusano de Internet y caballo de Troya Alias: Dumaru.NAD, Downloader.Small.9.C, Downloader-ML, I-Worm.Turta.b, W32/Sillydl.EL, TR/Dldr.Small.OC, Trj/Delnetdall.A, Troj/Daemoni-E, Trojan.DL.Small.JU, Trojan.Downloader.Small.OC, Trojan.Trojandownloader.Small.Oc, Trojan.ZStealth, TrojanDownloader.Win32.Small.oc, TrojanDownloader.Win32.Small.OC, TrojanDownloader:Win32/Small.OC, W32.Turta@mm, W32/Dumaru.ax, W32/Dumaru-Gen, Win32.Dent.A, Win32/Dumaru.NAD, Win32/Sillydl.EL.Trojan, Win32/ZombieCode.Variant, Win32:Bagent [Trj], Win32:Trojano-216 [Trj], Worm.Turta.B Fecha: 19/nov/04 Plataforma: Windows 32-bit Tamaño: variable Se trata de un caballo de Troya que actúa como un Proxy de puerta trasera (backdoor), y que permite a un intruso remoto redirigir el tráfico de Internet a través de la computadora infectada. El troyano consiste en dos partes, que se copian en la siguiente ubicación: c:\windows\system32\socket.exe c:\windows\system32\svchostz.exe El componente principal permite el acceso remoto y también descarga e instala otro componente que es capaz de descargar de un sitio determinado nuevas versiones del troyano, o cualquier otra clase de software, incluidos otros troyanos o gusanos. El componente descargado se copia a si mismo en la carpeta de inicio actual del usuario infectado, y en la carpeta del sistema de Windows, y modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio del equipo: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe svchostz.exe Este componente libera otro capaz de actuar furtivamente, que es copiado en la carpeta de Windows y luego ejecutado: c:\windows\st.exe El troyano crea las siguientes entradas en el registro para que SVCHOSTZ.EXE se ejecute automáticamente en cada reinicio del sistema: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Socket Utility = svchostz.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce Socket Utility = svchostz.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices Socket Utility = svchostz.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Socket Utility = svchostz.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Socket Utility = svchostz.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Socket Utility = svchostz.exe Finalmente ejecuta a SVCHOST.EXE, el cuál ejecuta a su vez a SOCKET.EXE para iniciar el proxy y poder conectarse a un sitio remoto notificando que la computadora es vulnerable. NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). La carpeta de inicio del usuario, puede ser alguna de las siguientes: * Windows XP, 2000 (español e inglés) c:\documents and settings \all users\menú inicio\programas\inicio c:\documents and settings \all users\start menu\programs\startup c:\documents and settings \[nombre usuario]\menú inicio\programas\inicio c:\documents and settings \[nombre usuario]\start menu\programs\startup * Windows 95, 98, Me (español e inglés) c:\windows\all users\menú inicio\programas\inicio c:\windows\all users\start menu\programs\startup c:\windows\menú inicio\programas\inicio c:\windows\start menu\programs\startup c:\windows\profiles\[nombre usuario] \menú inicio\programas\inicio c:\windows\profiles\[nombre usuario] \start menu\programs\startup * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\st.exe c:\windows\system32\socket.exe c:\windows\system32\svchostz.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descrito antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunOnce 5. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunServices 7. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 9. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunOnce 11. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 13. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Socket Utility = svchostz.exe 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 15. Pinche en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre": Shell 16. Modifique el valor de "Shell" para que aparezca solo esto: Shell = Explorer.exe 17. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1598 Año 8, domingo 21 de noviembre de 2004