| Asunto: | VSantivirus No. 1596 Año 8, viernes 19 de noviembre de 2004 | | Fecha: | Viernes, 19 de Noviembre, 2004 01:56:03 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1596 Año 8, viernes 19 de noviembre de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Microsoft confirma errores en el parche MS04-039
2 - Escritor de virus paga multa de 100 dólares
3 - W32/Yanz.A. Hace referencia a la cantante Sun Yan Zi
4 - IRC/SdBot.COY. Se copia como "msnupdate.exe"
5 - Back/Padodor.NAK. Roba información confidencial
_____________________________________________________________
1 - Microsoft confirma errores en el parche MS04-039
_____________________________________________________________
http://www.vsantivirus.com/vulms04-039-181104.htm
Microsoft confirma errores en el parche MS04-039
Por Angela Ruiz
angela@videosoft.net.uy
Microsoft ha confirmado la existencia de errores en la
actualización de noviembre de sus parches (MS04-039). Este
parche soluciona una vulnerabilidad en Microsoft Proxy Server
2.0 y Microsoft Internet Security and Acceleration (ISA)
Server 2000. La aplicación de la actualización original, puede
provocar en ciertos casos, efectos no deseados.
La actualización original ha sido puesta al día para
solucionar esos problemas. La reinstalación del parche es
necesaria en los casos que se detallan a continuación.
El primer problema concierne al ISA Server 2000 Services Pack
1. Por error, la versión original del parche no incluía todos
los archivos necesarios para los sistemas que utilizan ISA
Server 2000 SP1. La aplicación del parche original, puede
provocar por lo tanto, malfuncionamientos o errores en el Web
Proxy (servicio cortafuego), el cuál llega a consumir el 100%
de los recursos del procesador, no se inicia o inesperadamente
cae.
Los administradores que han aplicado el parche inicial (para
ISA Server 2000 SP1), deben instalar la nueva versión del
mismo.
El segundo problema, afecta al Windows 2000 Services Pack 3.
Por error, la aplicación de la versión original del parche
necesitaba la presencia del Service Pack 4 de Windows 2000. La
instalación del mismo en sistemas Windows 2000 con SP3 era por
lo tanto imposible.
Los administradores deben reinstalar este parche. Bajo Windows
2000 SP4/ISA Server SP2, no es necesaria la instalación de la
nueva versión del parche.
* Referencias:
MS04-039 Simulación de contenidos en server ISA (888258)
http://www.vsantivirus.com/vulms04-039.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Escritor de virus paga multa de 100 dólares
_____________________________________________________________
http://www.vsantivirus.com/ev-18-11-04.htm
Escritor de virus paga multa de 100 dólares
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Un ex integrante del grupo de creadores de virus 29A, ha sido
declarado culpable en Rusia, por la creación de dos virus, y
condenado a pagar una multa de 100 dólares.
El escritor, conocido como Whale, admitió ser el culpable de
la escritura de al menos dos complejos virus, Stepar y
Gastropod, pocos propagados en nuestros países.
Su verdadero nombre es Evgenii Suchkov, y además de haber
pertenecido al célebre grupo 29A, podría también haber sido
miembro del HangUp Team, un grupo similar pero de origen ruso.
El apodo Whale (ballena en inglés), viene del nombre de un
virus más que de alguna referencia al tamaño físico de
Suchkov.
El grupo 29A (que toma ese nombre por representar en
hexadecimal el número 666, supuestamente satánico), es
conocido por crear solo virus del tipo "Pruebas de concepto"
(POC).
El juicio se llevó a cabo en octubre de 2004 en Izhevsk,
Rusia. Suchkov, capturado en la poco conocida república rusa
de Udmurtia, admitió que él era culpable de haber escrito los
virus mencionados, y de haber puesto luego los archivos con el
código fuente y el ejecutable, en algunos sitios de escritores
de virus, incluyendo el web del grupo 29A. Al liberar el
código fuente, se abre la posibilidad de que surjan nuevas
variantes, creadas por otros escritores.
La multa fue de 3,000 rublos, lo que equivale a un poco más de
100 dólares (casi 82 euros). Este valor no parece ser
demasiado, pero el tribunal no obtuvo ninguna evidencia para
demostrar que esos virus hubieran causado alguna pérdida
material.
La semana pasada, un ex miembro del grupo 29A conocido como
"Benny", fue contratado por una empresa fabricante de
antivirus de origen checo, Zoner Software. Esta compañía,
cuyos principales negocios giran en torno a los gráficos y la
multimedia, empleó a Benny para desarrollar software de
seguridad a los efectos de proteger los servidores de la
división Internet de la empresa. Su contratación fue
severamente criticada por la mayoría de los fabricantes de
antivirus.
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
www.enciclopediavirus.com/noticias/verNoticia.php?id=498
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Yanz.A. Hace referencia a la cantante Sun Yan Zi
_____________________________________________________________
http://www.vsantivirus.com/yanz-a.htm
Nombre: W32/Yanz.A
Tipo: Gusano de Internet
Alias: Yanz, Win32/Yanz.A, W32/Yanz-A, I-Worm.Yanz.a,
W32/Yanz.a@MM, W32/Yanz.A.worm
Fecha: 18/nov/04
Plataforma: Windows 32-bit
Tamaño: 68,608 bytes
Puerto: TCP 67
Gusano escrito en Visual C++ 6.0, que se propaga en mensajes
variables, enviados a direcciones obtenidas de diferentes
archivos de la máquina infectada y de la libreta de
direcciones.
También se envía a través de redes P2P. Tanto los mensajes
como los archivos compartidos, hacen referencia a la cantante
china Sun Yan Zi.
Cuando se ejecuta, el gusano abre el puerto TCP 67 y ejecuta
cualquier archivo que sea descargado en forma remota a través
de ducho puerto.
Los mensajes enviados poseen las siguientes características:
De: [nombre]+[dominio]
Donde [nombre] es uno de los siguientes:
Guvenlik
Stephan-YanZi
Sun_YanZi
SunYanZi
Sun-YanZi
YanZi
YanZi-SuN
Y [dominio] es el mismo del destinatario.
Asunto: [uno de los siguientes]
- Forever Sun Yanzi
- Free MP3
- Guvenlik
- Love and SuN YanZi
- SuN YanZi
- Sun-YanZi
- Sun-YanZi Mp3
Texto del mensaje: [uno de los siguientes]
- I don"t want anything. I want to see Sun YanZi
- I want to meet Sun YanZi. I am loving Sun-YanZi Magic.
- My Favourite is Sun YanZi.
- You must to listen Sun-Yanzi.
I am enjoying to listen Sun YanZi.
Datos adjuntos: [uno de los siguientes nombres]
Love_Sun.???
Stephan_Yanzi.???
Sun_Yanzi.???
Sun_Yanzi_Mp3.???
SunYanzi.???
Donde "???" puede ser alguna de las siguientes extensiones:
.cmd
.pif
.scr
.zip
La computadora se infecta cuando se ejecuta el adjunto. Cuando
ello sucede, el gusano crea las siguientes copias de si mismo,
en la carpeta del sistema de Windows:
c:\windows\system\lsasss.exe
c:\windows\system\yanzi.exe
NOTA: No confunda LSASSS.EXE (con una "s" de más"), con
LSASS.EXE, un archivo legítimo de algunas versiones de
Windows.
También crea los siguientes archivos:
c:\windows\yanzi.zip
c:\windows\system\sun.sys
c:\windows\system\sun_yanzi.sys
Los archivos .SYS están codificados en Base64 (formato que
permite la representación de octetos de cualquier valor ASCII,
de modo que puedan transmitirse en un correo electrónico).
NOTA: En todos los casos, "c:\windows" y "c:\windows\system"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system32",
etc.).
El gusano muestra una ventana con el siguiente texto:
HATA
KERNEL HATASI
[ OK ]
Luego crea el archivo SUN_YANZI.HTM en el directorio donde se
ejecutó el gusano, el cuál contiene el siguiente texto:
Sun-Yanzi
Modifica el registro de Windows para autoejecutarse en cada
reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Kernel = c:\windows\system\lsasss.exe em32\sun.sys pQ" "
El gusano busca direcciones para enviarse de archivos con las
siguientes extensiones:
.adb
.asp
.dbx
.doc
.htm
.html
.jsp
.rtf
.txt
.xml
También se envía a todos los contactos de la libreta de
direcciones de Windows. Utiliza para enviarse, su propio motor
SMTP.
Evita enviarse a direcciones que contengan cualquiera de las
siguientes cadenas de texto:
@google
@kaspersky
@microsoft
@norman
@pandasoftware
@sophos
@symantec
El gusano también intenta copiarse en el directorio raíz de
todas las unidades de disco existentes.
También se copia con los siguientes nombres en aquellas
carpetas cuyo nombre contenga la cadena "SHAR" (esto incluye
las carpetas compartidas de aplicaciones P2P como Kazaa, Kazaa
Lite, BearShare, eDonkey2000, ICQ, Kmd, Limewire y Shareaza):
Stephan YanZi.Mp3.exe
Sun YanZi - forever.mp3.exe
Sun YanZi - I am not sad.mp3.exe
Sun YanZi - Leave me alone.mp3.exe
Sun YanZi - Shen Qi.exe
Sun YanZi.avi.exe
Sun YanZi.mpeg.exe
Sun YanZi.mpg.exe
Sun-YanZi.mp3.exe
Intenta finalizar los procesos relacionados con el editor del
registro (REGEDIT.EXE), y con la utilidad de configuración del
sistema (MSCONFIG.EXE).
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas
por el atacante remoto, pueden aplicarse cambios en el sistema
no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir
archivos del o los programas P2P instalados en su computadora,
o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\yanzi.zip
c:\windows\system\lsasss.exe
c:\windows\system\sun.sys
c:\windows\system\sun_yanzi.sys
c:\windows\system\yanzi.exe
IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\LSASS.EXE (con dos
letras "s", el archivo del gusano posee tres letras "s"), ya
que es un archivo legítimo de Windows.
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsoft Kernel
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos o
más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en cuenta
las mismas precauciones utilizadas con cualquier otro medio de
ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo de
programas, puede terminar ocasionando graves problemas en la
estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - IRC/SdBot.COY. Se copia como "msnupdate.exe"
_____________________________________________________________
http://www.vsantivirus.com/irc-sdbot-coy.htm
Nombre: IRC/SdBot.COY
Nombre NOD32: IRC/SdBot.COY
Tipo: Gusano de Internet y caballo de Troya
Alias: SdBot.COY, WORM_SDBOT.ADW, W32/Sdbot.worm.gen.h,
IRC/BackDoor.SdBot, Backdoor.SdBot.gen, Backdoor.SDBot.Gen,
Win32.IRC.Bot.based, IRC-Sdbot, Backdoor.Sdbot,
BKDR_SDBOT.GEN, Backdoor:IRC/SdBot, W32/Sdbot-Fam
Fecha: 19/nov/04
Plataforma: Windows 32-bit
Tamaño: varios
Gusano que se propaga por recursos compartidos de redes, y que
puede actuar como un troyano de acceso remoto controlado vía
IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de
Windows con el siguiente nombre:
c:\windows\system\msnupdate.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro para ejecutarse en
cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msn plus update = "msnupdate.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
msn plus update = "msnupdate.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
msn plus update = "msnupdate.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
msn plus update = "msnupdate.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
msn plus update = "msnupdate.exe"
El gusano intenta continuamente infectar máquinas remotas,
generando direcciones IP al azar para conectarse a través del
puerto 445. Utiliza una extensa lista de usuarios y
contraseñas predefinidas en su código.
Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$,
IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de
infección, intentando copiarse en dicho equipo:
c$\msnupdate.exe
c$\winnt\system32\msnupdate.exe
Admin$\system32\msnupdate.exe
Posee un componente de acceso por puerta trasera (backdoor),
que intenta conectarse a servidores de IRC y unirse a un canal
predeterminado. Actúa como un IRC Bot, esperando las
instrucciones en dicho canal. Un BOT es la copia de un usuario
en un canal de IRC, preparado para responder y ejecutar
ciertos comandos en forma automática.
Algunas acciones posibles:
- Auto actualizarse
- Capturar imágenes de webcams
- Capturas de pantalla
- Conectarse a una URL determinada
- Descargar y ejecutar archivos
- Enviar archivos
- Enviar pulsaciones de teclado a la ventana activa
- Escanear puertos de otras computadoras
- Iniciar un servidor HTTP
- Matar procesos e hilos de ejecución
- Obtener información del sistema
- Realizar ataques de denegación de servicio (UDP, ICMP y
SYN flooding)
- Robar el caché de contraseñas en Windows 95, 98 y ME
También roba la información de registro (CD-Keys), de los
siguientes juegos:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike (Retail)
Chrome
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
MSNUPDATE.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
MSNUPDATE.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
msn plus update
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Haga clic en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
msn plus update
6. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
msn plus update
8. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
9. Haga clic en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
msn plus update
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
11. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
msn plus update
12. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Back/Padodor.NAK. Roba información confidencial
_____________________________________________________________
http://www.vsantivirus.com/back-padodor-nak.htm
Nombre: Back/Padodor.NAK
Nombre NOD32: Win32/Padodor.NAK
Tipo: Caballo de Troya
Alias: Padodor.NAK, Win32/Padodor.NAK, Backdoor.Berbew.L,
TrojanSpy.Win32.Qukart.gen, BackDoor-AXJ
Fecha: 16/nov/04
Plataforma: Windows 32-bit
Tamaño: 50,208 bytes
Troyano que roba información confidencial de la computadora
infectada, así como datos de cuentas bancarias, capturando
todo lo tecleado por el usuario al acceder a bancos on-line.
Se han reportado instalaciones de este troyano al visitar
sitios infectados.
El troyano puede descargar otros componentes de Internet,
además de enviar la dirección IP de la máquina infectada a
otros equipos, actuando como Proxy de hasta 100 conexiones
simultáneas. Esto puede ser usado para que un usuario remoto
utilice la máquina infectada como "lanzadera" de cualquier
clase de datos, por ejemplo SPAM.
Cuando se ejecuta el troyano, se descarga e instala
clandestinamente un servidor proxy.
Además de robar contraseñas, intenta extraer información de la
máquina infectada y enviarla a un script de CGI a un
determinado sitio ruso de Internet.
El troyano busca toda la información almacenada en el caché de
contraseñas de Windows, lo que incluye contraseñas de accesos
telefónicos, etc.
Para registrar la información obtenida, utiliza varios
archivos con nombres al azar en la carpeta System o System32,
según el sistema operativo.
Luego, examina todas las ventanas abiertas e intercepta
cualquier clase de datos ingresados a ellas, así como el
contenido del portapapeles (lo que se guarda al seleccionar
Cortar o Copiar).
También se activa cuando el usuario ingresa datos en cualquier
ventana que contenga determinadas cadenas. De este modo puede
interceptar accesos a cuentas bancarias on-line, y robar la
información ingresada.
Para que el usuario ingrese los datos desde el teclado,
modifica el registro para que los mismos no queden guardados
por defecto (la opción "Recordar datos").
Para ello cambia estos valores:
HKCU\Software\Microsoft\Internet Explorer\Main
FormSuggest Passwords = Yes
FormSuggest PW Ask = Yes
Use FormSuggest = Yes
También crea la siguiente entrada para iniciar un nuevo
proceso cada vez que se ejecuta una ventana del navegador:
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\BrowseNewProcess
BrowseNewProcess = Yes
El componente principal, se copia a si mismo también en el
directorio System o System 32 de Windows, y luego crea un .DLL
relacionado. Todos los archivos copiados utilizan nombres
creados al azar, de 8 o 6 caracteres, en ocasiones finalizados
en "32". Ejemplos:
c:\windows\system\????????.exe
c:\windows\system\????????.dll
Donde "????????" representa letras al azar.
Crea también varias copias con nombre al azar y extensión HTML
en la carpeta de temporales de Windows:
\TEMP\????????.html
\TEMP\????????.html
[etc.]
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
Estos archivos son abiertos luego por el Internet Explorer.
El troyano no crea ni modifica ninguna entrada conocida en el
registro o archivos de inicio de Windows para autoejecutarse.
En lugar de ello, emplea un mecanismo diferente, modificando
la siguiente clave del registro:
HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}
InProcServer32 = [nombre del componente DLL]
ThreadingModel = Apartment
HKLM\Software\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad
Web Event Logger = {79FEACFF-FFCE-815E-A900-316290B5B738}
Básicamente, la librería .DLL del troyano se identifica como
clase con un valor específico, de 128 bits, el denominado
Class ID (la clave CLSID en el registro de Windows).
Luego, se apunta la subclave "InprocServer32" a dicha librería
para ponerla en funcionamiento cuando se ejecuta un evento
determinado. El valor "ThreadingModel" con el dato
"Apartment", indica que el objeto solo puede ejecutar un solo
hilo.
Finalmente se suplanta el valor correspondiente al "Monitor de
sitios Web" del Internet Explorer (que entre otras cosas carga
la página de Inicio del Explorer), por una llamada a la Class
ID creada por el troyano.
Como resultado, de acuerdo a ciertos eventos, el troyano será
activado.
El componente principal es un proxy que queda "escuchando"
hasta 100 conexiones informando la dirección IP de la máquina
infectada. Además envía la información capturada antes por el
robador de contraseñas, a una dirección específica de
Internet.
También puede descargar y ejecutar otros archivos desde
Internet.
El archivo del troyano está encriptado, y su rutina de
desencriptación posee características polimórficas, cambiando
en cada instalación.
La información obtenida, es enviada a un atacante remoto en el
siguiente dominio:
tat-neftbank.ru
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus antivirus
con las últimas definiciones, y ejecútelos en modo escaneo,
revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que por
su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero el
sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con
su administrador para tomar las acciones necesarias a fin de
cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\ShellServiceObjectDelayLoad
3. Pinche en la carpeta "ShellServiceObjectDelayLoad" y en el
panel de la derecha, bajo la columna "Nombre", busque y borre
la siguiente entrada:
Web Event Logger
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
5. Pinche en la carpeta "CLSID" y borre la siguiente entrada:
{79FEACFF-FFCE-815E-A900-316290B5B738}
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main
7. Pinche en la carpeta "Main" y borre en el panel de la
derecha las siguientes entradas:
FormSuggest Passwords = Yes
FormSuggest PW Ask = Yes
Use FormSuggest = Yes
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.videosoft.net.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1596 Año 8, viernes 19 de noviembre de 2004
|
VSantivirus No. 15
Responder a este mensaje
