| Asunto: | VSantivirus No. 1600 Año 8, martes 23 de noviembre de 2004 | | Fecha: | Martes, 23 de Noviembre, 2004 03:49:04 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1600 Año 8, martes 23 de noviembre de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Pawur.A (Tasin). Se propaga con mensajes en español
2 - Sitios Web infectados, propagan el gusano Bofra
3 - W32/Yanz.B. Hace referencia a la cantante Sun Yan Zi
4 - IRC/SdBot.CPL. Se copia como "wupdmgr32.exe"
_____________________________________________________________
1 - W32/Pawur.A (Tasin). Se propaga con mensajes en español
_____________________________________________________________
http://www.vsantivirus.com/pawur-a.htm
Nombre: W32/Pawur.A (Tasin)
Nombre NOD32: Win32/Pawur.A
Tipo: Gusano de Internet
Alias: Pawur.A, Tasin.A, Anzae, I-Worm.Pawur.A,
I-Worm.Pawur.a, I-Worm.VB.w, I-Worm/Pawur.A, NewHeur_PE,
W32.Inzae.A, W32/Anzae.Worm, W32/Tasin.A.worm,
Win32/Inzae.A.Dropper, Win32/Pawur.A, WORM_ANZAE.A
Fecha: 22/nov/04
Plataforma: Windows 32-bit
Tamaño: 49,331 bytes
Gusano que se propaga a través del correo electrónico con
mensajes en español, utilizando su propio motor SMTP.
Cuando se ejecuta, es notoria la caída del rendimiento del
sistema infectado. El gusano es capaz de borrar archivos, lo
que puede afectar el funcionamiento del equipo.
Se propaga en mensajes con las siguientes características:
Asunto: [uno de los siguientes]
re:Amor verdadero
re:Como el aire...
re:Crees que puede ser verdad?
re:Déjate de rollos y vivé!!!
re:Eso con queso rima con...xD
re:La Luna
re:Neptuno y Mercurio
re:Pisología
re:Voodoo un tanto ps...
re:xD no me lo puedo creer!!
Texto del mensaje: [uno de los siguientes]
Crees en el amor de verdad?,miralo y ya
hablamos,ciaooo
Esa moribunda y solitaria Luna,Impresionante!chao.
Mira lo que te mando y ya verás que los detalles mas
pequeños son los que importan,ciaoo
No comment,xDD,Nos vemos!!
No veas que cosas xD,luego me cuentas,chao.
Qué relación tienen estos planetas?,miralo y luego me
cuentas,chao.
Renvíalo a todo que es que se meannn xD,nos vemos!
Será cierta la magia negra?,sal de dudas y ya me
cuentas,chao.
Test para ver si andas bien de las neuronassss!
xD,luego hablamos, chao
Ver es creer!!!!chaoo.
Datos adjuntos: [varios, con nombres y extensiones variables]
Posibles nombres:
d-incógnito
el_rechazo
love_sun
love-me
moon(luna)
my life(mi vida)
para-brisas
planetario
psíquico-mix
rimaz
stephan_yanzi
sun_yanzi
sun_yanzi_mp3
sunyanzi
voodoo!
Posibles extensiones:
.cmd
.pif
.scr
.zip
La infección se produce solo si el usuario abre y ejecuta el
adjunto con un doble clic.
Si ello ocurre y el gusano se ejecuta, la primera vez que lo
hace, se muestran varias ventanas con los siguientes textos:
Wolas
Pulse aceptar para seguir...
[ Aceptar ]
Intro
Este juego solo trata de responder unas preguntas...Y
si se aciertan todas...Pues ustd se llevará el premio
xDDD. Pulse aceptar
[ Aceptar ]
Final..
Ya casi estamos listos para empezar si usted lo está
pulse aceptar...
[ Aceptar ]
Te jodes y cayao
Ahora por tonto contemos hasta 50 porque a mi me da la
GANA !!! QUE PAISA?
[ Aceptar ]
Y toma y dale y mas de lo mismo xDDD
Todos Juntos:>0
[ Aceptar ]
Repite esta ventana cambiando el contador hasta 16:
Y toma y dale y mas de lo mismo xDDD
Todos Juntos:>16
[ Aceptar ]
JURJUR
No te pongas nervioso, vale?
[ Aceptar ]
Y toma y dale y mas de lo mismo xDDD
Todos Juntos:>21
[ Aceptar ]
Repite esta ventana cambiando el contador hasta 50:
Y toma y dale y mas de lo mismo xDDD
Todos Juntos:>50
[ Aceptar ]
Vamos Pues...
Y ya se acabó, ahora si que empezó el juego....
[ Aceptar ]
Finalmente, muestra una pantalla totalmente blanca, que
muestra únicamente el siguiente texto en letras grises:
Pulse CONTROL + 0 + 8 + N + 6 PARA PASAR VER LAS FOTOS
SIGUIENTES...
El sistema deja de responder a cualquier combinación de teclas
(menos CTRL+ALT+SUPR).
En este punto, el gusano crea una tarea llamada PEGOTE
(muestra el icono de un CD musical), y un proceso cuyo nombre
de imagen es INZAX.EXE. En Windows XP, si el usuario pulsa
CTRL+ALT+SUPR, puede matar el proceso creado por el gusano.
Los siguientes archivos pueden ser creados en el sistema:
c:\windows\system32\svchosl.pif
c:\windows\system32\m.zip
Dichos archivos son copias del propio gusano.
También crea los siguientes archivos:
c:\windows\system32\inzax.exe
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe
INZAX.EXE es el programa que muestra las ventanas de mensajes
descriptos antes, y los tres restantes son utilizados por la
rutina de propagación via correo electrónico, tarea para la
cuál utiliza su propio motor SMTP.
También crea los siguientes archivos:
X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\ph003.pif
X:\rd2_roberto.pif
X:\simbolic3.pif
X:\sin_mas_menos.pif
Donde "X" es una de las siguientes unidades de disco (o
aquellas que existan):
c:\
d:\
e:\
f:\
Para ejecutarse en próximos reinicios, el gusano crea la
siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP
y Windows Server 2003, como "c:\winnt\system32" en Windows NT
y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano intenta establecer una conexión HTTP con el
siguiente sitio, desde donde intenta descargar otros archivos:
www .ecija .org
El código del gusano contiene el siguiente texto:
-Worm by cUk- : -name Paula- : -version a- :
-Date 01/11/04- : -Made in Spanish-:
* Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan
únicamente como una guía de referencia, ya que la recuperación
de los archivos borrados, dependerá del daño causado por el
gusano desde el momento de ocurrida la infección.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\inzax.exe
c:\windows\system32\m.zip
c:\windows\system32\svchosl.pif
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe
X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\ph003.pif
X:\rd2_roberto.pif
X:\simbolic3.pif
X:\sin_mas_menos.pif
Donde "X" es una de las siguientes unidades de disco (o
aquellas que existan):
c:\
d:\
e:\
f:\
IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SVCHOST.EXE, ya que
es un archivo legítimo de Windows.
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
Svchost = c:\windows\system32\svchosl.pif
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
NOTA: NOD32 detectó este gusano desde el primer momento
gracias a su heurística avanzada, aún antes de crearse la
firma correspondiente.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Sitios Web infectados, propagan el gusano Bofra
_____________________________________________________________
http://www.vsantivirus.com/23-11-04.htm
Sitios Web infectados, propagan el gusano Bofra
Por Angela Ruiz
angela@videosoft.net.uy
Según ha sido reportado este lunes, varios sitios web muy
populares ubicados en Europa, pueden haber infectado con
variantes del gusano Bofra a aquellos visitantes que han hecho
clic en algunos de sus anuncios publicitarios.
Bofra, también identificado como una variante del Mydoom (ver
"W32/Bofra.H. Se vale de la vulnerabilidad en IFRAME",
http://www.vsantivirus.com/bofra-h.htm), infecta equipos con
Internet Explorer 6, bajo Windows XP con el Service Pack 1 y
también Windows 2000, aprovechándose de un desbordamiento de
búfer que permite la ejecución de código. El Service Pack 2
(SP2) de Windows XP no es vulnerable.
La advertencia fue emitida por el SANS (SysAdmin Audit Network
Security). También el sitio británico de noticias The
Register, informó que la compañía alemana Falk AG, que brinda
servicios de publicación de banners publicitarios a terceros,
se infectó con el Bofra, provocando la suspensión de dichos
servicios por varias horas.
"Si usted visitó ese sitio, o uno de sus asociados, entre las
6 de la mañana y las 12.30 del mediodía del sábado 20 de
noviembre, utilizando cualquiera de los productos vulnerables,
le aconsejamos examinar su equipo con un antivirus
actualizado, e instalar SP2 si está utilizando Windows XP",
dijo The Register.
Según el SANS, habrían también informes de sitios en Suecia y
los Países Bajos, que estarían infectados por el código de
este gusano.
En los Países Bajos, el sitio de noticias más importante,
NU.nl, con casi medio millón de visitantes al mes, fue
infectado por el sistema de banners publicitarios de
eSolutions de Falk AG, y también infectó a muchos de sus
usuarios. Otros importantes sitios, incluyendo uno de los más
grandes de Holanda, Startpagina, también distribuyó el gusano.
Las etiquetas de Adserver y las direcciones de conexión
agregadas a los banners publicitarios, se manipularon para
instalar y ejecutar el malware. Los pedidos del usuario se
redireccionaron a su vez, de los servidores de Falk, al sitio
"search.comedycentral.com", desde donde el código malicioso
fue enviado, dijo la compañía Falk AG en una declaración.
Sin embargo, Falk negó que sus sistemas hayan sido
comprometidos directamente por los piratas. Según su informe,
un ataque al tráfico de su sitio Web, permitió que un nodo
balanceador de carga esparciera el código. El balanceador de
carga (o despachador de tareas) distribuye el tráfico
interactivo entre varios hosts mediante reglas actualizadas
dinámicamente para conseguir el equilibrado de la carga, al
mismo tiempo que permite que el sistema del cliente perciba
los diferentes sistemas como si se tratase de uno solo.
Un tráfico excesivo, redireccionó muchos pedidos hechos a los
servidores de distribución de banners de Falk, a sitios Web
comprometidos previamente, los que enviaron el código
malicioso, dijo la compañía.
Por lo menos un experto de seguridad no está de acuerdo con
esa explicación. Joe Stewart, investigador principal de LURHQ,
una compañía proveedora de servicios de seguridad, piensa que,
o bien los servicios de Falk fueron comprometidos por piratas
informáticos, o estos encontraron otra forma para hacer que el
código malicioso fuera distribuido por dicha compañía; por
ejemplo incorporando el código a un aviso legítimo, y luego
contratando los servicios de Falk para publicarlo
"legalmente".
Todos los ataques hicieron uso de la misma vulnerabilidad en
el Internet Explorer. La misma es causada por un error de
límites en el manejo de ciertos atributos de las etiquetas
FRAME e IFRAME en el código HTML, que explotado exitosamente,
causa un desbordamiento de búfer y la posterior ejecución de
código.
Estos ataques pueden realizarse a través del Internet
Explorer, del Microsoft Outlook y del Outlook Express, sin que
el usuario pueda tener alguna indicación de que sus equipos
han sido comprometidos.
Los usuarios que utilizan SP2 en Windows XP, no son afectados.
Microsoft no ha publicado parches para las versiones
anteriores de su sistema operativo. Existen soluciones de
terceros, no oficiales, que dicen cerrar este agujero. Sin
embargo, muchos expertos advierten que instalar estos parches,
podría hacer que el remedio llegara a ser peor que la
enfermedad, ya que causaría inconsistencias en la instalación
de futuros parches oficiales, o aun peor, podrían comprometer
más seriamente la seguridad de los sistemas.
El golpe a los servicios de Falk AG, es muy similar en estilo,
al ataque de junio de 2004, en donde aproximadamente 100
sitios Web fueron comprometidos manualmente por un grupo de
piratas rusos llamado "hangUP team" (ver "Microsoft culpa a
los piratas, sepa como proteger su PC",
http://www.vsantivirus.com/ev-29-06-04.htm), realizado también
con la intención de aprovecharse de vulnerabilidades conocidas
del software de Microsoft.
Los usuarios que usan soluciones antivirus como NOD32, que
implementa un módulo de análisis del tráfico HTTP (IMON),
están protegidos ante este tipo de amenazas al acceder a
páginas de Internet comprometidas por código malicioso, o al
descargar archivos.
* Relacionados:
Desbordamiento de búfer con etiqueta IFRAME en IE
http://www.vsantivirus.com/vul-ie-iframe-031104.htm
W32/Bofra.H. Se vale de la vulnerabilidad en IFRAME
http://www.vsantivirus.com/bofra-h.htm
Microsoft culpa a los piratas, sepa como proteger su PC
http://www.vsantivirus.com/ev-29-06-04.htm
Todo sobre SCOB y su ataque a servidores de Internet
http://www.vsantivirus.com/faq-scob.htm
Nota: Video Soft es la empresa creadora del sitio VSAntivirus,
y representa en Uruguay al antivirus NOD32 (marca registrada
de ESET). Más información: http://www.nod32.videosoft.net.uy/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Yanz.B. Hace referencia a la cantante Sun Yan Zi
_____________________________________________________________
http://www.vsantivirus.com/yanz-b.htm
Nombre: W32/Yanz.B
Tipo: Gusano de Internet
Alias: Yanz.B, Win32/Yanz.B, W32/Yanz.b@MM, W32/Favsin-A
Fecha: 22/nov/04
Plataforma: Windows 32-bit
Tamaño: 122,880 bytes
Gusano escrito en Visual C++ 6.0, que se propaga en mensajes
variables, enviados a direcciones obtenidas de diferentes
archivos de la máquina infectada y de la libreta de
direcciones.
También se envía a través de redes P2P. Tanto los mensajes
como los archivos compartidos, hacen referencia a la cantante
china Sun Yan Zi.
Los mensajes enviados poseen las siguientes características:
De: [nombre]+[dominio]
Donde [nombre] es uno de los siguientes:
Guvenlik
Stephan-YanZi
Sun_YanZi
SunYanZi
Sun-YanZi
YanZi
YanZi-SuN
Y [dominio] es el mismo del destinatario.
Asunto: [uno de los siguientes]
- Asia_Singer
- Forever Sun Yanzi
- Great_Asia_Singer
- Hoscakal
- Huai_Tian_Qi
- I_hate_Spyware
- Stefanie Sun Yanzi
- Sun_Yan_Zi
- Sun_YanZi
- Sun_YanZi_Hayrani
- Sun_YanZi_HayranI
- SuN_YanZi_innocent
- Sun_Yanzi_Mp3
- Sun-YanZi
- Sun-YanZi-Mp3-Archive
- World_Tour_Sun_YanZi
Texto del mensaje: [uno de los siguientes]
I can not contact you. Because, I am far to you
(Turkiye)
I want to meet Sun YanZi. I am loving Sun-YanZi's
Magic. Call me YanZi. But you don't contact me
(Turkiye).
I want to see Sun YanZi. Call me Sun Yan Zi ;)
My Favourite Singer is Stefanie Sun Yanzi
Please listen to me Stefanie Sun Yanzi.
You must to listen Sun Yanzi. I am enjoying to listen
Sun YanZi.
Datos adjuntos: [uno de los siguientes nombres]
Dong_Shi.???
Great_Asia_Singer.???
Huai_Tian_Qi.???
Sun_Yan_Zi-Shen_Qi.mp3.???
Sun_YanZi.???
Sun_YanZI.???
Sun_Yanzi_Mp3.???
World_Tour_Sun_YanZi.???
Yanzi.???
Donde "???" puede ser alguna de las siguientes extensiones:
.exe
.htm
.pif
.scr
.zip
La computadora se infecta cuando se ejecuta el adjunto. Cuando
ello sucede, el gusano crea las siguientes copias de si mismo,
en la carpeta del sistema de Windows:
c:\windows\system\nvcpl.exe
c:\windows\system\dong_shi.exe
También crea los siguientes archivos:
\yanzi.vbs
\TEMP\sun??.jpg
\TEMP\sun??.tmp
Donde "??" son dígitos (crea varios archivos .JPG y .TMP)
El archivo .VBS crea y ejecuta un archivo SUN.EXE, el cuál se
usa para desplegar en pantalla una de las imágenes .JPG
mencionadas.
NOTA: En todos los casos, "c:\windows" y "c:\windows\system"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system32",
etc.). La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
El gusano muestra una ventana con el siguiente texto:
WINDOWS PANIC
No Windows. Yes doors and holes.
[ OK ]
Modifica el registro de Windows para autoejecutarse en cada
reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NvCpl = c:\windows\system\nvcpl.exe
El gusano busca direcciones para enviarse de archivos con las
siguientes extensiones:
.adb
.asp
.dbx
.doc
.htm
.html
.jsp
.rtf
.txt
.xml
También se envía a todos los contactos de la libreta de
direcciones de Windows. Utiliza para enviarse, su propio motor
SMTP.
Evita enviarse a direcciones que contengan cualquiera de las
siguientes cadenas de texto:
@aksam
@dostmail
@e-kolay
@erdemir
@erdemironline
@hurriyetim
@milliyet
@mynet
@ntvmsnbc
@posta
@sabah
@superonline
También se copia con los siguientes nombres en aquellas
carpetas cuyo nombre contenga la cadena "SHAR" (esto incluye
las carpetas compartidas de aplicaciones P2P como Kazaa, Kazaa
Lite, BearShare, eDonkey2000, ICQ, Kmd, Limewire y Shareaza):
Sun_YanZi-Huai_Tian_Qi.mpg.exe
Sun_YanZi-I_am_not_sad.mp3.exe
Sun_YanZi-Leave_me_alone.mp3.exe
Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe
Sun_YanZi-Shen_Qi.exe
Sun_YanZi-Tao_Wang.mpeg.exe
SunYanZi.mp3.exe
YanZi.Mp3.exe
YanZi_SuN-forever.mp3.exe
Intenta finalizar los procesos relacionados con el editor del
registro (REGEDIT.EXE), y con la utilidad de configuración del
sistema (MSCONFIG.EXE).
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas
por el atacante remoto, pueden aplicarse cambios en el sistema
no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir
archivos del o los programas P2P instalados en su computadora,
o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\nvcpl.exe
c:\windows\system\dong_shi.exe
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
NvCpl
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos o
más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en cuenta
las mismas precauciones utilizadas con cualquier otro medio de
ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo de
programas, puede terminar ocasionando graves problemas en la
estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - IRC/SdBot.CPL. Se copia como "wupdmgr32.exe"
_____________________________________________________________
http://www.vsantivirus.com/irc-sdbot-cpl.htm
Nombre: IRC/SdBot.CPL
Nombre NOD32: IRC/SdBot.CPL
Tipo: Gusano de Internet y caballo de Troya
Alias: SdBot.CPL, Backdoor.Sdbot.AH, W32/Sdbot.worm.gen.h,
IRC/BackDoor.SdBot, Backdoor.SdBot.gen, Backdoor.SDBot.Gen,
Win32.IRC.Bot.based, IRC-Sdbot, Backdoor.Sdbot,
BKDR_SDBOT.GEN, Backdoor:IRC/SdBot, W32/Sdbot-Fam
Fecha: 22/nov/04
Plataforma: Windows 32-bit
Tamaño: variable
Puerto: TCP 4191
Gusano que se propaga por recursos compartidos de redes, y que
puede actuar como un troyano de acceso remoto controlado vía
IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de
Windows con el siguiente nombre:
c:\windows\system\wupdmgr32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro para ejecutarse en
cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Update Manager for NT = "wupdmgr32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Windows Update Manager for NT = "wupdmgr32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Update Manager for NT = "wupdmgr32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Windows Update Manager for NT = "wupdmgr32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Update Manager for NT = "wupdmgr32.exe"
También agrega las siguientes entradas:
HKLM\SOFTWARE\Microsoft\OLE
EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
El gusano intenta continuamente infectar máquinas remotas,
generando direcciones IP al azar para conectarse a través del
puerto 445. Utiliza una extensa lista de usuarios y
contraseñas predefinidas en su código.
Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$,
IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de
infección, intentando copiarse en dicho equipo:
c$\wupdmgr32.exe
c$\winnt\system32\wupdmgr32.exe
Admin$\system32\wupdmgr32.exe
Posee un componente de acceso por puerta trasera (backdoor),
que intenta conectarse a servidores de IRC por el puerto TCP
4191 y unirse a un canal predeterminado. Actúa como un IRC
Bot, esperando las instrucciones en dicho canal. Un BOT es la
copia de un usuario en un canal de IRC, preparado para
responder y ejecutar ciertos comandos en forma automática.
Algunas acciones posibles:
- Auto actualizarse
- Capturar imágenes de webcams
- Capturas de pantalla
- Conectarse a una URL determinada
- Descargar y ejecutar archivos
- Enviar archivos
- Enviar pulsaciones de teclado a la ventana activa
- Escanear puertos de otras computadoras
- Iniciar un servidor HTTP
- Matar procesos e hilos de ejecución
- Obtener información del sistema
- Realizar ataques de denegación de servicio (UDP, ICMP y
SYN flooding)
- Robar el caché de contraseñas en Windows 95, 98 y ME
También roba la información de registro (CD-Keys), de los
siguientes juegos:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike
Chrome
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Software\Activision\Soldier of Fortune II - Double Helix
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
WUPDMGR32.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
WUPDMGR32.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Update Manager for NT
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Haga clic en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
Windows Update Manager for NT
6. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Update Manager for NT
8. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
9. Haga clic en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
Windows Update Manager for NT
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
11. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
Windows Update Manager for NT
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\OLE
13. Cambie el valor "N" en EnableDCOM por "Y"
14. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
15. Cambie el valor "dword:00000001" en restrictanonymous por
"dword:00000000"
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.videosoft.net.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1600 Año 8, martes 23 de noviembre de 2004
|
VSantivirus No. 16
Responder a este mensaje
