Mostrando mensaje 684     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1635 Año 8, martes 28 de diciembre de 2004 Fecha: Martes, 28 de Diciembre, 2004  03:13:23 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1635 Año 8, martes 28 de diciembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Santy y Spyki amenazan a todos los sitios PHP 2 - Troj/Phel.A. Se ejecuta automáticamente en XP SP2 3 - Perl/Spyki.A. Infecta sitios que utilizan scripts PHP 4 - W32/Kipis.B. Se propaga por e-mail y redes P2P _____________________________________________________________ 1 - Santy y Spyki amenazan a todos los sitios PHP _____________________________________________________________ http://www.vsantivirus.com/25-12-04.htm Santy y Spyki amenazan a todos los sitios PHP Por Jose Luis Lopez videosoft@videosoft.net.uy [Actualizado el 28/12/04] En las primeras horas de la tarde del 25 de diciembre de 2004, se comenzó a reportar la aparición de nuevas variantes del gusano Santy, y al menos una de ellas parecía afectar no solo las versiones vulnerables de PhPBB, el conocido paquete de código abierto, sino a todos los scripts PHP. Análisis posteriores del código obtenido, parecen demostrar que en realidad se trata de otra familia de gusanos, aunque con algunas similitudes. Santy.A hizo su aparición el pasado 21 de diciembre, y valiéndose de una vulnerabilidad en versiones anteriores a la última de PhPBB (que corrige ese fallo), logró en pocas horas desfigurar cientos de miles de sitios de Internet, incluyendo un mensaje con el texto "This site is defaced!!!" y "NeverEverNoSanity WebWorm generation". PHP, acrónimo de "PHP: Hypertext Preprocessor", es un lenguaje interpretado de alto nivel, y de código abierto, que se ejecuta en el servidor, y puede estar embebido en páginas HTML. Permite desarrollar páginas web dinámicas de una manera rápida y fácil, y es actualmente utilizado en millones de sitios. Ahora, un nuevo gusano llamado Spyki (también conocido como PhpInclude o Lexac), anteriormente detectado como otra variante del gusano Santy, es capaz de atacar a todos los scripts PHP que sean vulnerables a un problema con el uso de los parámetros "include()" y "require()", lo que permite la instalación de código. Esta vulnerabilidad, en realidad es una falla de programación, y no depende de la versión de PHP instalada. Dicho de otro modo, la mayoría de los sitios bajo PHP pueden estar en peligro, si en su momento no se tuvieron en cuenta los consejos básicos de una buena programación. Por otra parte, recientes informes hablan de una gran actividad en la red, ocasionada por múltiples escaneos de foros bajo PhPBB que aún pueden ser vulnerables, y también de páginas PHP, con el objetivo de instalar bots de IRC. Un bot de IRC es un programa preparado para responder o actuar automáticamente ejecutando ciertos comandos de forma remota. Para detectar sitios vulnerables y de ese modo propagarse, el Spyki se vale del sitio brasilero de Google (www.google.com.br) y de Yahoo!. El gusano analiza sintácticamente las URL, y sobrescribe las variables con cadenas para aprovecharse de la posibilidad de incluir código. Cuando tiene éxito, el gusano puede descargar y ejecutar un programa o script en el sitio vulnerable, y luego usarlo para conectarse a un servidor IRC. Algunas pruebas realizadas, mostraban en un primer momento más de 700 máquinas zombis a la espera de comandos. Sin embargo, actualmente no hay indicios de un aumento de este número (incluso podría ser menor), posiblemente porque el principal sitio de descarga del código fue cerrado. Por otra parte, otra versión del Santy, también detectada el 25 de diciembre, utiliza los buscadores de AOL y de Yahoo!, para localizar sistemas PhPBB 2.0.10 vulnerables. Santy.A empleaba para ello Google, pero éste comenzó a bloquear las búsquedas realizadas por el gusano, frenando su propagación. Un problema adicional para muchos servidores que alojan páginas PHP, es el aumento del tráfico ocasionado por la actividad de ambos gusanos, que en muchos casos puede llegar a transformarse en un verdadero ataque de denegación de servicio (DoS), haciendo que estos sitios dejen de responder a las peticiones legítimas de sus visitantes. Si además de todo esto tenemos en cuenta las actuales festividades, es probable que muchos encargados de sitios vulnerables (tanto bajo PhPBB como bajo cualquier otro PHP), no reaccionen a tiempo, dando como resultado la aparición de numerosas máquinas zombis, todas listas para recibir y ejecutar cualquier orden enviada por un atacante remoto. Las soluciones en el caso del Santy, son actualizarse a la versión PhPBB 2.0.11 o modificar el archivo vulnerable (ver "Más información"). Además, se aconseja actualizar la versión PHP utilizada, ya que aunque el problema con los parámetros "include()" y "require()" se resuelve con una correcta programación (lo que previene la infección con el gusano Spyki), la ejecución de código en el servidor, podría explotar otras vulnerabilidades existentes en versiones anteriores de PHP. Al momento actual, no hay noticias que estos gusanos o sus acciones, afecten directamente a quienes visiten los sitios infectados. Sin embargo, esto no es garantía de nada, ya que las nuevas variantes, podrían facilitar la aparición de cualquier otro código malicioso que intente infectar los equipos de los visitantes. * Más información: Perl/Santy.A. Infecta sitios construidos con PhPBB http://www.vsantivirus.com/santy-a.htm Perl/Santy.B. Infecta sitios construidos con PhPBB http://www.vsantivirus.com/santy-b.htm Perl/Santy.C. Infecta sitios construidos con PhPBB http://www.vsantivirus.com/santy-c.htm Perl/Spyki.A. Infecta sitios que utilizan scripts PHP http://www.vsantivirus.com/perl-spyki-a.htm Secure Programming in PHP http://www.zend.com/zend/art/art-oertli.php PHP Security Mistakes http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/ phpBB 2.0.11 :: 18th November 2004 http://www.phpbb.com/downloads.php * Publicado anteriormente: VSantivirus No. 1633 Año 8, domingo 26 de diciembre de 2004 El gusano Santy ataca ahora a todos los sitios PHP http://www.vsantivirus.com/25-12-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Troj/Phel.A. Se ejecuta automáticamente en XP SP2 _____________________________________________________________ http://www.vsantivirus.com/troj-phel-a.htm Nombre: Troj/Phel.A Tipo: Caballo de Troya Alias: Phel, Trojan.Phel.A Fecha: 27/dic/04 Plataforma: Windows XP Caballo de Troya que se distribuye en un archivo HTML, intentando infectar equipos bajo Windows XP con Service Pack 2. Utiliza una vulnerabilidad que permite eludir la restricción de seguridad para archivos de ayuda mediante una vulnerabilidad en el objeto "Help ActiveX Control". Más información: Internet Explorer SP2: Ejecución automática de código http://www.vsantivirus.com/vul-iesp2-261204.htm Cuando se ejecuta, descarga y ejecuta otros archivos de Internet. Los equipos infectados pueden quedar inestables y su rendimiento decaer notoriamente. Cuando se abre el archivo HTML que contiene el código del troyano, se despliegan dos ventanas del Internet Explorer, y podría mostrarse un mensaje de error previniendo su ejecución. Si la ejecución es exitosa, el troyano descarga un archivo del siguiente dominio y lo ejecuta como un JavaScript: searchproject.net El script descarga más código del mismo sitio utilizando el objeto "ADODB.Connection", y lo graba como MY.HTA en las siguientes carpetas: C:\Documents and Settings\All Users\Kaynnista-valikko\Ohjelmat\Kaynnistys C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica C:\Documents and Settings\All Users\Menu Demarrer\Programmes\Demarrage C:\Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar C:\Documents and Settings\All Users\Menu Inicio\Programas\Inicio C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten C:\Documents and Settings\All Users\Menu Start\Programy\Autostart C:\Documents and Settings\All Users\Menuen Start\Programmer\Start C:\Documents and Settings\All Users\Start Menu\Programlar\BASLANGIC C:\Documents and Settings\All Users\Start Menu\Programs\Startup C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart C:\Documents and Settings\All Users\Start-menyn\Program\Autostart C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\Autostart Estas carpetas y su ubicación, están literalmente especificadas en el código del troyano. Dependiendo del idioma del sistema operativo, el archivo MY.HTA se ejecutará en cada reinicio de Windows. Cuando ello ocurre, se descarga otro archivo del mismo dominio, el cuál es grabado en la siguiente ubicación y luego ejecutado: c:\kb3248.exe Se crean entonces los siguientes archivos: c:\windows\system32\uwyrl.exe c:\windows\system32\uwyrl.dll NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000). También se crea la siguiente entrada para que el troyano se autoejecute en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run uwyrl = "c:\windows\system32\uwyrl.exe" El troyano también descarga y ejecuta a otro troyano identificado como "Coreflood" del siguiente dominio: down.spainglobaling.com Más información sobre "Coreflood": Troj/Backdoor.Coreflood. Infecta desde páginas Web http://www.vsantivirus.com/back-coreflood.htm Para minimizar la acción de este troyano, se recomienda desactivar "Secuencias de comandos ActiveX" del Internet Explorer, tal como se explica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Reparación manual NOTA: Tenga en cuenta que de acuerdo a los archivos maliciosos descargados y ejecutados por el virus, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\kb3248.exe c:\windows\system32\uwyrl.exe c:\windows\system32\uwyrl.dll * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: MY.HTA 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: MY.HTA 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Haga clic en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: uwyrl 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Perl/Spyki.A. Infecta sitios que utilizan scripts PHP _____________________________________________________________ http://www.vsantivirus.com/perl-spyki-a.htm Nombre: Perl/Spyki.A Tipo: Gusano de PHP Alias: Spyki, Net-Worm.Perl.Santy.d, Net-Worm.Perl.Santy.e, Perl.Lexac, Perl.PhpInclude.Worm, Perl.Santy.C, Perl.Spyki, Perl:Santy-F, PhpInclude.Worm, Santy.c, Santy.d, Santy.e, Santy.e, Spyki.a, Spyki.b, Worm.Perl.SHS.A, Worm.Perl.SHS.B, Worm.Santy.B, WORM_SANTY.C, WORM_SANTY.F, Perl/Santy-Fam, Exploit-phpBB!hilight Fecha: 27/dic/04 Plataforma: Unix, Linux, Windows 32-bit Gusano que se propaga por servidores web que ejecutan scripts PHP, y son vulnerables al error de inclusión de archivos externos mediante el uso de los parámetros "include()" y "require()", lo que permite la instalación de código. No se trata de una vulnerabilidad propiamente dicha, sino de errores causados por una programación descuidada que no filtra adecuadamente el origen de los archivos utilizados. El problema no depende de la versión de PHP instalada, ya que todas pueden ser afectadas. El gusano, primeramente detectado como una variante del Santy, posee algunas diferencias con éste, por lo que algunos fabricantes de antivirus lo consideran parte de una nueva familia de gusanos. Sin embargo, posee similitudes con el Santy en el hecho de que utiliza buscadores como Google (en su versión brasilera), y Yahoo! para obtener la lista de servidores vulnerables. A diferencia del Santy, no afecta solo al paquete PhPBB, sino a todos los sitios que estén construidos con PHP. El gusano afecta a todas las plataformas que puedan ejecutar PHP, eso incluye a UNIX, Linux, Windows 2000, Windows NT, Windows Server 2003, Windows XP, etc. Cuando se ejecuta en un servidor vulnerable, el gusano inicia la búsqueda de otros equipos con la misma debilidad, utilizando los motores de búsqueda de Google y Yahoo! mediante la cadena "*.php?*=". Luego graba el resultado de su búsqueda en un archivo con un nombre al azar formado por un número del 0 al 9999. Intenta conectarse a un servidor remoto para descargar y ejecutar algunos de los siguientes archivos en los equipos vulnerables: spy.gif spybot.txt worm1.txt php.txt ownz.txt zone.txt Algunos de esos archivos son bots de IRC (programas preparados para responder o actuar automáticamente ejecutando ciertos comandos de forma remota), otros son detectados por algunos antivirus como el propio gusano, o como alguna variante del Santy, todos escritos en Perl. Actualmente el servidor original desde donde se descargaban dichos archivos no está disponible. El gusano abre una puerta trasera en los equipos infectados, conectándose a un servidor IRC específico a través del puerto TCP/6667, desde donde un atacante remoto podrá obtener acceso a aquellos. También puede enviar información al atacante remoto, a través de cualquiera de los siguientes puertos: 21 23 25 80 110 139 530 666 1234 1492 1524 1666 2222 2313 3333 3879 4444 5074 5252 5321 5678 6666 6682 6968 6969 6969 6970 7512 7788 8008 8975 9191 9988 9999 10000 12321 12345 12346 12666 13330 14589 16705 21317 24876 26092 26112 30464 30464 31337 33270 36864 36864 36864 40193 40193 41254 43690 44123 44464 45295 46256 50766 58821 65535 El código del gusano incluye la siguiente cadena: Atrix Team Al momento actual, los usuarios que visiten los sitios infectados, no sufren ninguna clase de daño en sus computadoras. Los servidores de los sitios afectados, pueden sufrir una perdida de rendimiento. Los administradores de los sitios vulnerables, deben asegurarse de que en la programación de las páginas PHP, se hayan aplicado las reglas básicas de seguridad al emplearse los parámetros "include()" y "require()", como se explica en sitios como los siguientes: Secure Programming in PHP http://www.zend.com/zend/art/art-oertli.php PHP Security Mistakes http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Kipis.B. Se propaga por e-mail y redes P2P _____________________________________________________________ http://www.vsantivirus.com/kipis-b.htm Nombre: W32/Kipis.B Nombre NOD32: Win32/Kipis.B Tipo: Gusano de Internet y caballo de Troya de acceso remoto Alias: Kipis.B, Email-Worm.Win32.Kipis.b, I-Worm/Kipis.B, W32.Kipis.B@mm, W32/Kipis-B, Win32.HLLM.Dasha, Win32.Madon.B@mm, Worm.Kipis.B, W32/Kipis.B@mm, Worm.Dasha.A, Win32/Kipis.B Fecha: 25/dic/04 Plataforma: Windows 32-bit Gusano detectado el 25 de diciembre de 2004. Se propaga por correo electrónico en mensajes con las siguientes características: Asunto: [uno de los siguientes] - Ass - Happy New Year - Hello Texto del mensaje: [uno de los siguientes] Ejemplo 1: Hello! baby :-) Ejemplo 2: Kiss me Ass... Ejemplo 3: Server cannot send message. _____________________________________________ On all questions address in a support service Datos adjuntos: [uno de los siguientes] kiss my ass.scr myfoto_04.scr your present.scr your screen_03.scr Cuando se ejecuta, se copia a si mismo en la siguiente ubicación: c:\windows\regedit.com NOTA: REGEDIT.EXE es una herramienta legítima de Windows (el editor del registro). El gusano se copia con el mismo nombre pero la extensión .COM. Si el usuario ejecuta REGEDIT (teclea REGEDIT + Enter en Inicio, Ejecutar), sin escribir la extensión, se ejecutará el archivo del gusano (REGEDIT.COM), en lugar de REGEDIT.EXE, porque la extensión .COM tiene precedencia a la extensión .EXE. Para ver las extensiones de estos archivos, siga las instrucciones que se dan al final de esta descripción ("Mostrar las extensiones verdaderas de los archivos"). El gusano también crea un directorio SECURITY dentro de Windows: c:\windows\security Se copia allí como SVCHOST.EXE: c:\windows\security\svchost.exe NOTA: SVCHOST.EXE es un archivo legítimo en Windows XP, y se encuentra en el directorio WINDOWS\SYSTEM32. No lo confunda con el archivo creado por el gusano. En Windows 95, 98 o Me, el gusano crea la siguiente entrada en el archivo SYSTEM.INI, para ejecutarse en cada reinicio del sistema: [boot] Shell = Explorer.exe "c:\windows\security\svchost.exe" En Windows NT, 2000 o XP, crea la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe "c:\windows\security\svchost.exe" Para propagarse por correo electrónico, obtiene las direcciones de la libreta de Windows, y de archivos con las siguientes extensiones en todas las unidades de disco y RAM de la C a la Z: .adb .dbx .doc .htm .tbb .txt El gusano utiliza su propio motor SMTP para enviarse. También puede propagarse por redes P2P. Para ello, busca en el registro las carpetas compartidas de algunas utilidades de intercambio de archivos entre usuarios, y se copia en ellas con los siguientes nombres: DrWeb 4.32 keygen.com KAV Pro 5.xx keygen.com Nude Britney Spears.scr Nude Pic_07.scr Virtual Girl 2.01.com WinXP Sp2 key.com Abre una puerta trasera en el equipo infectado (backdoor), quedando a la escucha por el puerto TCP 1029. Por este acceso programas adicionales podrán ser descargados de Internet y luego ejecutados, sin el conocimiento del usuario. El gusano también crea el siguiente archivo con extensión .BMP de contenido falso, el cuál es capaz de bloquear la utilidad que se utilice para abrirlo (por ejemplo, MSPAINT.EXE): c:\windows\system32\jpg.bmp Este archivo solo contiene una cadena sin sentido: BMD -:+:- zzzzzzzzzzz El gusano es capaz de finalizar la ejecución de conocidas herramientas de seguridad (cortafuegos y antivirus). Crea con el siguiente nombre un mutex (especie de semáforo), como indicador para no ejecutarse más de una vez en memoria: KiPiSx018-AxSE-DDSxKAV Esta variante crea un thread que examina al ejecutarse, la fecha y hora actual. Si el gusano se ejecuta entre el 1 de enero y el 13 de enero de 2005, crea otro thread que envía de forma continua peticiones HTTP al servidor web de Kaspersky Antivirus, con la intención de provocar una denegación de servicio. NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre el siguiente archivo (no lo confunda con REGEDIT.EXE, que es un archivo legítimo del sistema, que NO debe ser borrado): c:\windows\regedit.com También borre la carpeta SECURITY en la siguiente ubicación: c:\windows\SECURITY Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT.EXE y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: 3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 4. En el panel derecho, en la entrada "Shell", deje solo "Explorer.exe" 5. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Modificar SYSTEM.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 2. Busque lo siguiente: [boot] Shell = Explorer.exe "c:\windows\security\svchost.exe" y déjelo así: [boot] Shell = Explorer.exe 3. Grabe los cambios y salga del bloc de notas * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 27/12/04 - 18:14 -0200 (Alias: W32/Kipis.B@mm) 27/12/04 - 18:14 -0200 (Alias: Worm.Dasha.A) 27/12/04 - 18:14 -0200 (Ampliación de la descripción) * Publicado anteriormente: VSantivirus No. 1633 Año 8, domingo 26 de diciembre de 2004 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1635 Año 8, martes 28 de diciembre de 2004