Mostrando mensaje 107     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1058 Año 7, Sábado 31 de mayo de 2003 Fecha: Sabado, 31 de Mayo, 2003  03:26:53 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1058 Año 7, Sábado 31 de mayo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - DoS en librería APR del servidor Apache Linux y Windows 2 - W32/Redisto.B. Elimina antivirus, roba contraseñas 3 - W32/Vote.F. Borra archivos y deja inoperativo a Windows 4 - W32/Erah.A. Todos los "Asuntos" con la palabra "Hare" _____________________________________________________________ 1 - DoS en librería APR del servidor Apache Linux y Windows _____________________________________________________________ http://www.vsantivirus.com/vul-apr-apache.htm DoS en librería APR del servidor Apache Linux y Windows Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Apache es un conocido servidor de código abierto para Unix (incluido Linux) y Windows, soportado por The Apache Software Foundation (http://httpd.apache.org/). Apache utiliza la librería (también libre), APR (Apache Portable Runtime), para su fácil implementación en todos los sistemas operativos (ver http://apr.apache.org/). El módulo "mod_dav" es utilizado para manejar las diferentes distribuciones identificando el autor y la versión (DAV = Distributed Authoring and Versioning). Más información en http://www.webdav.org/mod_dav/. Si se le pasa una cadena excesivamente larga a la función "apr_psprintf()" de la librería APR usada por el servidor Apache, se puede provocar un error en el manejo de la memoria del programa, con la posibilidad de ejecutar código en forma arbitraria, aunque esto no ha sido comprobado. Por otra parte, se considera dificultoso llegar a implementar un ataque de este tipo fuera del laboratorio, debido a las estrictas condiciones necesarias para que ello ocurra. Sin embargo, sí es posible implementar ataques de denegación de servicio (DoS) usando esta vulnerabilidad, por medio de una solicitud maliciosamente construida en un formato XML. XML (Extensible Markup Language), es un lenguaje de marcado, basado en una sintaxis similar a HTML, que permite a los usuarios definir sus propias etiquetas y estructuras de documentos. Si se implementa una solicitud como objeto XML de aproximadamente 12,250 bytes se puede hacer caer a un servidor Apache HTTP en un sistema Unix o Linux. 20,000 bytes son suficientes para hacer lo mismo en los servidores Apache ejecutándose en Windows. Todas las aplicaciones basadas en viejas versiones de APR son vulnerables. Una lista de estos proyectos está disponible en http://apr.apache.org/projects.html#open_source Las versiones de Apache HTTP Server 2.0.37 hasta la 2.0.45 inclusive, de todas las plataformas, son vulnerables. Se recomienda la actualización de este producto a la versión Apache HTTP Server 2.0.46, la cuál contiene los parches para la librería APR. La misma puede ser descargada del siguiente enlace: http://httpd.apache.org/download.cgi Reportado por: iDEFENSE [http://www.idefense.com] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Redisto.B. Elimina antivirus, roba contraseñas _____________________________________________________________ http://www.vsantivirus.com/redisto-b.htm Nombre: W32/Redisto.B Tipo: Gusano de Internet Alias: Redisto.B, Win32/Redisto.B, I-Worm.Redisto.b Plataforma: Windows 32-bit Tamaño: 18,432 bytes (comprimido), 65,536 bytes. Fecha: 30/may/03 Este gusano se propaga a través del correo electrónico y de las redes de intercambio de archivos entre usuarios P2P. Escrito en Visual Basic 5, también posee características de troyano, comprometiendo la confidencialidad del usuario de la computadora infectada, ya que toda la información de la misma puede ser enviada a un atacante remoto, en un mensaje con estas características. Además, puede detener los procesos de conocidos antivirus y cortafuegos. Para propagarse por correo electrónico, el gusano manda una copia de si mismo a todos los contactos de la libreta de direcciones de Windows (.WAB), en mensajes como los siguientes: Ejemplo 1: Asunto: Re: Datos adjuntos: Card_0.Pif Texto: Hello, Have I sent you the Gift Card in the attachments before? if not, check it out! Cya! Ejemplo 2: Asunto: Joke book Datos adjuntos: Jokebook.Pif Texto: Hello, Check out the joke book in the attachments! it has some really good jokes (not lame jokes hehe) Have fun! Ejemplo 3: Asunto: Read this before? Datos adjuntos: Hackers.Pif Texto: Hello, have you read the Hackers of [fecha actual] If you havent, It is in the attachments :) It contains true stories, hacking techniques, and more! It is a fairly big thing to read, so dont read it all at once! Ejemplo 4: Asunto: Better than KaZaA? Datos adjuntos: P2pinstall.Exe Texto: If you download music files from the internet, you would know that KaZaA is seen to be the best file-sharing network for music. Well, I have included a file in the ttachments that connects and downloads music twice as fast as what KaZaA can do. works well with my computer! Enjoy! Ejemplo 5: Asunto: The File Datos adjuntos: [uno de los siguientes] New Winzip File.Pif New Microsoft Word Document.Pif New Microsoft Excel Worksheet.Pif New Microsoft Powerpoint Presentation.Pif New Text Document.Pif New Bitmap Image.Pif Texto: Here is that file you wanted (in the attachments). Para propagarse por las redes P2P, busca en los siguientes directorios: C:\Program Files C:\Programmer C:\Program C:\Programme C:\Programmi C:\ProgramFiler C:\Programas C:\Archivos De Programa Cualquiera de estas carpetas compartidas de conocidos programas P2P: \KMD\My Shared Folder \Kazaa\My Shared Folder \Kazaa Lite\My Shared Folder \LimeWire\Shared \Gnucleus\Downloads \Gnucleus\Downloads\ Incoming \Shareaza\Downloads \BearShare\Shared \Edonkey2000\Incoming \Edonkey \Incoming \Morpheus\My Shared Folder \Grokster\My Grokster \ICQ\Shared Files \My Music \My Documents\My Music \My Downloads Dentro de los directorios encontrados, se copia a si mismo con los siguientes nombres de archivos: Dos Icmp-Flooder.Pif Hackerguide ‘año_actual’.Pif Half-Life Keygen.Exe Hotmail Password Cracker.Pif How To Hack Smtp Servers.Pif Kazaa Spedup Patch.Pif Modem Speed Booster.Exe Remote Admin ‘‘año_actual’.Exe Rtcw Cheat-Enabler.Exe El gusano puede enviar a un usuario remoto toda la información de la computadora infectada, en un mensaje con estas características: Para: Zed_rRlf@hotmail.com Asunto: Cached passwords – [fecha infección] [Y como texto, toda la información privada robada, contraseñas, etc.] También puede detener los siguientes procesos activos en la memoria de la computadora, lo que permite acabar con antivirus y cortafuegos que se estén ejecutando: _avp.exe _avp32.exe ackwin32.exe anti-trojan.exe apvxdwin.exe autodown.exe avconsol.exe ave32.exe avgctrl.exe avkserv.exe avnt.exe avp.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avpmon.exe avpnt.exe avptc32.exe avpupd.exe avsched32.exe avwin95.exe avwupd32.exe blackd.exe blackice.exe ccapp.exe cfiadmin.exe cfiaudit.exe cfind.exe cfinet.exe cfinet32.exe claw95.exe claw95cf.exe claw95ct.exe cleaner.exe cleaner3.exe dv95.exe dv95_o.exe dvp95.exe dvp95_0.exe ecengine.exe efinet32.exe esafe.exe espwatch.exe f-agnt95.exe findviru.exe f-prot.exe fprot.exe f-prot95.exe fprot95.exe fp-win.exe frw.exe f-stopw.exe iamapp.exe iamserv.exe ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icmoon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe iface.exe iomon98.exe jed.exe jedi.exe kpf.exe kpfw32.exe lockdown2000.exe lookout.exe luall.exe moolive.exe mpftray.exe n32scan.exe n32scanw.exe navapw32.exe navlu32.exe navnt.exe navsched.exe navw.exe navw32.exe navwnt.exe nisum.exe nmain.exe normist.exe nupgrade.exe nvc95.exe outpost.exe padmin.exe pavcl.exe pavsched.exe pavw.exe pccwin98.exe pcfwallicon.exe persfw.exe rav7.exe rav7win.exe rescue.exe safeweb.exe scan32.exe scan95.exe scanpm.exe scrscan.exe serv95.exe smc.exe sphinx.exe sweep95.exe tbscan.exe tca.exe tds2-98.exe tds2-nt.exe vcontrol.exe vet32.exe vet95.exe vet98.exe vettray.exe vscan40.exe vsecomr.exe vshwin32.exe vsscan40.exe vsstat.exe webscan.exe webscanx.exe wfindv32.exe zonealarm.exe zapro.exe Mientras se ejecuta, no muestra ningún mensaje o aviso que delate su presencia. La primera vez que se ejecuta, crea los siguientes archivos: c:\windows\New Text Document.Pif c:\windows\Winexec32.Exe c:\windows\system\Msexec32.Vbs c:\windows\system\Mscab1_32.Cab c:\windows\system\Mscab2_32.Cab c:\windows\system\Mscab3_32.Cab c:\windows\system\Mscab4_32.Cab c:\windows\system\Mscab5_32.Cab c:\windows\system\Mscab6_32.Cab c:\windows\system\Wininet32.Ocx NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). El gusano se copia también en otras unidades de disco, con el nombre de SETUPPASSWRDS.EXE. Modifica las siguientes entradas en el registro, para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windows Explorer Shell = c:\windows\Winexec32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Winhlp32 = Wscript.exe c:\windows\system\Msexec32.vbs %1 También crea esta entrada: HKCU\Software\Zed\Outsider Outsider2 = W32/Outsider.B by Zed * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\New Text Document.Pif c:\windows\Winexec32.Exe c:\windows\system\Msexec32.Vbs c:\windows\system\Mscab1_32.Cab c:\windows\system\Mscab2_32.Cab c:\windows\system\Mscab3_32.Cab c:\windows\system\Mscab4_32.Cab c:\windows\system\Mscab5_32.Cab c:\windows\system\Mscab6_32.Cab c:\windows\system\Wininet32.Ocx Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Explorer Shell 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Winhlp32 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Zed 7. Pinche en la carpeta "Zed" y bórrela. 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Vote.F. Borra archivos y deja inoperativo a Windows _____________________________________________________________ http://www.vsantivirus.com/vote-f.htm Nombre: W32/Vote.F Tipo: Gusano de Internet Alias: DER.B, W32/Der.B@mm, W32/Der.B, I-worm.der.B@mm, Win32/Der.B Plataforma: Windows 32-bit Fecha: 30/may/03 Tamaño: 116 Kb~ Este gusano, escrito en Microsoft Visual Basic 6, sobrescribe archivos con diversas extensiones, además de borrar todos los que tienen extensión .DLL, dejando inoperativo al sistema. Para que funcione, requiere los archivos run-time de Visual Basic 6. Puede autoenviarse a todos los contactos de la libreta de direcciones de Windows, utilizando las funciones MAPI (Messaging Application Programming Interface). Los mensajes tienen estas características: Asunto: [destinatario], [uno de los siguientes textos] LET US UNITE, THE WAR HAS STARTED ! NOW OUR MISSION: DEATH ? THE WAR HAS STARTED ! THE WORLD WAR THREE IS HERE ! THE WAR HAS STARTED ! REMEMBER OUR LOST SOULS ! THE WAR HAS STARTED ! WAR SCENES FROM IRAQ ! THE WAR HAS STARTED ! WORLD TRADE CENTER, REVENGE ! THE WAR HAS STARTED ! IRAQ WITHOUT ELECTRICITY ? THE WAR HAS STARTED ! IRAQ, GETTING STRONGER OR WEAKER ? THE WAR HAS STARTED ! IRAQ SURRENDERING !? THE WAR HAS STARTED ! USA PREPARED FOR ATTACKS, THE WAR HAS STARTED ! Texto: [destinatario], THE WAR IS NOT A JOKE !... THERE IS ONE BUILDING UP RIGHT NOW Let's Unite In This Horrible Kaos. Win2K... Fight With Us....!!! ...And Let Us Remember Those Lost Souls ! WE COUNT ON YOU ! Win2K Greetings, World War Veterans. PS- See Attachments For War Info. Datos adjuntos: USA.VS.IRAQ.scr, Plug-In_EXT.dll Al ejecutar el adjunto, el gusano se copia a si mismo en las siguientes ubicaciones: C:\Autorun.com C:\NT-Help.com C:\Op_Me.co_ C:\Windows\WTC32.SCR C:\Windows\Notepad.exe Si la carpeta de la versión instalada del sistema operativo no es "c:\windows", el gusano falla en su acción de copiarse allí. El gusano también crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run W32Tc = C:\Windows\WTC32.scr También modifica la página de inicio del Internet Explorer: HKCU\Software\Microsoft\Internet Explorer\Main Start Page = C:\Windows\WTC32.scr Otros cambios en el registro: HKLM\Software\Microsoft\Windows NT\CurrentVersion RegisteredOwner = YOU ARE A VICTIM OF THE RegisteredOrganization = WORLD TRADE CENTER ProductName = W32.HLLP.I-Worm.WTC.03 Cuando se ejecuta, el gusano muestra una ventana con el siguiente texto: WORLD TRADE CENTER WE WILL ALWAYS REMEMBER THOSE LOST SOULS... [ OK ] Cuando inicia su auto envío masivo, muestra ventanas con un título seleccionado de la siguiente lista: VICTIM # 5568 VICTIM # 6734 VICTIM # 8635 VICTIM # 5764 VICTIM # 5775 VICTIM # 8643 VICTIM # 434 VICTIM # 6480 VICTIM # 680 VICTIM # 696 VICTIM # 9375 VICTIM # 236 VICTIM # 187 VICTIM # 6545 VICTIM # 4574 VICTIM # 4874 VICTIM # 4765 VICTIM # 5475 VICTIM # 547 Y uno de los siguientes textos: YO NUNCA OLVIDARE A LOS BORICUAS DEL WTC FUCK THE WTC, LET THEM DIE AND FUCK THEM !!!! QUE SE JODAN!!! MOM NEVER CAME BACK MAYBE SHE WAS FUCKING MY PSYCHOLOGIST WE WILL ALWAYS REMEMBER THOSE LOST SOULS... I HAVE FUCKED MORE THEN 27 WOMEN I AM A SICK PERVERT, I'M ALWAYS THINKING ABOUT IF I COULD'VE FUCKED MY AUNT BEFORE SHE DIED IN THE WTC !!!! MY GIRLFRIEND WAS FUCKING MY BEST FRIEND BUT HIS GIRLFRIEND DOESN'T WANT TO FUCK WITH ME. OH, COME ON !!!! I LOVED MY GIRLFRIEND. I GUESS SHE NEVER CAME BACK BECAUSE SHE DIED CUMMING WHILE FUCKING MY FATHER LORENA, I WANT TO FUCK YOU BEFORE THE 3 PLANE ARRIVES.....SHITT !!!! I WILL FUCK LORENA BEFORE OSAMA ARRIVES WITH HIS MISSILE MY MOTHER DIED ON THE NINTH FLOOR MY GIRLFRIEND DIED FUCKING HER BOSS.....SHITT !!!! MY SISTER WAS FUCKING MY BROTHER BUT SHE HAS NEVER FUCKED WITH ME I WAS FUCKING MY STEP MOTHER WHILE SHE SCREAMED : WATCH OUT FOR THAT PLANE... ! I WAS FUCKING THE STATUE OF LIBERTY WHILE BUSH WAS FUCKING HIS GRANDMA BILL CLINTON WAS SUCKING MY DICK DURING THE BOMBING LORENA, MY SISTER FUCKED ME BEFORE SHE SUCKED BILL CLINTON'S DICK.....SHITT !!!! MY SISTER FUCKED BUSH I FUCKED MY STEP SISTER BUT SHE NEVER MADE ME CUM I FUCKED MY ART TEACHER BUT SHE NEVER GAVE ME AN A...! DAMN !!! El gusano lleva un contador de los mensajes enviados en la siguiente clave del registro: HKCU\Software\Microsoft\Windows\CurrentVersion WtcSnd = [valor] El gusano también busca en todas las unidades del disco duro, archivos con las siguientes extensiones, y los sobrescribe con su código, siendo imposible su recuperación si no se restauran desde un respaldo, o reinstalando: .exe .scr Luego, borra los archivos con las siguientes extensiones: .wav .mp3 .jpg .bmp .zip .rar .doc Y se copia él mismo con los nombres de los archivos borrados, pero agregándole la extensión .EXE. Por ejemplo, borra un archivo NOTA.DOC y crea uno llamado NOTA.DOC.EXE que es el propio gusano. Luego, borra todos los archivos .DLL en la carpeta C:\Windows\System32, dejando al sistema inoperativo. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior, aunque seguramente, si la rutina destructiva se llegó a ejecutar, la única solución efectiva sea reinstalar todos los programas y aplicaciones, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Autorun.com C:\NT-Help.com C:\Op_Me.co_ C:\Windows\WTC32.SCR C:\Windows\Notepad.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: W32Tc 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion 5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, cambie los siguientes valores: RegisteredOwner = YOU ARE A VICTIM OF THE RegisteredOrganization = WORLD TRADE CENTER ProductName = W32.HLLP.I-Worm.WTC.03 Por los suyos: RegisteredOwner = [su nombre] RegisteredOrganization = [vacío] ProductName = [versión de Windows, por ej.: Windows 98] 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion 7. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: WtcSnd 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main 9. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada: Start Page 10. Pinche en "Start Page" y modifique el valor "C:\Windows\WTC32.scr" por el valor "about:blank". 11. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Cómo recuperar NOTEPAD.EXE En Windows 98: 1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter. 2. Marque "Extraer un archivo del disco de instalación" 3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar: NOTEPAD.EXE 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC"). En Windows Me: 1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. 2. Pinche en el botón "Extraer archivo" 3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar: NOTEPAD.EXE 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups"). * Información adicional * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Erah.A. Todos los "Asuntos" con la palabra "Hare" _____________________________________________________________ http://www.vsantivirus.com/erah-a.htm Nombre: W32/Erah.A Tipo: Gusano de Internet Alias: W32.Erah.A@mm, Win32/Erah.A, I-Worm.Erah.a Fecha: 30/may/03 Tamaño: 17,408 bytes Plataforma: Windows 32-bit Si el día es 1 de enero, 14 de febrero, 1 de abril, 21 de abril, 4 de julio, 12 de agosto, 1 de octubre, 14 de noviembre o 25 de diciembre, este gusano se envía a todos los contactos de la libreta de direcciones en mensajes como los siguientes: Ejemplo 1: Asunto: FW: Your Hare is Balding Texto: Tired of your Hare getting bald... here's an ad to help you out! Ejemplo 2: Asunto: RE: You New Hare Texto: Fushika tora ne. Kokoroto koitaboo.. solito madoto. soy poti okineto. kilasu arati hasase. soki BUNNY HARE GAME. Ejemplo 3: Asunto: FW: FW: FW: The Hare Texto: Forwarded message in attachment. Todos los mensajes tienen como adjunto al propio gusano, en un archivo con nombre variable. Cuando el gusano se ejecuta por primera vez en un sistema, se copia en el sistema en las siguientes ubicaciones y nombres: C:\[xxxx]\[xxxx]\[xxxx].SCR A:\BunnyPictures\setup.exe \Desktop\Bunny.jpg.pif Donde [xxxx] son caracteres al azar. NOTA: \Desktop\ se crea en la carpeta del usuario actual, Ej: "C:\Windows\Desktop\" en Windows 95, 98 y Me. En Windows XP y 2000 es "C:\Documents and Settings\[usuario]\Desktop" y en Windows NT "C:\WinNT\Profiles\[usuario]\Desktop". [Usuario] también puede ser [All Users]. También se crea y ejecuta un archivo llamado HARE.VBS que es el encargado del envío de los mensajes infectados. El gusano crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio: HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Explorer\User Shell Folders Startup = C:\[xxxx]\[xxxx]\[xxxx].SCR También cambia la siguiente entrada para esconder la extensión de su propio ejecutable: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Advanced HideFileExt = 1 El gusano muestra una ventana con alguno de los siguientes mensajes, si el día actual es 2 de enero, 15 de febrero, 2 de abril, 22 de abril, 5 de julio, 13 de agosto, 2 de octubre, 15 de noviembre o 26 de diciembre: Administrator for vAndEEd0 This message pops out when there is a problem in the computer. you may have run a setup program that caused errors. [ OK ] Administrator Your My Documents folder is causing Network problems. Please empty your My Documents folder. Thank you for your cooperation. [ OK ] Administrator Check your mailbox immediately. [ OK ] Auto Quotes Hate War, Make Love. -vAndEEd0- [ OK ] Greetz from vAndEEd0 To the VX scene. [ OK ] Para mostrar dichos mensajes, crea antes entradas como la siguiente en el registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Winlogin LegalNoticeCaption = [título del mensaje] LegalNoticeText = [texto del mensaje] ShutdownWithoutLogin = "1" * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\[xxxx]\[xxxx]\[xxxx].SCR A:\BunnyPictures\setup.exe \Desktop\Bunny.jpg.pif Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \User Shell Folders 3. Pinche en la carpeta "User Shell Folders" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Startup 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Advanced 5. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor "1" por "0" en la siguiente entrada: HideFileExt = "0" 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Winlogin 7. Pinche en la carpeta "Winlogin" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: LegalNoticeText LegalNoticeCaption 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1058 Año 7, Sábado 31 de mayo de 2003