|
Mostrando mensaje 127
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1078 Año 7, Viernes 20 de junio de 2003 | | Fecha: | Sabado, 21 de Junio, 2003 00:57:13 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1078 Año 7, Viernes 20 de junio de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - SCAM: BestBuy Fraud Alert
2 - Campaña para conocer que datos privados son revelados
3 - "Stumbler", una red distribuida y oculta de escaneo
4 - W32/Gant.D. Usa email y P2P, finaliza antivirus
5 - W32/Gant.C. Elimina antivirus, roba contraseñas
_____________________________________________________________
1 - SCAM: BestBuy Fraud Alert
_____________________________________________________________
http://www.vsantivirus.com/scam-bestbuy.htm
Nombre: BestBuy Fraud Alert
Tipo: SCAM, Hoax con intenciones de estafa
Alias 1: BestBuy Order #1095619. Fraud Alert
Alias 2: BestBuy Email Hoax
Fecha: 18/jun/03
Idioma: Inglés
Origen: Desconocido
Clave para buscador: scam
Se ha estado distribuyendo un mensaje como el que se muestra
más abajo, en forma de SPAM.
Se trata de un SCAM (bulo con estafa) con la idea de robar
información personal. El enlace indicado no apunta a la
página mencionada, sino que el código HTML del mensaje, ha
sido modificado para abrir una dirección diferente. Ese sitio
ha sido desactivado.
Aunque al tratarse de un mensaje en inglés, el riesgo ha sido
menor para los usuarios de habla hispana (la mayoría suele
ignorarlos o borrarlos directamente), puede aún tratarse de
una seria amenaza en caso de que un usuario confíe en que su
contenido es verdadero.
El mensaje suele tener el asunto "BestBuy Order #1095619.
Fraud Alert." y solicita información personal, reclamando ser
enviado por el departamento de fraudes de BestBuy (un sitio
de ventas por Internet). La información solicitada podría ser
utilizada por piratas informáticos para perpetrar diferentes
estafas, incluido el robo de identidad.
Por supuesto, el mensaje no proviene de BestBuy, y esta
compañía ha publicado en las últimas horas (20/jun/03), una
declaración advirtiendo al respecto:
http://www.bestbuy.com/homePopup.asp?ref=email2
Si recibe un mensaje similar, solo bórrelo y jamás envíe
información personal cuando alguien (sin importar quien) se
la pida en un correo electrónico.
Por otra parte, tenga en cuenta que pueden existir variantes
del mensaje, ya que suele ocurrir que los estafadores
insisten cada cierto tiempo con el mismo engaño, pero
haciendo otras referencias.
---- Principio del mensaje ----
Asunto: BestBuy Order #1095619. Fraud Alert.
Dear customer,
Recently we have received an order made by using your
personal credit card information.
This order was made online at our official BestBuy website on
06/19/2003.
Our Fraud Department has some suspicions regarding this order
and we need you to visit a special Fraud Department page at
our web store where you can confirm or decline this
transaction by providing us with the correct information.
This e-mail address has been taken from National Credit
Bureau.
Click the link below to visit a special Fraud Department page
to resolve the cause of the problem.
BestBuy.com/fraud_department.html
-------------------------------------------------
ORDER# 1095619 - STATUS: SUSPENDED
ITEMS PURCHASED
-------------------------------------------------
Item No: 73890
CDA-9815 In-Dash CD Player/Ai-Changer Controller
Price: $387.65 Qty: 2 Total: $775.3
-------------------------------------------------
The order listed above has not yet been processed.
The reason for the delay in processing your order is:
- UNVERIFIED SHIPPING ADDRESS
- Information provided:
Shipping
41 WINHAM ST
Staten Island, NY 10306
United States
phone# 206-337-9843
In our effort to deter fraudulent transactions, we need your
help in providing us with the correct information. Your
prompt response is needed to avoid any unauthorized charges
to your credit card.
-------------------------------------------------
Click the link below to visit a special Fraud Department page
to resolve the cause of the problem.
BestBuy.com/fraud_department.html
---- Final del mensaje ----
Agradecimientos: a Jose Ramon Garcia Solans, de Zaragoza,
España por enviarnos la primera muestra de este scam.
* Glosario:
SCAM - Se le dice SCAM a los engaños, mezcla de SPAM (correo
basura) y HOAXES (bromas o falsas alertas) que circulan por
la red, generalmente con la intención de cometer algún tipo
de fraude.
HOAX - Una "broma" o "engaño", generalmente una falsa
advertencia de alarma de virus, o de cualquier otro tipo de
alerta o de cadena (incluso solidaria), distribuida por
correo electrónico, donde se nos pide siempre el reenvío a la
mayor cantidad de conocidos, cosa que jamás debemos hacer.
Más detalles en el área "HOAXES" de nuestro sitio.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Campaña para conocer que datos privados son revelados
_____________________________________________________________
http://www.vsantivirus.com/mm-knowdatacampaign.htm
Campaña para conocer que datos privados son revelados
Campaña para preguntar a proveedores de Internet y teléfono
qué datos monitorizan en Gran Bretaña
Por Mercè Molist (*)
colaboradores@videosoft.net.uy
La organización de ciberderechos Privacy International acaba
de poner en marcha una original campaña para que los usuarios
de Internet y teléfono en Gran Bretaña pidan a sus operadores
qué datos les están monitorizando.
Según Privacy Internacional, las compañías de comunicaciones
deben guardar durante siete años esta información, que está
totalmente a disposición de las fuerzas de la ley y, durante
años, sin necesidad de autorización judicial, afirma la
organización.
"Muchas de las compañías que ofrecen servicios de
comunicación en Gran Bretaña, como las empresas de cable,
operadoras de móviles y proveedores de servicios Internet,
están acumulando grandes cantidades de información sobre sus
clientes. Estos datos se refieren a todas las llamadas que
haces y recibes, con quien estás en contacto, la localización
geográfica de tus llamadas por móvil, los correos
electrónicos que envías y recibes, los sitios web que
visitas, los programas de televisión que miras, tus datos
financieros y mucha otra información sobre ti y tu familia.
Los proveedores no necesitan retener esta información, pero
lo hacen como resultado de sus negociaciones con el gobierno.
Algunos, como BT, tienen automatizado este servicio para que
el gobierno obtenga cualquier tipo de información de sus
usuarios sólo enviando un correo electrónico", explican.
Según el grupo de ciberderechos, "esta actividad ha tenido
lugar durante años sin autorización judicial y violando la
Ley de Protección de Datos de 1998, mientras a los
proveedores sólo les ha importado defender el subsidio que
reciben, por ofrecer esta información, y no los derechos de
sus clientes. La existencia o naturaleza de los datos no se
ha dado a conocer al público".
Por esta razón, Privacy International ha puesto en marcha la
campaña "Know your Data" ("Conoce tus datos"), de llamadas
por teléfono y envío de mensajes electrónicos a los
proveedores, donde los usuarios preguntan por los datos que
les monitorizan, apelando a sus derechos bajo la Ley de
Protección de Datos: "Esperamos que así todos aprendamos más
sobre esta actividad encubierta y enviemos una señal a los
proveedores y el gobierno de que la gente tiene un alto
interés por su derecho a la privacidad".
* Relacionados
Know your data
http://www.privacy.org/pi/countries/uk/surveillance/knowdatac
ampaign.html
(*) Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any medium, provided this notice is
preserved.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - "Stumbler", una red distribuida y oculta de escaneo
_____________________________________________________________
http://www.vsantivirus.com/ev-stumbler.htm
"Stumbler", una red distribuida y oculta de escaneo
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
X-Force ha anunciado la aparición de un nuevo malware, que
reporta un tráfico en Internet de paquetes TCP con una
ventana de un tamaño de 55,808 bytes. Un sustancial aumento
de tráfico ha sido capturado de varios sitos en todo el
mundo, de lo que sería un sistema escaneador de puertos.
El análisis de X-Force se refiere a un cliente capaz de
escanear e intercambiar datos de redes mapeadas desde otros
clientes distribuidos en otros lugares de Internet. Se le ha
dado a este software el nombre de "Stumbler".
El mapeo de redes y escaneo de puertos son técnicas
undergrounds conocidas. Muchas veces es una manera de
encontrar ciertas vulnerabilidades antes de atacar a alguna
víctima. La tecnología de escaneo de redes ha sido cada vez
más sofisticada, como respuesta a las tácticas defensivas que
se han ido implementando contra los ataques y los intentos de
escaneo.
Las herramientas anteriores eran muy fáciles de detectar, y
aún más a la hora de descubrir su origen. Las nuevas
generaciones emplean tácticas de ocultamiento y técnicas para
enviar una gran cantidad de paquetes falsos para ocultar uno
solo legítimo que es el que obtiene la respuesta de su
escaneo.
Estas técnicas son las empleadas en Stumbler en conjunción
con un tipo de arquitectura "distribuida". Cada agente
intenta mapear una dirección IP y los correspondientes
puertos abiertos, enviando a cada uno de estos, al azar, un
paquete TCP SYN (Acrónimo de SYNchronization --
Sincronización--. Carácter que se envía para establecer la
sincronización en una comunicación ya establecida).
La dirección IP origen de cada paquete es falseada, y por lo
tanto el agente no recibirá la respuesta que indicaría si esa
dirección IP es accesible, y si determinado puerto está
abierto.
La dirección MAC (la dirección de hardware que representa a
la interface de red, y que es fija y única), también es
falsa. Esto hace que localizar la fuente de los paquetes SYN
sea algo muy difícil. El agente contiene un modo promiscuo de
escaneo, lo que significa aceptar todos los paquetes que
viajen a través de una interface de red.
La red se diseña para que cada agente escuche las respuestas
falsas de todos los demás agentes.
La información mapeada es recolectada y enviada a una
dirección IP específica. Stumbler utiliza conocidas librerías
de redes, "Libpcap" y "Libnet".
Esta red de escaneo parece ser muy experimental, y ciertas
porciones del código aparecen como no desarrolladas aún o
contienen errores fatales.
La red implementada con el Stumbler no posee la capacidad de
propagarse automáticamente y no intenta en ningún momento
escanear o infectar otros hosts diferentes a los de su propia
red.
Su capacidad de escaneo es usada solo con el propósito de
recolectar información. El informe de X-Force dice que esta
capacidad está limitada solo por el hecho de que es una red
pequeña. Pero si se ampliara la misma (tal vez agregando
alguna capacidad de gusano), sería una plataforma muy
efectiva para mapear toda la red, realizar ataques de
denegación de servicio (DoS) y controlar otros tipos de
malware, como los bots (copias de usuarios en un canal de
IRC, generados por un programa, y preparados para responder
ciertos comandos que se les envía en forma remota).
Los ejemplos de Stumbler obtenidos hasta ahora, tienen su
código encriptado con un simple XOR, y contienen direcciones
IP definidas en el código (por lo tanto fijas). Stumbler
examina si la conectividad con la red se ha perdido, y en
caso de que ello ocurra termina su ejecución y se borra a si
mismo del sistema.
* Información para administradores
Se recomienda implementar alguna regla que notifique
cualquier conexión con las direcciones mencionadas, por
ejemplo:
alert tcp any any -> 12.108.65.76/32 22 (msg:"Stumbler Trojan";)
Otros signos de infección son la existencia de los archivos
"/tmp/…/a" y "/tmp/…/r", o que la interface de red se
encuentre en modo promiscuo.
* Más información.
"Stumbler" Distributed Stealth Scanning Network
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22441
Intrusec Alert: 55808 Trojan Analysis
http://www.intrusec.com/55808.html
[Publicado con autorización de Enciclopedia Virus]
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=174
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Gant.D. Usa email y P2P, finaliza antivirus
_____________________________________________________________
http://www.vsantivirus.com/gant-d.htm
Nombre: W32/Gant.D
Tipo: Gusano de Internet
Alias: W32/Gant.d@MM, I-Worm/Outsider, W32.Redzed@mm,
Win32.Thaprog.C, WORM_REDZED.A, W32/GenericP2P.worm,
W32/Outsider.C
Fecha: 20/jun/03
Tamaño: 19,456 bytes
Se trata de otra variante del W32/Gant (o Tang), pero como
suele ocurrir, ha sido nombrado de diferentes formas por los
fabricantes de antivirus. Incluso la variante C estuvo en
nuestra base de datos como W32/Redisto.B.
El gusano, escrito en Microsoft Visual Basic y comprimido con
la herramienta UPX, se propaga masivamente a toda la lista de
contactos de la libreta de direcciones de Windows, vía correo
electrónico, utilizando las rutinas MAPI (Microsoft
Application Programming Interface). También se propaga a
través de las redes de intercambio de archivos entre usuarios
P2P.
Contiene una rutina maliciosa que finaliza los procesos de
varios productos antivirus y cortafuegos, dejando al usuario
desprotegido ante otras amenazas.
Los mensajes pueden tener alguna de las siguientes
características:
Ejemplo 1:
Asunto: Password list
Datos adjuntos: PswdLst.pif
Texto:
Hello,
Here is that password list that you asked
for about 6 days ago.
It is in the attachments as "PswdLst.pif".
It also includes my computer login password,
so please don't show anyone else this file.
Thanks.
Ejemplo 2:
Asunto: Fire ScreenSaver
Datos adjuntos: FireScreen.pif
Texto:
Hello,
Check out this ScreenSaver of fire!
I think that it's one of the best ScreenSavers
that I have ever seen!
Cya!
Ejemplo 3:
Asunto: Some card games
Datos adjuntos: Card_install.pif
Texto:
Hello,
Try these card games (in the attachments).
Enjoy!
Ejemplo 4:
Asunto: Program
Datos adjuntos: Winprg32.pif
Texto:
Here is that program that you asked for
yesterday.
Ejemplo 5:
Asunto: Fire ScreenSaver
Datos adjuntos: FireScreen.scr
Texto:
Check out this ScreenSaver of fire!
I think that it is one of the best
ScreenSavers that I have ever seen!
Ejemplo 6:
Asunto: MP3 downloader
Datos adjuntos: MP3Connect.pif
Texto:
Hello,
Do you like MP3's?
Check out this cool MP3 downloader!
It works well on my computer :)
Cya!
El gusano también se propaga a través de las redes P2P, para
ello se copia en cualquiera de las siguientes carpetas que
encuentre en el sistema infectado, pertenecientes a conocidos
programas de este tipo (BearShare, eDonkey, eDonkey2000,
Gnucleus, Grokster, ICQ, KaZaa, KaZaa Lite, KMD, LimeWire,
Morpheus, WinMX, etc.):
\BearShare\Shared
\Edonkey
\Edonkey2000\Incoming
\Gnucleus\Downloads
\Gnucleus\Downloads\Incoming
\Grokster\My Grokster
\ICQ\Shared Files
\Incoming
\Kazaa
\Kazaa Lite
\KMD
\LimeWire\Shared
\Morpheus
\My Documents\My Music
\My Downloads
\My Music
\Shareaza\Downloads
\WinMX
Cuando se ejecuta, el gusano se copia en la siguiente
ubicación:
c:\windows\Mslg32.exe
c:\windows\PswdLst.pif
c:\windows\system\Winlg32.pif
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System"
pueden variar de acuerdo al sistema operativo instalado (con
esos nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Luego, crea o modifica las siguientes entradas en el
registro, la primera de ellas para autoejecutarse en cada
reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SecureLogin = c:\windows\Mslg32.exe
HKEY_LOCAL_MACHINE\Software\Zed\Outsider
Outsider3 = "W32/Outsider.C by Zed"
El gusano posee un componente capaz de registrar todo lo
tecleado por el usuario infectado, y de robar las contraseñas
almacenadas en el caché de la computadora.
Esta información es recolectada y guardada en alguno de estos
archivos:
c:\windows\Mskmap32.txt
c:\windows\Mskmap.txt
Luego, es enviado un mensaje al presunto autor del gusano con
esta información:
Para: Zed_rRlf@hotmail.com
Asunto: Cached Passwords - [fecha y hora actual]
Datos adjuntos: Mskmap.txt o Mskmap32.txt
Texto: Recorded Keystrokes (in attachments).
Finalmente, el gusano puede finalizar la ejecución de los
siguientes ejecutables, pertenecientes todos a conocidos
antivirus y cortafuegos:
_avp.Exe
_avp32.Exe
_avpcc.Exe
_avpm.Exe
Ackwin32.Exe
Anti-Trojan.Exe
Apvxdwin.Exe
Autodown.Exe
Avconsol.Exe
Ave32.Exe
Avgctrl.Exe
Avkserv.Exe
Avnt.Exe
Avp.Exe
Avp32.Exe
Avpcc.Exe
Avpdos32.Exe
Avpm.Exe
Avpmon.Exe
Avpnt.Exe
Avptc32.Exe
Avpupd.Exe
Avsched32.Exe
Avwin95.Exe
Avwupd32.Exe
Blackd.Exe
Blackice.Exe
Ccapp.Exe
Cfiadmin.Exe
Cfiaudit.Exe
Cfind.Exe
Cfinet.Exe
Cfinet32.Exe
Claw95.Exe
Claw95cf.Exe
Claw95ct.Exe
Cleaner.Exe
Cleaner3.Exe
Dv95.Exe
Dv95_0.Exe
Dv95_o.Exe
Dvp95.Exe
Dvp95_0.Exe
Ecengine.Exe
Efinet32.Exe
Esafe.Exe
Espwatch.Exe
F-Agnt95.Exe
Findviru.Exe
F-Prot.Exe
Fprot.Exe
F-Prot95.Exe
Fprot95.Exe
Fp-Win.Exe
Frw.Exe
F-Stopw.Exe
Iamapp.Exe
Iamserv.Exe
Ibmasn.Exe
Ibmavsp.Exe
Icload95.Exe
Icloadnt.Exe
Icmon.Exe
Icmoon.Exe
Icssuppnt.Exe
Icsupp95.Exe
Icsuppnt.Exe
Iface.Exe
Iomon98.Exe
Jed.Exe
Jedi.Exe
Kpf.Exe
Kpfw32.Exe
Lockdown2000.Exe
Lookout.Exe
Luall.Exe
Moolive.Exe
Mpftray.Exe
N32scan.Exe
N32scanw.Exe
Navapw32.Exe
Navlu32.Exe
Navnt.Exe
Navsched.Exe
Navw.Exe
Navw32.Exe
Navwnt.Exe
Nisum.Exe
Nmain.Exe
Normist.Exe
Nupgrade.Exe
Nvc95.Exe
Outpost.Exe
Padmin.Exe
Pavcl.Exe
Pavsched.Exe
Pavw.Exe
Pccwin98.Exe
Pcfwallicon.Exe
Persfw.Exe
Rav7.Exe
Rav7win.Exe
Rescue.Exe
Safeweb.Exe
Scan32.Exe
Scan95.Exe
Scanpm.Exe
Scrscan.Exe
Serv95.Exe
Smc.Exe
Sphinx.Exe
Sweep95.Exe
Tbscan.Exe
Tca.Exe
Tds2-98.Exe
Tds2-Nt.Exe
Vcontrol.Exe
Vet32.Exe
Vet95.Exe
Vet98.Exe
Vettray.Exe
Vscan40.Exe
Vsecomr.Exe
Vshwin32.Exe
Vsscan40.Exe
Vsstat.Exe
Webscan.Exe
Webscanx.Exe
Wfindv32.Exe
Zapro.Exe
Zonealarm.Exe
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Remoción del troyano utilizando "Process Explorer"
Antes de eliminar este troyano, es necesario detener su
ejecución en memoria. Puede usarse el administrador de tareas
de Windows, pero en Windows 95, 98 y Me, no todas las tareas
en ejecución son visibles. Por ello se sugiere la herramienta
de uso gratuito "Process Explorer" (100 Kb), que puede ser
descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta,
copie allí el contenido del archivo .ZIP descargado y ejecute
el archivo PROCEXP.EXE.
Bajo la columna "Process" de la ventana superior de la
utilidad "Process Explorer", localice y "mate" (Kill
Process), el siguiente proceso:
Mslg32.exe
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
SecureLogin
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Zed
5. Pinche en la carpeta "Zed" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\Mslg32.exe
c:\windows\PswdLst.pif
c:\windows\system\Winlg32.pif
c:\windows\Mskmap32.txt
c:\windows\Mskmap.txt
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Gant.C. Elimina antivirus, roba contraseñas
_____________________________________________________________
http://www.vsantivirus.com/gant-c.htm
Nombre: W32/Gant.C
Tipo: Gusano de Internet
Alias: W32/Redisto.B, Redisto.B, Win32/Redisto.B,
Win32/OutSid.B, I-Worm.Redisto.b, W32.HLLW.Redist.B@mm,
Win32/Gant.C, I-Worm.Tanger.c, Win32.Thaprog.B,
W32/Gant.gen@MM
Plataforma: Windows 32-bit
Tamaño: 18,432 bytes (comprimido), 65,536 bytes.
Fecha: 30/may/03
Este gusano se propaga a través del correo electrónico y de
las redes de intercambio de archivos entre usuarios P2P.
Escrito en Visual Basic 5, también posee características de
troyano, comprometiendo la confidencialidad del usuario de la
computadora infectada, ya que toda la información de la misma
puede ser enviada a un atacante remoto, en un mensaje con
estas características. Además, puede detener los procesos de
conocidos antivirus y cortafuegos.
Para propagarse por correo electrónico, el gusano manda una
copia de si mismo a todos los contactos de la libreta de
direcciones de Windows (.WAB), en mensajes como los
siguientes:
Ejemplo 1:
Asunto: Re:
Datos adjuntos: Card_0.Pif
Texto:
Hello,
Have I sent you the Gift Card in the
attachments before? if not, check it out!
Cya!
Ejemplo 2:
Asunto: Joke book
Datos adjuntos: Jokebook.Pif
Texto:
Hello,
Check out the joke book in the attachments! it
has some really good jokes (not lame jokes hehe)
Have fun!
Ejemplo 3:
Asunto: Read this before?
Datos adjuntos: Hackers.Pif
Texto:
Hello,
have you read the Hackers of [fecha actual]
If you havent, It is in the attachments :)
It contains true stories, hacking techniques,
and more!
It is a fairly big thing to read, so dont
read it all at once!
Ejemplo 4:
Asunto: Better than KaZaA?
Datos adjuntos: P2pinstall.Exe
Texto:
If you download music files from the internet,
you would know that KaZaA is seen to be the best
file-sharing network for music. Well, I have
included a file in the ttachments that connects
and downloads music twice as fast as what KaZaA
can do.
works well with my computer!
Enjoy!
Ejemplo 5:
Asunto: The File
Datos adjuntos: [uno de los siguientes]
New Winzip File.Pif
New Microsoft Word Document.Pif
New Microsoft Excel Worksheet.Pif
New Microsoft Powerpoint Presentation.Pif
New Text Document.Pif
New Bitmap Image.Pif
Texto:
Here is that file you wanted (in the attachments).
Para propagarse por las redes P2P, busca en los siguientes
directorios:
C:\Program Files
C:\Programmer
C:\Program
C:\Programme
C:\Programmi
C:\ProgramFiler
C:\Programas
C:\Archivos De Programa
Cualquiera de estas carpetas compartidas de conocidos
programas P2P:
\KMD\My Shared Folder
\Kazaa\My Shared Folder
\Kazaa Lite\My Shared Folder
\LimeWire\Shared
\Gnucleus\Downloads
\Gnucleus\Downloads\Incoming
\Shareaza\Downloads
\BearShare\Shared
\Edonkey2000\Incoming
\Edonkey
\Incoming
\Morpheus\My Shared Folder
\Grokster\My Grokster
\ICQ\Shared Files
\My Music
\My Documents\My Music
\My Downloads
Dentro de los directorios encontrados, se copia a si mismo
con los siguientes nombres de archivos:
Dos Icmp-Flooder.Pif
Hackerguide [año actual].Pif
Half-Life Keygen.Exe
Hotmail Password Cracker.Pif
How To Hack Smtp Servers.Pif
Kazaa Spedup Patch.Pif
Modem Speed Booster.Exe
Remote Admin [año actual].Exe
Rtcw Cheat-Enabler.Exe
El gusano puede enviar a un usuario remoto toda la
información de la computadora infectada, en un mensaje con
estas características:
Para: Zed_rRlf@hotmail.com
Asunto: Cached passwords – [fecha infección]
[Y como texto, toda la información privada
robada, contraseñas, etc.]
También puede detener los siguientes procesos activos en la
memoria de la computadora, lo que permite acabar con
antivirus y cortafuegos que se estén ejecutando:
_avp.exe
_avp32.exe
ackwin32.exe
anti-trojan.exe
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
avsched32.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
ccapp.exe
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
claw95ct.exe
cleaner.exe
cleaner3.exe
dv95.exe
dv95_o.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
efinet32.exe
esafe.exe
espwatch.exe
f-agnt95.exe
findviru.exe
f-prot.exe
fprot.exe
f-prot95.exe
fprot95.exe
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icmoon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
jed.exe
jedi.exe
kpf.exe
kpfw32.exe
lockdown2000.exe
lookout.exe
luall.exe
moolive.exe
mpftray.exe
n32scan.exe
n32scanw.exe
navapw32.exe
navlu32.exe
navnt.exe
navsched.exe
navw.exe
navw32.exe
navwnt.exe
nisum.exe
nmain.exe
normist.exe
nupgrade.exe
nvc95.exe
outpost.exe
padmin.exe
pavcl.exe
pavsched.exe
pavw.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
rav7.exe
rav7win.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
smc.exe
sphinx.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
vcontrol.exe
vet32.exe
vet95.exe
vet98.exe
vettray.exe
vscan40.exe
vsecomr.exe
vshwin32.exe
vsscan40.exe
vsstat.exe
webscan.exe
webscanx.exe
wfindv32.exe
zonealarm.exe
zapro.exe
Mientras se ejecuta, no muestra ningún mensaje o aviso que
delate su presencia.
La primera vez que se ejecuta, crea los siguientes archivos:
c:\windows\New Text Document.Pif
c:\windows\Winexec32.Exe
c:\windows\system\Msexec32.Vbs
c:\windows\system\Mscab1_32.Cab
c:\windows\system\Mscab2_32.Cab
c:\windows\system\Mscab3_32.Cab
c:\windows\system\Mscab4_32.Cab
c:\windows\system\Mscab5_32.Cab
c:\windows\system\Mscab6_32.Cab
c:\windows\system\Wininet32.Ocx
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System"
pueden variar de acuerdo al sistema operativo instalado (con
esos nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
El gusano se copia también en otras unidades de disco, con el
nombre de SETUPPASSWRDS.EXE.
Modifica las siguientes entradas en el registro, para
autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Explorer Shell = c:\windows\Winexec32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Winhlp32 = Wscript.exe c:\windows\system\Msexec32.vbs %1
También crea esta entrada:
HKCU\Software\Zed\Outsider
Outsider2 = W32/Outsider.B by Zed
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\New Text Document.Pif
c:\windows\Winexec32.Exe
c:\windows\system\Msexec32.Vbs
c:\windows\system\Mscab1_32.Cab
c:\windows\system\Mscab2_32.Cab
c:\windows\system\Mscab3_32.Cab
c:\windows\system\Mscab4_32.Cab
c:\windows\system\Mscab5_32.Cab
c:\windows\system\Mscab6_32.Cab
c:\windows\system\Wininet32.Ocx
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Windows Explorer Shell
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Winhlp32
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Zed
7. Pinche en la carpeta "Zed" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Actualizaciones:
03/jun/03 - Alias: Win32/OutSid.B, W32.HLLW.Redist.B@mm
03/jun/03 - Alias: Win32/Gant.C, I-Worm.Tanger.c
07/jun/03 - Alias: Win32.Thaprog.B, W32/Gant.gen@MM
20/jun/03 - Se cambia el nombre de W32/Redisto.B a W32/Gant.C
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1078 Año 7, Viernes 20 de junio de 2003
|
Responder a este mensaje
