Mostrando mensaje 678     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1629 Año 8, miércoles 22 de diciembre de 2004 Fecha: Miercoles, 22 de Diciembre, 2004  04:36:35 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1629 Año 8, miércoles 22 de diciembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Perl/Santy.A. Infecta sitios construidos con PhPBB 2 - PowerPoint: invocación automática del navegador 3 - SymbOS/Skulls.C. Suplanta aplicaciones de SmartPhone 4 - SymbOS/MGDropper.A. Libera archivos .SIS maliciosos 5 - EPOC/Cabir.G. Gusano de teléfonos móviles 6 - EPOC/Cabir.F. Gusano de teléfonos móviles 7 - EPOC/Cabir.E. Gusano de teléfonos móviles _____________________________________________________________ 1 - Perl/Santy.A. Infecta sitios construidos con PhPBB _____________________________________________________________ http://www.vsantivirus.com/santy-a.htm Nombre: Perl/Santy.A Nombre NOD32: Perl/Santy.A Tipo: Gusano de PHP Alias: Santy, Net-Worm.Perl.Santy.a, Perl.Santy, Perl/Santy.Worm, PERL/Santy.worm, PHP/Santy.worm, WORM_SANTY.A, Perl/Santy-A, Perl.Sanity, PHP/Santy.A.worm Fecha: 21/dic/04 Plataforma: Unix, Linux, Windows Tamaño: 4,246 bytes Este gusano se propaga utilizando una vulnerabilidad en PhPBB, un conocido paquete PhP de código abierto, ampliamente utilizado para la creación de foros y sitios Web. Son vulnerables todas las versiones PhPBB anteriores a la 2.0.11. El gusano está escrito en Perl, y tiene un tamaño de 4 a 5 Kb. Al ejecutarse, hace una búsqueda de la siguiente cadena en Google, con la que obtiene una lista de sitios que ejecutan versiones de PhPBB vulnerables: "Powered by phpBB 2.0.10" Luego, el gusano envía una solicitud a todos los sitios encontrados, la cuál contiene el exploit para esta vulnerabilidad. Cuando el servidor bajo ataque procesa esta solicitud, se ejecuta el exploit y el gusano penetra en el sitio y toma el control. Este proceso es luego repetido en cada servidor infectado. El gusano busca archivos con las siguientes extensiones en todos los directorios del sitio infectado: .asp .htm .jsp .php .phtm .shtm Los archivos encontrados son sobrescritos con el siguiente texto: This site is defaced!!! NeverEverNoSanity WebWorm generation X Donde "X" representa un dígito que va aumentando en cada servidor infectado. El nombre de la página también es "This site is defaced!!!". Una búsqueda del texto "NeverEverNoSanity WebWorm generation" en un buscador como MSN Search (http://beta.search.msn.com/), muestra una gran cantidad de sitios que han sido modificados al momento de esta descripción (21/12/04, 20:40 -0200), lo que indica la magnitud de la infección. El gusano no posee ninguna otra carga destructiva, ni otra forma de propagación, y solo afecta a los sitios que se ejecutan con la versión de PhPBB vulnerable. Los usuarios que visiten estos sitios, no sufren ninguna clase de daño en sus computadoras. Los servidores de los sitios afectados, pueden sufrir una perdida de rendimiento. Los administradores de los sitios vulnerables, deben descargar e instalar del siguiente enlace, la versión 2.0.11 de PhPBB, que no es afectada por el exploit que utiliza este gusano: http://www.phpbb.com/downloads.php Las páginas sobrescritas deben ser recuperadas desde un respaldo limpio. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - PowerPoint: invocación automática del navegador _____________________________________________________________ http://www.vsantivirus.com/vul-powerpoint-211204.htm PowerPoint: invocación automática del navegador Por Angela Ruiz angela@videosoft.net.uy Los archivos PPT (Microsoft PowerPoint), generalmente son aceptados como adjuntos no peligrosos. Sin embargo, pueden convertirse en un serio riesgo de acuerdo a la información de una debilidad recientemente revelada por SecuriTeam.com. Cuando el autor de la diapositiva lo configura, PowerPoint permite ciertas actividades automáticas. Aunque esta característica no es nueva, se pueden presentar al menos dos escenarios con cierto riesgo para los usuarios. Una víctima puede recibir un correo electrónico con un archivo PPT adjunto, conteniendo una diapositiva con una imagen u objeto, con sus propiedades configuradas para que se visite una página Web cuando se desplaza el puntero del ratón sobre él. Si la víctima ejecuta la presentación de PowerPoint y mueve el puntero del ratón sobre la imagen u objeto mencionado, el navegador por defecto es dirigido al URL definido en la diapositiva. Un escenario peligroso podría presentarse, si el URL apunta a un sitio web malicioso, que lleve a la ejecución de un script o instalación de un malware, o a la explotación de alguna vulnerabilidad aún no parchada, logrando la ejecución de un código dañino. Otro escenario mencionado, involucra el uso del protocolo SMB y de la autenticación NT LM. El protocolo SMB (Server Message Block Protocol), se utiliza para acceder a los recursos compartidos de una red, junto a la autenticación NT LM (un método de autenticación cifrado, en que las contraseñas verdaderas nunca se transmiten completas entre cliente y servidor). Sin embargo, existen pocas posibilidades que este segundo escenario pueda explotarse satisfactoriamente, debido a las características de la implementación SMB NT LM. * Solución: No aceptar archivos .PPT no solicitados. Configurar el Internet Explorer para evitar la ejecución automática de controles ActiveX de sitios que no son de confianza. Para ello se sugiere la siguiente configuración: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm NOTA: Tenga en cuenta que el navegador invocado no es solo IE, sino cualquiera que esté configurado por defecto. * Créditos: Monte Ratzlaff * Más información: Microsoft PowerPoint "Action Settings" Allows Invocation of Default Browser http://www.securiteam.com/windowsntfocus/6D00T00C0K.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - SymbOS/Skulls.C. Suplanta aplicaciones de SmartPhone _____________________________________________________________ http://www.vsantivirus.com/symbos-skulls-c.htm Nombre: SymbOS/Skulls.C Tipo: Caballo de Troya de dispositivo PDA Alias: Skulls.C, SymbOS/Skulls.C, SymbOS.Skulls.C, Troj/Skulls-C, SYMBOS_SKULLS.C, Trojan.SymbOS.Skuller.c Fecha: 21/dic/04 Plataforma: SymbOS (EPOC) Se trata de una variante de Skulls.A, con similares funcionalidades y diferentes nombres de archivos. Libera en el sistema, una copia del gusano Cabir, y deshabilita aplicaciones de terceros que podrían ser usadas para limpiar o proteger el sistema, dificultando su desinfección. Este troyano se presenta con el nombre de "Skull.SIS" (los programas para el sistema operativo Symbian, vienen generalmente empaquetados en un archivo .SIS que es creado por el desarrollador). El archivo instalador "Skull.SIS" instala archivos críticos de la ROM del sistema en la unidad C:, con los mismos nombres y ubicaciones de los archivos originales. En EPOC, los archivos ejecutables de la ROM se localizan en la unidad Z:. Al crearse directorios y archivos con el mismo nombre en la unidad C:, los mismos tendrán precedencia a los de la unidad Z:. De esta forma el troyano reemplaza todas las aplicaciones del sistema operativo por las suyas. Esta versión no muestra ninguna ventana emergente ni pop-ups durante su instalación, a excepción del mensaje de advertencia del sistema, de que es imposible verificar el origen del software. Si la instalación es exitosa, los iconos de las aplicaciones serán reemplazados por otros que semejan calaveras y huesos cruzados. Además, ya no funcionarán ninguna de las aplicaciones suplantadas, y solo se podrán enviar y recibir llamadas. No estarán disponibles ningunas de las otras funcionalidades del SmartPhone, tales como mensajería SMS y MMS messaging, navegación por el Web y cámara. Adicionalmente, el troyano infecta el sistema con el EPOC/Cabir.C. El troyano instala los siguientes archivos: C:\System\Apps\About\About.aif C:\System\Apps\About\About.app C:\System\Apps\AppInst\Appinst.aif C:\System\Apps\AppInst\Appinst.app C:\System\Apps\AppMngr\AppMngr.aif C:\System\Apps\AppMngr\Appmngr.app C:\System\Apps\Autolock\Autolock.aif C:\System\Apps\Autolock\Autolock.app C:\System\Apps\Browser\Browser.aif C:\System\Apps\Browser\Browser.app C:\System\Apps\BtUi\BtUi.aif C:\System\Apps\BtUi\BtUi.app C:\System\Apps\bva\bva.aif C:\System\Apps\bva\bva.app C:\System\Apps\Calcsoft\Calcsoft.aif C:\System\Apps\Calcsoft\Calcsoft.app C:\System\Apps\Calendar\Calendar.aif C:\System\Apps\Calendar\Calendar.app C:\System\Apps\Camcorder\Camcorder.aif C:\System\Apps\Camcorder\Camcorder.app C:\System\Apps\CamTimer\camtimer.app C:\System\Apps\CamTimer\camtimer.rsc C:\System\Apps\caribe\caribe.app C:\System\Apps\caribe\caribe.rsc C:\System\Apps\caribe\flo.mdl C:\System\Apps\CbsUiApp\cbsuiapp.aif C:\System\Apps\CbsUiApp\CbsUiApp.app C:\System\Apps\CERTSAVER\CERTSAVER.AIF C:\System\Apps\CERTSAVER\CERTSAVER.APP C:\System\Apps\ClockApp\ClockApp.aif C:\System\Apps\ClockApp\ClockApp.app C:\System\Apps\CodViewer\CodViewer.aif C:\System\Apps\CodViewer\CodViewer.app C:\System\Apps\ConnectionMonitorUi\ConnectionMonitorUi.aif C:\System\Apps\ConnectionMonitorUi\ConnectionMonitorUi.app C:\System\Apps\Converter\Converter.aif C:\System\Apps\Converter\converter.app C:\System\Apps\cshelp\cshelp.aif C:\System\Apps\cshelp\cshelp.app C:\System\Apps\Chat\Chat.aif C:\System\Apps\Chat\Chat.app C:\System\Apps\DdViewer\DdViewer.aif C:\System\Apps\DdViewer\DdViewer.app C:\System\Apps\FileManager\FileManager.aif C:\System\Apps\FileManager\FileManager.app C:\System\Apps\GS\GS.aif C:\System\Apps\GS\gs.app C:\System\Apps\ImageViewer\ImageViewer.aif C:\System\Apps\ImageViewer\ImageViewer.app C:\System\Apps\location\location.aif C:\System\Apps\location\location.app C:\System\Apps\Logs\Logs.aif C:\System\Apps\Logs\Logs.app C:\System\Apps\mce\mce.aif C:\System\Apps\mce\mce.app C:\System\Apps\MediaGallery\MediaGallery.aif C:\System\Apps\MediaGallery\MediaGallery.app C:\System\Apps\MediaPlayer\MediaPlayer.aif C:\System\Apps\MediaPlayer\MediaPlayer.app C:\System\Apps\MediaSettings\MediaSettings.aif C:\System\Apps\MediaSettings\MediaSettings.app C:\System\Apps\Menu\Menu.aif C:\System\Apps\Menu\Menu.app C:\System\Apps\mmcapp\mmcapp.aif C:\System\Apps\mmcapp\mmcapp.app C:\System\Apps\MMM\Mmm.aif C:\System\Apps\MMM\MMM.app C:\System\Apps\MmsEditor\MmsEditor.aif C:\System\Apps\MmsEditor\MmsEditor.app C:\System\Apps\MmsViewer\MmsViewer.aif C:\System\Apps\MmsViewer\MmsViewer.app C:\System\Apps\MsgMailEditor\MsgMailEditor.aif C:\System\Apps\MsgMailEditor\MsgMailEditor.app C:\System\Apps\MsgMailViewer\MsgMailViewer.aif C:\System\Apps\MsgMailViewer\MsgMailViewer.app C:\System\Apps\MusicPlayer\MusicPlayer.aif C:\System\Apps\MusicPlayer\MusicPlayer.app C:\System\Apps\Notepad\notepad.aif C:\System\Apps\Notepad\Notepad.app C:\System\Apps\NpdViewer\NpdViewer.aif C:\System\Apps\NpdViewer\NpdViewer.app C:\System\Apps\NSmlDMSync\NSmlDMSync.aif C:\System\Apps\NSmlDMSync\NSmlDMSync.app C:\System\Apps\NSmlDSSync\NSmlDSSync.aif C:\System\Apps\NSmlDSSync\NSmlDSSync.app C:\System\Apps\Phone\Phone.aif C:\System\Apps\Phone\Phone.app C:\System\Apps\Phonebook\Phonebook.aif C:\System\Apps\Phonebook\Phonebook.app C:\System\Apps\Pinboard\Pinboard.aif C:\System\Apps\Pinboard\Pinboard.app C:\System\Apps\PRESENCE\PRESENCE.AIF C:\System\Apps\PRESENCE\PRESENCE.APP C:\System\Apps\ProfileApp\profileapp.aif C:\System\Apps\ProfileApp\profileapp.app C:\System\Apps\ProvisioningCx\ProvisioningCx.aif C:\System\Apps\ProvisioningCx\ProvisioningCx.app C:\System\Apps\PSLN\PSLN.aif C:\System\Apps\PSLN\PSLN.app C:\System\Apps\PushViewer\PushViewer.aif C:\System\Apps\PushViewer\PushViewer.app C:\System\Apps\Satui\Satui.aif C:\System\Apps\Satui\Satui.app C:\System\Apps\ScreenSaver\ScreenSaver.aif C:\System\Apps\ScreenSaver\ScreenSaver.app C:\System\Apps\SchemeApp\SchemeApp.aif C:\System\Apps\SchemeApp\SchemeApp.app C:\System\Apps\Sdn\Sdn.aif C:\System\Apps\Sdn\Sdn.app C:\System\Apps\SimDirectory\SimDirectory.aif C:\System\Apps\SimDirectory\SimDirectory.app C:\System\Apps\SmsEditor\SmsEditor.aif C:\System\Apps\SmsEditor\SmsEditor.app C:\System\Apps\SmsViewer\SmsViewer.aif C:\System\Apps\SmsViewer\SmsViewer.app C:\System\Apps\Speeddial\Speeddial.aif C:\System\Apps\Speeddial\Speeddial.app C:\System\Apps\Startup\Startup.aif C:\System\Apps\Startup\Startup.app C:\System\Apps\SysAp\SysAp.aif C:\System\Apps\SysAp\SysAp.app C:\System\Apps\ToDo\ToDo.aif C:\System\Apps\ToDo\ToDo.app C:\System\Apps\Ussd\Ussd.aif C:\System\Apps\Ussd\Ussd.app C:\System\Apps\VCommand\VCommand.aif C:\System\Apps\VCommand\VCommand.app C:\System\Apps\Vm\Vm.aif C:\System\Apps\Vm\Vm.app C:\System\Apps\Voicerecorder\Voicerecorder.aif C:\System\Apps\Voicerecorder\Voicerecorder.app C:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.AIF C:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.APP C:\System\Apps\WALLETAVOTA\WALLETAVOTA.AIF C:\System\Apps\WALLETAVOTA\WALLETAVOTA.APP C:\System\CARIBESECURITYMANAGER\CAMTIMER.sis C:\System\CARIBESECURITYMANAGER\caribe.app C:\System\CARIBESECURITYMANAGER\caribe.rsc * Eliminación manual Para eliminar este troyano, borre dichos archivos con algún administrador de archivos (debe tener habilitada la opción de ver los archivos en el directorio del sistema). Luego utilice el administrador de aplicaciones para desinstalar "Skull.SIS" y "Extended theme.SIS". NOTA: El troyano suplanta el administrador de archivos original. Se sugiere descargar el "PC File Manager" correspondiente a su teléfono móvil desde el siguiente enlace, para borrar los archivos mencionados: http://www.epocware.com/company/productmap.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - SymbOS/MGDropper.A. Libera archivos .SIS maliciosos _____________________________________________________________ http://www.vsantivirus.com/symbos-mgdropper-a.htm Nombre: SymbOS/MGDropper.A Tipo: Gusano y caballo de Troya Alias: MGDropper, SymbOS/MGDropper, Metal Gear trojan Fecha: 21/dic/04 Plataforma: SymbOS (EPOC) Troyano que libera archivos .SIS maliciosos, e intenta deshabilitar los administradores de archivos y software antivirus en teléfonos móviles que utilicen el sistema operativo Symbian (EPOC). La extensión .SIS es utilizada por este sistema operativo para las instalaciones. También instala el gusano Cabir.G en el teléfono. Cabir.G es iniciado automáticamente cuando MGDropper es instalado, y comienza a propagarse automáticamente. Cuando Cabir.G se propaga desde un teléfono infectado por MGDropper, el archivo .SIS enviado contiene solo el Cabir.G y no MGDropper. Sin embargo, MGDropper instala a Cabir.G en otro directorio, como SEXXXY.SIS, lo cuál incapacita también el menú de aplicaciones del teléfono. MGDropper se propaga como METAL_GEAR.SIS, e intenta deshabilitar las siguientes aplicaciones: Application installer Cabirfix Decabir F-Cabir FExplorer File manager F-Secure Mobile Anti-Virus Simworks Anti-Virus Smart file manager System Explorer * Más información: EPOC/Cabir.G. Gusano de teléfonos móviles http://www.vsantivirus.com/epoc-cabir-g.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - EPOC/Cabir.G. Gusano de teléfonos móviles _____________________________________________________________ http://www.vsantivirus.com/epoc-cabir-g.htm Nombre: EPOC/Cabir.G Tipo: Gusano Alias: Cabir.G, SymbOS/Cabir.G, EPOC/Cabir.G, Worm.Symbian.Cabir.G, EPOC.Cabir.G, Epoc/Cabir.G.worm, EPOC_CABIR.G, Symb/Cabir-E, Symbian/Cabir, Symbian/Cabir.G, SEXXXY virus Fecha: 21/dic/04 Plataforma: EPOC, Nokia Series 60 Tamaño: 15,092 bytes Variante similar al Cabir.A. Solo cambian los mensajes que el gusano muestra al instalarse o ejecutarse. Gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. El gusano no posee ninguna carga destructiva (salvo el gasto de baterías por el constante uso que hace del equipo). Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance de voz y datos entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible. Los síntomas de una infección son una actividad frecuente (cada 15 o 20 segundos), originada desde un móvil infectado por el gusano. Algunos de los teléfonos móviles afectados: Nokia 3650, 3600 Nokia 3660, 3620 Nokia 6600 Nokia 6620 Nokia 7610 Nokia 7650 Nokia N-Gage Panasonic X700 Sendo X Siemens SX1 Afecta productos de la Serie 60 v0.9, lo que abarca todos los dispositivos existentes de la serie 60, que usen Symbian OS 6.1 o superior. Cuando se ejecuta, muestra en la pantalla del móvil el mensaje "SEXXXY". Luego, inicia la búsqueda de otros dispositivos conectados, que usen la tecnología "Bluetooth". Si localiza alguno, se enviará a si mismo al primer dispositivo que encuentre. No envía más copias. Aunque también puede copiarse en dispositivos que empleen la tecnología Bluetooth, pero con otro sistema operativo, el gusano no se propagará desde dicho dispositivo. El gusano llega como un archivo .SIS (SEXXXY.SIS), y se instala por si solo en la carpeta APPS (aplicaciones). La extensión .SIS es utilizada por el sistema operativo EPOC para las instalaciones. Cuando ello sucede, se despliegan en la pantalla del teléfono móvil, una serie de mensajes. Estos mensajes advierten al usuario de la "posible naturaleza maliciosa" del archivo recibido, antes de instalarlo. Una vez instalado y activo, puede ser visto desde la lista de aplicaciones con el nombre de "Caribe": [ver imagen http://www.vsantivirus.com/epoc-cabir-g.htm] Estos son los archivos creados por el gusano: c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\apps\caribe\caribe.rsc También crea las siguientes carpetas y archivos: c:\system\symbiansecuredata\caribesecuritymanager\caribe.app c:\system\symbiansecuredata\caribesecuritymanager\caribe.rsc c:\system\recogs\flo.mdl c:\system\symbiansecuredata\caribesecuritymanager\SEXXXY.sis El gusano no puede catalogarse de un serio riesgo, por varias razones: 1. Una comunicación "Bluetooth" no está habilitada por defecto. 2. El rango de transmisión es corto en distancia, por la propia naturaleza del sistema "Bluetooth". 3. "Bluetooth" utiliza un mecanismo de comunicación entre pares. Dispositivos fuera de ese par, requieren un PIN para confirmar el acceso. 4. Aceptar una transmisión "Bluetooth", requiere una confirmación manual. * Eliminación manual Para eliminar el gusano de un dispositivo infectado, siga estos pasos: 1. Seleccione la opción "caribe" de la lista de aplicaciones. [ver imagen http://www.vsantivirus.com/epoc-cabir-g.htm] 2. Seleccione "Cancel" (Exit caribe?) y confirme con "Yes". 3. Borre los siguientes archivos utilizando el manejador de archivos (file manager): c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\apps\caribe\caribe.rsc c:\system\Symbiansecuredata\caribesecuritymanager\Caribe.app c:\system\Symbiansecuredata\caribesecuritymanager\Caribe.rsc c:\system\Recogs\Flo.mdl c:\system\symbiansecuredata\caribesecuritymanager\SEXXXY.sis Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos. Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - EPOC/Cabir.F. Gusano de teléfonos móviles _____________________________________________________________ http://www.vsantivirus.com/epoc-cabir-f.htm Nombre: EPOC/Cabir.F Tipo: Gusano Alias: Cabir.F, SymbOS/Cabir.F, EPOC/Cabir.F, Worm.Symbian.Cabir.F, EPOC.Cabir.F, Epoc/Cabir.F.worm, EPOC_CABIR.F, Symb/Cabir-F, Symbian/Cabir, Symbian/Cabir.f, Tee222 virus Fecha: 21/dic/04 Plataforma: EPOC, Nokia Series 60 Tamaño: 15,092 bytes Variante similar al Cabir.A. Solo cambian los mensajes que el gusano muestra al instalarse o ejecutarse. Gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. El gusano no posee ninguna carga destructiva (salvo el gasto de baterías por el constante uso que hace del equipo). Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance de voz y datos entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible. Los síntomas de una infección son una actividad frecuente (cada 15 o 20 segundos), originada desde un móvil infectado por el gusano. Algunos de los teléfonos móviles afectados: Nokia 3650, 3600 Nokia 3660, 3620 Nokia 6600 Nokia 6620 Nokia 7610 Nokia 7650 Nokia N-Gage Panasonic X700 Sendo X Siemens SX1 Afecta productos de la Serie 60 v0.9, lo que abarca todos los dispositivos existentes de la serie 60, que usen Symbian OS 6.1 o superior. Cuando se ejecuta, muestra en la pantalla del móvil el mensaje "Tee222". Luego, inicia la búsqueda de otros dispositivos conectados, que usen la tecnología "Bluetooth". Si localiza alguno, se enviará a si mismo al primer dispositivo que encuentre. No envía más copias. Aunque también puede copiarse en dispositivos que empleen la tecnología Bluetooth, pero con otro sistema operativo, el gusano no se propagará desde dicho dispositivo. El gusano llega como un archivo .SIS (Tee222.SIS), y se instala por si solo en la carpeta APPS (aplicaciones). La extensión .SIS es utilizada por el sistema operativo EPOC para las instalaciones. Cuando ello sucede, se despliegan en la pantalla del teléfono móvil, una serie de mensajes. Estos mensajes advierten al usuario de la "posible naturaleza maliciosa" del archivo recibido, antes de instalarlo. Una vez instalado y activo, puede ser visto desde la lista de aplicaciones con el nombre de "Caribe": [ver imagen http://www.vsantivirus.com/epoc-cabir-f.htm] Estos son los archivos creados por el gusano: c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\apps\caribe\caribe.rsc También crea las siguientes carpetas y archivos: c:\system\symbiansecuredata\Tee222securitymanager\caribe.app c:\system\symbiansecuredata\Tee222securitymanager\caribe.rsc c:\system\recogs\flo.mdl c:\system\symbiansecuredata\Tee222securitymanager\Tee222.sis El gusano no puede catalogarse de un serio riesgo, por varias razones: 1. Una comunicación "Bluetooth" no está habilitada por defecto. 2. El rango de transmisión es corto en distancia, por la propia naturaleza del sistema "Bluetooth". 3. "Bluetooth" utiliza un mecanismo de comunicación entre pares. Dispositivos fuera de ese par, requieren un PIN para confirmar el acceso. 4. Aceptar una transmisión "Bluetooth", requiere una confirmación manual. * Eliminación manual Para eliminar el gusano de un dispositivo infectado, siga estos pasos: 1. Seleccione la opción "caribe" de la lista de aplicaciones. [ver imagen http://www.vsantivirus.com/epoc-cabir-f.htm] 2. Seleccione "Cancel" (Exit caribe?) y confirme con "Yes". 3. Borre los siguientes archivos utilizando el manejador de archivos (file manager): c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\apps\caribe\caribe.rsc c:\system\Symbiansecuredata\Tee222securitymanager\Caribe.app c:\system\Symbiansecuredata\Tee222securitymanager\Caribe.rsc c:\system\Recogs\Flo.mdl c:\system\symbiansecuredata\Tee222securitymanager\Tee222.sis Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos. Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 7 - EPOC/Cabir.E. Gusano de teléfonos móviles _____________________________________________________________ http://www.vsantivirus.com/epoc-cabir-e.htm Nombre: EPOC/Cabir.E Tipo: Gusano Alias: Cabir.E, SymbOS/Cabir.E, EPOC/Cabir.E, Worm.Symbian.Cabir.E, EPOC.Cabir.E, Epoc/Cabir.E.worm, EPOC_CABIR.E, Symb/Cabir-E, Symbian/Cabir, Symbian/Cabir.e, Ni&Ai- virus Fecha: 21/dic/04 Plataforma: EPOC, Nokia Series 60 Tamaño: 15,092 bytes Variante similar al Cabir.A. Solo cambian los mensajes que el gusano muestra al instalarse o ejecutarse. Gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. El gusano no posee ninguna carga destructiva (salvo el gasto de baterías por el constante uso que hace del equipo). Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance de voz y datos entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible. Los síntomas de una infección son una actividad frecuente (cada 15 o 20 segundos), originada desde un móvil infectado por el gusano. Algunos de los teléfonos móviles afectados: Nokia 3650, 3600 Nokia 3660, 3620 Nokia 6600 Nokia 6620 Nokia 7610 Nokia 7650 Nokia N-Gage Panasonic X700 Sendo X Siemens SX1 Afecta productos de la Serie 60 v0.9, lo que abarca todos los dispositivos existentes de la serie 60, que usen Symbian OS 6.1 o superior. Cuando se ejecuta, muestra en la pantalla del móvil el mensaje "Ni&Ai-". Luego, inicia la búsqueda de otros dispositivos conectados, que usen la tecnología "Bluetooth". Si localiza alguno, se enviará a si mismo al primer dispositivo que encuentre. No envía más copias. Aunque también puede copiarse en dispositivos que empleen la tecnología Bluetooth, pero con otro sistema operativo, el gusano no se propagará desde dicho dispositivo. El gusano llega como un archivo .SIS (Ni&Ai-.SIS), y se instala por si solo en la carpeta APPS (aplicaciones). La extensión .SIS es utilizada por el sistema operativo EPOC para las instalaciones. Cuando ello sucede, se despliegan en la pantalla del teléfono móvil, una serie de mensajes. Estos mensajes advierten al usuario de la "posible naturaleza maliciosa" del archivo recibido, antes de instalarlo. Una vez instalado y activo, puede ser visto desde la lista de aplicaciones con el nombre de "Caribe": [ver imagen http://www.vsantivirus.com/epoc-cabir-e.htm] Estos son los archivos creados por el gusano: c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\apps\caribe\caribe.rsc También crea las siguientes carpetas y archivos: c:\system\symbiansecuredata\Ni&Ai-securitymanager\caribe.app c:\system\symbiansecuredata\Ni&Ai-securitymanager\caribe.rsc c:\system\recogs\flo.mdl c:\system\symbiansecuredata\Ni&Ai-securitymanager\Ni&Ai-.sis El gusano no puede catalogarse de un serio riesgo, por varias razones: 1. Una comunicación "Bluetooth" no está habilitada por defecto. 2. El rango de transmisión es corto en distancia, por la propia naturaleza del sistema "Bluetooth". 3. "Bluetooth" utiliza un mecanismo de comunicación entre pares. Dispositivos fuera de ese par, requieren un PIN para confirmar el acceso. 4. Aceptar una transmisión "Bluetooth", requiere una confirmación manual. * Eliminación manual Para eliminar el gusano de un dispositivo infectado, siga estos pasos: 1. Seleccione la opción "caribe" de la lista de aplicaciones. [ver imagen http://www.vsantivirus.com/epoc-cabir-e.htm] 2. Seleccione "Cancel" (Exit caribe?) y confirme con "Yes". 3. Borre los siguientes archivos utilizando el manejador de archivos (file manager): c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\apps\caribe\caribe.rsc c:\system\Symbiansecuredata\Ni&Ai-securitymanager\Caribe.app c:\system\Symbiansecuredata\Ni&Ai-securitymanager\Caribe.rsc c:\system\Recogs\Flo.mdl c:\system\symbiansecuredata\Ni&Ai-securitymanager\Ni&Ai-.sis Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos. Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1629 Año 8, miércoles 22 de diciembre de 2004