Mostrando mensaje 736     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1687 Año 9, viernes 18 de febrero de 2005 Fecha: Viernes, 18 de Febrero, 2005  08:37:40 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1687 Año 9, viernes 18 de febrero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Revisión del Año 2005 (Por Andrew J. Lee) 2 - Falsificación de barra de estado en Internet Explorer 3 - Cómo descargar Internet Explorer 6 SP1 en español 4 - W32/Kipis.L. Se propaga por e-mail y redes P2P _____________________________________________________________ 1 - Revisión del Año 2005 (Por Andrew J. Lee) _____________________________________________________________ http://www.vsantivirus.com/ev-jlee-revision.htm Revisión del Año 2005 Por Andrew J. Lee, CTO de Eset LLC. (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] En este artículo se intenta mirar hacia lo que seguramente pasará en el corriente año, de manera de prevenir en lugar de solo informar. Muchas de las revisiones anuales son publicadas al final de cada año. Aunque esto puede ser interesante con fines educativos, no nos dice demasiado; sin embargo, puede evocar algunos recuerdos, placenteros o no, y presentarnos material interesante para examinar y debatir a aquellos que trabajamos en el tema. El malware (Software Malicioso) tiene corta vida, al menos en cuanto a la importancia que pueda tener como noticia (por supuesto, puede llevar mucho más tiempo hasta que desaparezca). El período de tiempo más importante es aquel entre que el nuevo malware aparece y los software antivirus y anti-malware son capaces de detectarlo y eliminarlo. Después de eso, no hay mucho más que hacer, y pasamos al siguiente evento. Como resultado, lo más importante que una revisión anual de malware muestra es una idea de las tendencias de ese año. ¿Se identificó alguna nueva tendencia? ¿Cuáles fueron las sorpresas? ¿Qué tipos de ataque declinaron? ¿Cuáles aumentaron? ¿Qué tipos de malware tuvieron éxito? Las respuestas a esas preguntas nos darán una lista de desafíos que el mundo anti-malware enfrentarán en el próximo año. Esto nos ayudaría a identificar lo que será más probable que ocurra en el futuro, y realizar algunas predicciones acerca del tipo de estrategias de defensa que serán importantes. Así que, para evitar que este artículo sea de mero interés académico, revisaremos el próximo año, y al final de éste, podremos ver qué tan exactas han sido estas predicciones. * El malware basado en email está aquí para quedarse Los virus que utilizan el correo electrónico son tan frecuentes como siempre, y mientras que el 2004 fue dominado por tres familias de gusanos – Netsky, Bagle y Mydoom -, hubo otros gusanos de importancia, como las familias Zafi y Sober. Es poco probable que esta tendencia tenga una baja significante durante el 2005, o que otras amenazas alcancen los niveles de reproducción de estos gusanos. Sin ninguna duda, uno puede decir que el malware basado en correo electrónico está aquí para quedarse, hasta que el correo electrónico en sí sea reemplazado por otro método de intercambio de información más robusto y menos vulnerable. Lo que es probable es que haya un incremento en la explotación criminal del malware. Tanto las familias de gusanos Bagle como Mydoom han sido vinculadas a actividades criminales. Las primeras variantes del Mydoom realizaban ataques de denegación de servicios (DoS) contra sitios de Internet de alto perfil, mientras que las últimas incluían keyloggers (interceptores de pulsaciones de teclas), muchas veces usados por criminales para obtener fraudulentamente información importante como contraseñas o detalles de bancos y tarjetas de crédito. Algunas variantes del Bagle incluyen un Backdoor (troyano de puerta trasera) que es capaz de crear un retransmisor de spam en la PC infectada (aunque en algunas versiones, errores en el código no permitían que esta funcionalidad se desempeñara correctamente). * La necesidad de la velocidad Una característica particular del malware basado en correo electrónico es que puede reproducirse extremadamente rápido – en la primer hora o más desde la aparición de un gusano, éste puede reproducirse lo suficiente como para causar una epidemia global que cueste millones de dólares o euros. Esto lleva a una segunda predicción: aquellos productos antivirus que no tengan alguna forma de detección heurística avanzada, para detectar las nuevas amenazas sin necesidad de actualizaciones de firmas, declinarán en popularidad. La heurística es aún una tecnología no demasiado explotada, con grandes diferencias entre los productos que la utilizan en términos de los objetos que cada uno puede detectar heurísticamente. El desafío para muchos de los productos tradicionales basados en firmas será incluir una tecnología de detección heurística en su producto, y para las compañías que ya la tienen, será mejorar sus tasas de detección y educar a los usuarios en los beneficios de esta tecnología. Sin técnicas heurísticas avanzadas, la situación actual de gusanos de correo electrónico es poco probable que mejore significativamente, ya que el tiempo que lleva actualizar un antivirus para detectar un nuevo virus sigue siendo lo suficientemente largo para que el nuevo malware alcance niveles epidémicos. * Malware distribuido por el navegador Desde que el primer virus apareció hace algo más de 20 años, han sido creados alrededor de 100,000 nuevos virus, y solo cerca de 3,000 o 4,000 de ellos han estado activos e infectado usuarios realmente. En los últimos dos o tres años, el fenómeno conocido como Spyware ha crecido de un par de cientos de objetos hasta cientos de miles de ellos, superando ampliamente el número de virus conocidos. El Spyware, que puede ser clasificado bajo el paraguas de los Troyanos, es una epidemia global que, hasta ahora, no muestra signos de disminuir, o de estar siendo combatida con efectividad. Hasta el momento no hay soluciones realmente completas contra el problema del Spyware, y parece probable que las compañías dedicadas a la industria de los antivirus son los que están mejor posicionados para proveer una solución que combata la avalancha de código malicioso que está actualmente inundando Internet. El desafío para las compañías antivirus será proporcionar una respuesta al aumento de malware que es distribuido a través del navegador de Internet, esperando ver un incremento en el número de productos que incluirá tanto detección de Spyware, como análisis automático del tráfico de Internet, para que las páginas de Internet sean analizadas mientras se visualizan. * El auge de los "bots" El año 2004 se caracterizó por un incremento en los llamados "bots" (diminutivo para robots), convirtiéndose en la mayor parte de las detecciones incluidas en las actualizaciones regulares de firmas de los antivirus. Los bots, normalmente distribuidos a través de sitios de Internet – algunas veces vinculados a mensajes de spam, otras a descargas de virus, contenidos en Spyware, entre otras cosas – suelen estar vinculados a actividades criminales, particularmente a aquellas que tratan de obtener detalles bancarios fraudulentamente. Contrariamente a la concepción popular, la razón para el robo de detalles bancarios no es la suplantación de identidad (una amenaza muchas veces sobrevaluada), sino la explotación rápida de cuentas bancarias para obtener dinero. Montar un robo de identidad es algo costoso, consumiendo mucho tiempo, y tiene un alto riesgo de fallo. Por otro lado, un ataque a través de un troyano es de relativo bajo costo, bajo riesgo y mayor seguridad para el criminal. Hubo un tiempo en que era muy fácil ver las distinciones entre los distintos tipos de malware, pudiendo decidir si un código malicioso era un virus o un gusano, o un troyano. Hoy en día es cada vez más difícil hacer estas distinciones – demasiado malware usa métodos múltiples para distribuirse, y no es común que caigan en una sola de las típicas categorías de virus – pero una cosa es segura, para el usuario es todo lo mismo: algo indeseable y que le trae problemas. Mientras que hay varias razones técnicas por las que es más fácil clasificar el malware capaz de replicarse (como los virus y gusanos) como malicioso, es difícil para las compañías antivirus ser demasiado estrictos en las definiciones de software malicioso, por lo que veremos cada vez más y más productos capaces de detectar todos los tipos de troyanos, incluyendo Spyware, bots y keyloggers. Esto puede causar algunos "ataques cardíacos" (y provocar largas discusiones) entre los investigadores antivirus, pero es una progresión inevitable, y para el final del año 2005, es fácil de predecir que la mayoría de los exploradores antivirus incluirán algún tipo de detección para todos estos tipos de malware. Un inevitable resultado de la categorización del nuevo malware será el aumento de juicios legales contra las compañías antivirus. Los desarrolladores de Spyware argumentarán normalmente que sus productos son legítimos, y que el usuario ha aceptado algún tipo de licencia para instalar el software. * Ataques de Phishing Otro ataque popular en el 2004, con la intención de obtener dinero en forma simple y rápida, han sido los ataques de "Phishing". El Phishing normalmente comienza con un mensaje de spam aparentando haber sido originado de un banco legitimo (y algunas veces por un sitio importante como Paypal o eBay), pidiéndole a los usuarios que introduzcan sus datos de cuenta para una auditoria de seguridad o alguna otra excusa. Pulsando en los enlaces incluidos en el mensaje, el receptor del mensaje será dirigido a un sitio de Internet que, en muchos casos, lucirá exactamente igual que el sitio original de la organización. De acuerdo al Gartner Group, en el año 2004 hubo una explosión de Phishing, reportando que más de 1.7 millones de adultos pueden haber sido víctimas de esos ataques. Con tal tasa de éxito, es probable que el Phishing sea una actividad importante en el año 2005, y que este tipo de ataques sean cada vez más sofisticados mientras que los responsables de estos engaños estén un paso delante de bancos y autoridades. * Spam El Spam, actualmente en más del 70% de los mensajes de correo electrónico, es otra área que ha explotado completamente durante los últimos años. Una ley anti-spam enviada al Congreso de los Estados Unidos el 1ero. de Enero del 2004 ha fallado completamente en lograr algún impacto en la cantidad de spam que es enviado diariamente. Muchos negocios han sido forzados a implementar algún tipo de solución anti-spam, y mientras que existen diferencias técnicas entre la detección de spam y la de malware, los dos pueden lógicamente analizarse en conjunto. Grandes compañías antivirus compraron a pequeñas empresas para adquirir su tecnología anti-spam. Hasta ahora, las soluciones anti-spam se han basado en los servidores de correo electrónico, pero las estaciones de trabajo y ordenadores de escritorio son lógicamente otro lugar para implementar medidas contra el spam (ciertamente, esto es más útil para los usuarios particulares), y aún no existen demasiadas soluciones en esa área. Parece ser que combinar técnicas antivirus con técnicas anti-spam en los exploradores de PCs de escritorio puede ser una solución importante para los usuarios finales, ya que muchos buenos productos antivirus revisan el correo electrónico cuando es descargado en la bandeja de entrada. Es lógico esperar que más soluciones anti-spam serán ofrecidas por más y más fabricantes de antivirus durante el 2005. * La manía del malware móvil Los teléfonos móviles se han vuelto omnipresentes, es casi imposible evitarlos y, con la marcha del tiempo y la tecnología, cada vez se vuelven más avanzados, con mayor funcionalidad. El 2004 fue testigo de la llegada del primer malware que fue capaz de explotar teléfonos móviles. Para el popular sistema operativo Symbian, el virus Cabir, que se reproducía a través de Bluetooth, y para las PocketPC, el virus Duts, aunque por el momento no son más que interesantes pruebas de concepto. La tendencia en mejorar la funcionalidad es lo que seguramente proporcionará una base sólida para el incremento del malware en este tipo de dispositivos. Mientras que la amenaza es hoy en día más imaginaria que real, la dominante tecnología móvil la hace un objetivo interesante para los escritores de malware, particularmente para aquellos que quieren probar nuevas aguas. En el 2005 y más adelante, habrá un incremento en el malware y la explotación de agujeros de seguridad para dispositivos móviles, por tanto, habrá un incremento en el número de soluciones anti-malware disponibles para estas plataformas. * Adiós al antiguo perímetro La tendencia más clara, y una que seguramente definirá el año 2005, es la tendencia hacia un mundo cada vez más interconectado y sin límites. Tiempo atrás, un negocio definía su perímetro por las cuatro paredes del edificio desde donde operaba, y cualquier ordenador dentro del edificio se encontraba dentro del perímetro, y todas las tecnologías de seguridad – cortafuegos/firewalls, IDS, IPS, Proxies, Gateways de correo electrónico, Antivirus, Anti-Spam, etc. – se enfocaban en proteger aquello que quedaba dentro del perímetro. Hoy los dispositivos de muchos negocios tienen algún tipo de ordenador dentro, y muchos de ellos son dispositivos que no entran en el alcance de un anti-virus. Por ejemplo, la solución Imagerunner de Canon, que brinda soluciones de copiado e impresión en una red, ahora incluye un software anti-virus. Existe una abrumadora cantidad de ordenadores personales, PDA, teléfonos móviles, dispositivos inalámbricos, satélites, VPNs, todos vinculados con las comunicaciones del negocio, ampliando los limites del negocio a latitudes que la tecnología aún no está preparada para mantener seguras. Hoy en día, el perímetro del negocio es el usuario descargando sus mensajes de correo electrónico desde su habitación de hotel a través de su PDA inalámbrica, es el usuario en su automóvil en la estación de servicio descargando un documento interno, es la persona navegando la web a través de su red inalámbrica no encriptada. Cada dispositivo necesita ahora su propia defensa perimetral, las redes necesitan soluciones de administración que brinden control y visibilidad, y los negocios que aún tienen la antigua mentalidad de perímetro pueden encontrarse con que tienen una puerta de metal, con paredes de papel. Autor: Andrew J. Lee, CTO de Eset LLC (NOD32). Traducción: EnciclopediaVirus.com (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: www.enciclopediavirus.com/noticias/verNoticia.php?id=521 Video Soft, empresa creadora del sitio VSAntivirus, representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Falsificación de barra de estado en Internet Explorer _____________________________________________________________ http://www.vsantivirus.com/vul-ie-spoofing-170205.htm Falsificación de barra de estado en Internet Explorer Por Angela Ruiz angela@videosoft.net.uy Una vulnerabilidad en Internet Explorer y Outlook Express, permite que un atacante pueda engañar a un usuario confiado, sobre la verdadera dirección URL mostrada en la barra de estado. Por defecto, Outlook Express 6 abre los mensajes de correo con formato HTML en la zona de seguridad de "Sitios restringidos" en lugar de la zona de "Internet". Especialmente los usuarios de Outlook Express 6, pueden confiar en lo mostrado en la barra de estado, desde que los documentos con formato HTML son visualizados en el contexto de la zona de seguridad "Sitios restringidos", la cuál pose la secuencia de comandos ActiveX desactivada (sin posibilidad de scripting). Sin embargo errores en el Internet Explorer, permiten la manipulación de la barra de estado sin utilizar ningún script. Concretamente, este problema puede ser explotado utilizando ciertas etiquetas, en formularios de documentos HTML, capaces de mostrar un enlace especialmente modificado. Este tipo de vulnerabilidad, facilita a los piratas informáticos la realización de ataques de Phishing (la técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima). * Software vulnerable: - Microsoft Internet Explorer 6.0 - Microsoft Internet Explorer 6.0 SP1 - Microsoft Internet Explorer 6.0 SP2 (Windows XP SP2) Versiones anteriores también pueden ser vulnerables. * Prueba de concepto: Una prueba de concepto publicada en nuestro sitio (http://www.vsantivirus.com/vul-ie-spoofing-170205.htm), demuestra como funciona este fallo. Si usted utiliza una versión de Internet Explorer vulnerable, en el enlace mostrado, verá escrito "ebay.com". Si coloca el puntero del ratón en dicho enlace (sin hacer clic), en la barra de estado visualizará "http://ebay.com";. Sin embargo, si hace clic en el enlace, será redirigido a una página en "Vsantivirus.com", y no a "ebay.com". * Solución: Al momento actual no existe una solución oficial publicada para este problema. Se aconseja no hacer clic en enlaces de sitios no confiables, o en mensajes de correo electrónico no solicitados. * Créditos: winter bitlance Jay Calvert (PoC) * Referencias: [Full-Disclosure] IE/OE Restricted Zone Status Bar Spoofing http://archives.neohapsis.com/archives/fulldisclosure/2005-02/0335.html Phishing hole found in IE and OE http://www.securityfocus.com/archive/1/390784 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Cómo descargar Internet Explorer 6 SP1 en español _____________________________________________________________ http://www.vsantivirus.com/descarga-ie6sp1.htm Cómo descargar Internet Explorer 6 SP1 en español Por Redacción VSAntivirus vsantivirus@videosoft.net.uy [Esta es una versión actualizada del artículo publicado por primera vez el 21 de setiembre de 2002] Siguiendo las siguientes instrucciones, será posible descargar completo el Internet Explorer 6 SP1 (Service Pack 1), utilizando cualquier administrador de descargas, como FlashGet, GetRight, Go!Zilla, Download Accelerator, y otros. Una de las quejas de muchos usuarios (sobre todo de aquellos que disponen de lentas y costosas conexiones vía módem), es lo desesperante que puede resultar descargar este software por el procedimiento habitual implementado por Microsoft, con su propio descargador. Esto es aún más notorio cuando se interrumpe la descarga por cualquier motivo. Si bien el instalador original prevé esta posibilidad, se pierde siempre el último archivo si el mismo aún no se había completado. A veces, varios megas vuelven a ser descargados aunque hayan faltado unos pocos bytes para completarlo. Por otra parte, la descarga es archivo tras archivo, con el consiguiente tiempo insumido. Alejandro Muñoz, de Medellín Colombia, ha querido compartir con los lectores de VSAntivirus, un método que permite realizar la descarga en forma mucho más rápida y sin tantos problemas, utilizando cualquier gestor de descarga preferido. Una de las principales ventajas de esto, es que si la transferencia se corta u ocurre algún tipo de error, la descarga podrá continuarse en cualquier otro momento desde el punto en que se interrumpió. Si estamos bajando un CAB (paquetes de la instalación), de 2Mb y nos faltaban 100 Kb, se continuará con esos 100 Kb, y no se descargará todo el archivo desde el comienzo. Otra ventaja es que al descargar en forma simultánea varias partes del archivo (o varios archivos a la vez), se utiliza todo el ancho de banda, pero en menos tiempo, con un gran ahorro de la costosa conexión telefónica. Y aún aquellos que posean una conexión de banda ancha de 24 horas, podrán acelerar tremendamente el tiempo de descarga. * Nota sobre la última actualización Según nos explica Alejandro, tal vez ésta sea la última actualización que hace de este artículo, pues ha realizado algunos cambios y mejoras en las instrucciones que espera permitan instalar el Internet Explorer más fácilmente y sin ningún inconveniente. Además, los cambios realizados en las instrucciones de descarga resuelven algún problema que en ocasiones se presentaba a algunos usuarios. También se ha cambiado uno de los paquetes para que no incluya la información sobre Windows XP, pues es más conveniente que los usuarios de dicho sistema operativo descarguen (o pidan el CD) e instalen el Service Pack 2 completo (ver al final de este artículo "Sobre IE para Windows XP y XP SP2"). Quizá más adelante, si Microsoft libera el Internet Explorer 7 como lo ha anunciado, Alejandro pueda investigar y escribir un nuevo artículo para poder descargarlo de la misma manera, si ello fuera posible. * Para proceder a la descarga, siga estas instrucciones: 1. Seleccione el archivo en nuestro sitio, que se corresponda con la versión de su sistema operativo. Todos son archivos .ZIP de apenas 2 o 3 Kb, que contienen lo necesario para el resto de la descarga. Las versiones disponibles son: IE 6 SP1 para Windows 2000 IE 6 SP1 para Windows 98 y 98 SE IE 6 SP1 para Windows Me Descarga: http://www.vsantivirus.com/descarga-ie6sp1.htm [Nota: Estos archivos fueron actualizados a febrero de 2005] 2. Descomprima el contenido del archivo descargado en alguna carpeta creada previamente. Dentro de cada .ZIP encontrará estos archivos: IE 6 SP1 para Windows Me Idiomas.txt iesetup.ini Instrucciones.txt Lista.txt IE 6 SP1 para Windows 98 y 98 SE Idiomas.txt iesetup.ini Instrucciones.txt Lista.txt IE 6 SP1 para Windows 2000 iesetup.ini Instrucciones.txt Lista.txt 3. Abra el archivo "Instrucciones.txt" con el bloc de notas, y siga los pasos allí descriptos para proceder a la descarga de la versión completa del IE 6.0 SP1 en español, que se corresponda con su sistema operativo. * Más información: Alejandro Muñoz Uribe alejandromzu@hotpop.com Medellín, Colombia * Sobre IE para Windows XP y XP SP2: Descargar el Windows XP SP2 desde el siguiente enlace: Service Pack 2 para Windows XP en español http://www.vsantivirus.com/windowsxp-sp2-descarga.htm Si lo prefiere, puede pedir la versión de CD, de forma totalmente gratuita: Pida ya la versión SP2 de Windows XP, gratuitamente http://www.vsantivirus.com/08-08-04.htm * Publicado anteriormente: VSantivirus No. 805 - Año 6 - Sábado 21 de setiembre de 2002 VSantivirus No. 1130 Año 7, Lunes 11 de agosto de 2003 * Actualizaciones: 10/ago/03, 18/feb/05 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Kipis.L. Se propaga por e-mail y redes P2P _____________________________________________________________ http://www.vsantivirus.com/kipis-l.htm Nombre: W32/Kipis.L Nombre NOD32: Win32/Kipis.L Tipo: Gusano de Internet y caballo de Troya de acceso remoto Alias: Kipis.L, Email-Worm.Win32.Mydoom.al, W32/Kipis.h@MM, W32.Kipis.J@mm, Win32.HLLM.Dasha, W32/Kipis-H, Win32/Mypor.A@mm, WORM_KIPIS.E, Worm/Mydoom.AR, W32/Mydoom.AT@mm, I-Worm/Mydoom.AM, Win32.Mydoom.AP@mm, W32/Mydoom.AK.worm, Win32/Kipis.L, W32/Kipis, Win32.Kipis.E Fecha: 7/feb/05 Plataforma: Windows 32-bit Tamaño: 24,576 bytes Puerto: TCP 1988 Gusano escrito en Visual C, que se propaga por correo electrónico en mensajes con las siguientes características: Asunto: [uno de los siguientes] - Cool flash porno! :) - Cool! :) - Happy day - Happy Valentine's day - Present - Thank you!!! - Thanks ;) - Valentine's day - you my love.. - your love Texto del mensaje: [uno de los siguientes] I congratulate on the coming Valentine's day! My gift to you. Please see my flash present :) With the coming Valentine's day! I very much love you love you! :),congratulate! Datos adjuntos: [uno de los siguientes] flash love.exe My nude_04.exe porno_03.exe Present.exe Valentine.exe your present.exe Cuando se ejecuta, crea los siguientes archivos: c:\windows\regedit.com c:\windows\system32\1035\svchost.exe c:\windows\system32\netstat.com NOTA: REGEDIT.EXE es una herramienta legítima de Windows (el editor del registro). El gusano se copia con el mismo nombre pero la extensión .COM. Si el usuario ejecuta REGEDIT (teclea REGEDIT + Enter en Inicio, Ejecutar), sin escribir la extensión, se ejecutará el archivo del gusano (REGEDIT.COM), en lugar de REGEDIT.EXE, porque la extensión .COM tiene precedencia a la extensión .EXE. Para ver las extensiones de estos archivos, siga las instrucciones que se dan al final de esta descripción ("Mostrar las extensiones verdaderas de los archivos"). NOTA: SVCHOST.EXE es un archivo legítimo en Windows XP, y se encuentra en el directorio WINDOWS\SYSTEM32. No lo confunda con el archivo creado por el gusano. NOTA: No confunda NETSTAT.COM, con NETSTAT.EXE, un archivo legítimo de Windows. En Windows 95, 98 o Me, el gusano crea la siguiente entrada en el archivo SYSTEM.INI, para ejecutarse en cada reinicio del sistema: [boot] Shell = "Explorer.exe c:\windows\system32\1035\svchost.exe" En Windows NT, 2000 o XP, crea la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = "Explorer.exe c:\windows\system32\1035\svchost.exe" Para propagarse por correo electrónico, obtiene las direcciones de la libreta de Windows, y de archivos con las siguientes extensiones en todas las unidades de disco y RAM de la C a la Z: .adb .asp .dbx .doc .eml .fpt .htm .html .inb .mbx .oft .pab .php .pmr .sht .tbb .txt .uin .xls Evita aquellas direcciones que contengan algunas de las siguientes cadenas: .gov abuse accoun admin alarm antivir apvxdwin. avc avmon avp bitdefen blackd. blackice borlan bscan bugs ccapp. cfiaudi defwatch. dials. drweb escanhnt. fiaudit. foo. frw. gate google gov. guard. help hotmail icrosoft icssupp info iruslis kaspersky kav kerio klamav listserv luall. lucoms~ mailer maniac. mcafee mcagent. messagelab nav news newviru nisum. nod32 nodomai nopdb. notice pav podpiska post postmaster privacy protect rar rating register rewall rising rweb safe sales sendmail service soft software. sophos sphinx. spidernt spm111 support sybari symante symantec synmgr. taumon test update upgrade upw. virus vsstat. vstskmgr. webmaster winit. winrar winzip El gusano utiliza su propio motor SMTP para enviarse. También puede propagarse por redes P2P. Para ello, busca en el registro las carpetas compartidas de algunas utilidades de intercambio de archivos entre usuarios, y se copia en ellas con los siguientes nombres: Deprivation virginity schoolgirl.exe Pamela Anderson xxx(anal).exe Porno image(schoolgirls).exe Rape schoolgirl.scr Sex,oral,anal,bdsm!.exe Teen hardcore XXX.exe Teen sex(anal,oral).exe Virtual Girl 2.1.exe Windows Longhorn screen.scr XXX images.exe Abre una puerta trasera en el equipo infectado (backdoor), quedando a la escucha por el puerto TCP 1988. Por este acceso programas adicionales podrán ser descargados de Internet y luego ejecutados, sin el conocimiento del usuario. El gusano es capaz de finalizar la ejecución de conocidas herramientas de seguridad (cortafuegos y antivirus). NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos (no los confunda con REGEDIT.EXE y NETSTAT.EXE, que son archivos legítimos del sistema, que NO deben ser borrados): c:\windows\regedit.com c:\windows\system32\netstat.com También borre la carpeta "1035" en la siguiente ubicación: c:\windows\system32\1035 Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT.EXE y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: 3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 4. En el panel derecho, en la entrada "Shell", deje solo "Explorer.exe" 5. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Modificar SYSTEM.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 2. Busque lo siguiente: [boot] Shell = "Explorer.exe c:\windows\system32\1035\svchost.exe" y déjelo así: [boot] Shell = "Explorer.exe" 3. Grabe los cambios y salga del bloc de notas * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1687 Año 9, viernes 18 de febrero de 2005